„Made by usd HeroLab“ – Sebastian Puttkammer über Tools, Qualität und Effizienz

usd AG Cyber Defence, News, Pentest Insights, Security Research

Aus der Motivation heraus, die Arbeit für alle Teammitglieder zu vereinfachen, entwickelte das Team unter der Leitung von Sebastian Puttkammer, Managing Consultant im usd HeroLab, Tools „made by usd HeroLab“. Wir haben nachgefragt, was hier in den letzten Jahren entstanden ist und wie das zur Qualitäts- und Effizienzsteigerung des usd HeroLabs beiträgt.

Sebastian, du hast viele der HeroLab Tools selbst entwickelt. Wie kam es dazu?

Sebastian Puttkammer: Früher hatten wir während eines Pentests einen hohen Rechercheaufwand und standen häufig vor der Herausforderung, dass zum Beispiel eine Schwachstelle, die mehrfach während eines Pentests gefunden wurde, auch entsprechend häufig manuell nachgetestet werden musste. Wir hatten zwar bereits selbst geschriebene Skripte, die uns unterstützten, allerdings waren diese sehr statisch und komplex. Also haben wir begonnen, uns Gedanken darüber zu machen, wie der Workflow für das gesamte Team optimiert werden kann.

Wie können wir uns das konkret vorstellen?

SP: Die selbst geschriebenen Skripte führten mit bestehenden Tools spezielle Sicherheitschecks durch. Die Skriptsammlung konnte aber nur begrenzt erweitert bzw. angepasst werden und war sehr komplex aufgebaut. Also fingen wir an, unsere bestehenden Pentest-Werkzeuge zu automatisieren. Das war der Beginn des „Icebreakers“.

Kannst Du uns die Funktionsweise des „Icebreaker“ kurz erläutern?

SP: Der „Icebreaker“ ist eine Plattform, die alle unsere selbst entwickelten sowie die besten öffentlichen Tools vereint. In Form von Plugins oder Tools werden unsere Research-Ergebnisse durch den Analysten selbst oder das Entwickler-Team integriert und dokumentiert. Somit generieren wir eine stetig wachsende Wissensdatenbank, die das automatisierte Aufspüren aktueller Schwachstellen ermöglicht. Der Analyst verifiziert anschließend den kompletten Tool-Output auf dem Dashboard. Unser Anspruch ist es, keine False-Positives zu generieren. Da die Standardüberprüfungen durch den „Icebreaker“ abgedeckt werden, haben wir mehr Zeit für aufwendige, manuelle Analysen. Außerdem garantieren wir damit, dass die zu testende Umgebung mit einem gleichbleibend hohen Qualitätsniveau überprüft wird. Das schafft einen riesigen Effizienz- und Qualitätsgewinn. Für uns und für unsere Kunden.

Wie stellt ihr sicher, dass der „Icebreaker“ fortwährend den HeroLab-Qualitätsstandards entspricht?

SP: Der „Icebreaker“ wird, wie all unsere selbst entwickelten Tools, stetig von unserem Entwickler-Team getestet und weiterentwickelt. Für die funktionalen Tests verwenden wir ein eigenes Tool, das automatisiert Schwachstellen hochfährt. Das ist der beste Funktionstest, den man durchführen kann. Das Test-Tool hat seinen Ursprung übrigens in der Summer- bzw. Winterschool, der Ausbildung unserer Studierenden. Dadurch entstehen echt coole Synergieeffekte: Die Kollegen vom Ausbildungs-Team freuen sich, dass neue Schwachstellen für die Studierenden hinzukommen und das Entwickler-Team freut sich, dass das Tool für Funktionstests verwendet werden kann.

Sind denn alle HeroLab Tools miteinander integrierbar?

SP: Das Tool „ExPeRT“ ist unsere große Schnittstelle, in der alle Tools zusammenlaufen. Die Ergebnisse vom „Icebreaker“ werden per Schnittstelle von „ExPeRT“ eingelesen. Mithilfe der Übersicht ist der Projektleiter stets auf dem aktuellen Projektstand und kann toolunterstützt Aufgaben zuweisen. Rückfragen und Kommentare werden in „ExPeRT“ abgebildet, so wird eine effiziente Projekt-Zusammenarbeit ermöglicht. Gerade, wenn mehrere Kolleginnen und Kollegen an einem Projekt zusammenarbeiten, ist das wichtig. Zudem werden in „ExPeRT“ alle notwendigen Schritte in interaktiven Checklisten abgebildet, was sicherstellt, dass keinem Analysten etwas durch die Lappen gehen kann.

Wie werden die Ergebnisse des Pentests anschließend für den Kunden aufgearbeitet?

SP: Unser Bausteine-Team erstellt für jede Standardschwachstelle einen Textbaustein, der fortlaufend gepflegt, qualitätsgesichert und in „ExPeRT“ importiert wird. Sprich, wenn „Icebreaker“ eine Schwachstelle automatisiert findet, wird diese automatisch an „ExPeRT“ übertragen. Der Analyst passt den Textbaustein mit entsprechenden Maßnahmenempfehlungen dann individuell an das Projekt an, ergänzt die Management Summary und fasst die wesentlichen Maßnahmenempfehlungen zusammen.

Heute arbeiten rund 80 Kolleginnen und Kollegen im HeroLab mit euren Tools, wie fühlt sich das an?

SP: Alle hier sind Vollblut-Analysten und von Natur aus misstrauisch, was Qualität und Sicherheit von Tools angeht. Eingesetzt wird nur, was wir selbst via Pentest und Code Review unter die Lupe genommen haben. Bei solchen Anwendern macht es uns schon ein bisschen stolz zu sehen, wie gut die Lösungen angenommen werden und maßgeblich zu mehr Qualität unserer Arbeit beitragen. Das ist ein echter Ansporn, dran zu bleiben. Deshalb arbeiten wir gerade auch schon wieder mit Hochdruck am nächsten Zuwachs zu unserer Tool-Familie (lacht).