Suche nach Schwachstellen
Alles begann, als ich 2016 zum Security-Team von A1 gestoßen bin. Wir hatten (und haben) eine große und gewachsene IT-Infrastruktur die wir versuchten bestmöglich zu pflegen und auf dem neuesten Stand zu halten. Doch alles Dokumentieren von Servern, Software und Versionen hat seine natürlichen Grenzen. Daher war es nicht immer auf Knopfdruck möglich, herauszufinden, ob wir eine bestimmte Software-Version oder -Bibliothek mit einer kritischen Schwachstelle einsetzten.
So war es zum Beispiel auch, als Anfang 2017 eine Schwachstelle im Web-Framework von Apache Struts mit der höchstmöglichen Risikobewertung (CVSS 10) veröffentlicht wurde. Sogleich durchforsteten meine Kollegen unsere Datenbanken, auf welchen Plattformen wir diese Software einsetzten. Wir konnten eine kleine Zahl betroffener Systeme finden und schnell auf den neuesten Stand bringen. Ich versuchte jedoch, Datenbanken und Dokumentationen so wenig wie möglich zu vertrauen und andere Wege zu gehen, um mögliche Schwachstellen zu finden (es ist auch die eigentliche Herausforderung von Hackern, undokumentierte Eintrittspunkte und Funktionen zu finden und zu ge- oder zu missbrauchen). Mithilfe von öffentlichen Archiven, Verzeichnissen, Google-Dorks und Portscans konnte ich zusätzliche anfällige Applikationen finden, die von derselben Schwachstelle betroffen waren.
Bei jeder neu veröffentlichten Schwachstelle ist es notwendig, Systeme mit den anfälligen Technologien zu finden. Das musste einfacher gehen.
Die Idee zu Offensity war geboren: Wenn es möglich wäre eine Datenbank der eingesetzten Technologien über deren sichtbare Fingerabdrücke zu erstellen, könnte man auf Knopfdruck herausfinden, wo eine Apache Struts-Applikation oder eine bestimmte SSH-Software im Einsatz ist.
Intrapreneurship
Bevor wir jedoch damit richtig starteten, gab es eine interne Aussendung in unserer Firma. Beim "Intrapreneurship"-Programm wurden innovative Ideen von Mitarbeitern gesucht, die als "internes Startup" umgesetzt werden sollen. Mit diesem Ansatz könnten wir die Vorteile eines agilen Startups mit den Möglichkeiten eines Konzerns verbinden.
Wir fanden uns als Team zusammen: Daniel Endresz aus unserem internen CERT (Computer Emergency Response Team), Philipp Mirtl (mein Kollege mit Fokus auf die organisatorischen Aspekte der Security) und ich, Aron Molnar. Wir beschlossen, die Idee einer Technologie-Datenbank und nachfolgenden Schwachstellen- und Risiko-Scans bei der Ausschreibung einzureichen und durften sie vor den neun CEOs aus unseren Schwesterfirmen (internationale Telekommunikations-Unternehmen) präsentieren.
Und tatsächlich: Aus ca. 70 Ideen wurden drei ausgewählt. Und unsere war dabei.
Unser erster großer Meilenstein war es, herauszufinden, ob Firmen sich überhaupt für eine solche Lösung interessieren würden. Wir wurden von potenziellen Kunden zu Gesprächen eingeladen und konnten unser Ziel von vier Verkaufsabschlüssen auf Anhieb erreichen. Die Verträge waren zunächst auf einen Monat befristet. Wir waren einen Monat lang ausschließlich damit beschäftigt, eine Technologie- und Schwachstellendatenbank für unsere Kunden zu erstellen und zu improvisieren. Die Ergebnisse kopierten wir in ein HTML-Template, aus dem wir ein PDF generierten und wöchentlich per E-Mail an unsere Kunden schickten.
Das Feedback ist sehr positiv und bereits bei den ersten Reports können wir wichtige Schwachstellen aufzeigen. Wir wussten nun, dass unsere Idee funktionierte und die Sicherheit bei Kunden erhöhen würde. Seither ist es unsere Vision für unsere Kunden den Aufwand für sichere Infrastruktur zu verringern.
Ein reifes Produkt
Heute, einige Jahre nachdem wir unsere Testkunden gewinnen konnten, können wir stolz auf ein fortgeschrittenes und reifes Produkt blicken. Aktuell leisten wir über 20.000 Scanning-Stunden pro Monat für unsere Kunden und prüfen kontinuierlich mehr als 10.000 Zielsysteme.
Wir bieten unseren Kunden eine übersichtliche Liste an Schwachstellen und geben auch einen Überblick über die von Angreifern erreichbaren Dienste. Laufend beobachten wir neu auftretende kritische Schwachstellen und helfen unseren Kunden schneller auf diese zu reagieren, als es mit herkömmlichen Schwachstellen-Scannern möglich wäre. Außerdem informieren wir nach neuen Data Leaks unsere Kunden auf im Deep-Web veröffentlichte Passwörter von Mitarbeitern, um so Angriffe auf die Infrastruktur zu verhindern. Stets mit der Vision mehr Sicherheit mit weniger Aufwand für unsere Kunden zu erreichen.
Wir haben viele Jahre Erfahrung im Security-Bereich und fördern junge Security-Talente. In unserem Team arbeiten deshalb auch mehrere Gewinner der European Cyber Security Challenge.
Wir freuen uns über Ihre Kontaktaufnahme!
