Penetration
Test
Ein Pen-Test simuliert einen Cyber-Angriff auf Ihr Computersystem, um nach ausnutzbaren Schwachstellen zu suchen. Gut, dass dies nur ein Test ist und sehr gut, dass das Testergebnis zu einem soliden Schutz führt, wenn die entsprechenden Maßnahmen von einem Profi durchgeführt werden.
1) Planung und Aufklärung
Die erste Stufe umfasst:
Definition des Umfangs und der Ziele eines Tests, einschließlich der anzusprechenden Systeme und der zu verwendenden Testmethoden.
Sammeln von Informationen (z.B. Netzwerk- und Domänennamen, Mailserver), um die Funktionsweise eines Ziels und seine potenziellen Schwachstellen besser zu verstehen.
Aufrechthalten des Zugriffs
Ziel dieser Phase ist es, zu prüfen, ob die Schwachstelle genutzt werden kann, um eine anhaltende Präsenz in dem ausgebeuteten System zu erreichen – lange genug, damit ein Angreifer einen tief greifenden Zugang erhält. Die Idee besteht darin, fortgeschrittene persistente Bedrohungen zu imitieren, die oft monatelang in einem System verbleiben, um die sensibelsten Daten einer Organisation zu stehlen.
2) Scanning
Der nächste Schritt besteht darin, zu verstehen, wie die Zielanwendung auf verschiedene Eindringversuche reagieren wird. Dies geschieht in der Regel mit Hilfe von:
Statische Analyse – Untersuchung des Codes einer Anwendung, um abzuschätzen, wie sie sich während der Ausführung verhält. Diese Tools können den gesamten Code in einem einzigen Durchgang scannen.
Dynamische Analyse – Inspizieren des Codes einer Anwendung in einem laufenden Zustand. Dies ist eine praktischere Art des Scannens, da sie einen Echtzeit-Überblick über die Leistung einer Anwendung bietet.
Analyse
Die Ergebnisse des Penetrationstests werden dann in einem detaillierten Bericht zusammengefasst:
- Spezifische Schwachstellen, die ausgenutzt wurden
- Sensible Daten, auf die zugegriffen wurde
- Die Zeitspanne, die der Stifttester unentdeckt im System bleiben konnte
Diese Informationen werden vom Sicherheitspersonal analysiert, um bei der Konfiguration der WAF-Einstellungen und anderer Anwendungssicherheitslösungen eines Unternehmens zu helfen, um Schwachstellen zu beheben und vor zukünftigen Angriffen zu schützen.
3) Zugang erhalten
In dieser Phase werden Angriffe auf Webanwendungen wie Cross-Site-Scripting, SQL-Injection und Backdoors eingesetzt, um die Schwachstellen eines Ziels aufzudecken. Die Tester versuchen dann, diese Schwachstellen auszunutzen, typischerweise durch Eskalation von Privilegien, Datendiebstahl, Abfangen von Datenverkehr usw., um den Schaden zu verstehen, den sie verursachen können.
Reporting
Am Ende des Pen-Tests wird ein Report aus allen gesammelten Informationen erstellt, der dann Grundlage für die sicherheitstechnische Realisierung Ihrer IT-Sicherheit ist.
Methoden für Penetrationstests
Externe Prüfung
Externe Penetrationstests zielen auf die Vermögenswerte eines Unternehmens ab, die im Internet sichtbar sind, z.B. die Webanwendung selbst, die Unternehmenswebsite sowie E-Mail- und Domain-Name-Server (DNS). Das Ziel besteht darin, Zugang zu erhalten und wertvolle Daten zu extrahieren.
Interne Tests
Bei einem internen Test simuliert ein Tester mit Zugriff auf eine Anwendung hinter seiner Firewall einen Angriff durch einen böswilligen Insider. Dabei wird nicht unbedingt ein böswilliger Mitarbeiter simuliert. Ein übliches Startszenario kann ein Mitarbeiter sein, dessen Zugangsdaten aufgrund eines Phishing-Angriffs gestohlen wurden.
Blindes Testen
Bei einem Blindtest erhält ein Tester nur den Namen des Unternehmens, das ins Visier genommen werden soll. Auf diese Weise erhält das Sicherheitspersonal einen Echtzeit-Einblick, wie ein tatsächlicher Anwendungsangriff ablaufen würde.
Doppelblind-Tests
Bei einem Doppelblindversuch hat das Sicherheitspersonal keine Vorkenntnisse über den simulierten Angriff. Wie in der realen Welt werden sie keine Zeit haben, ihre Verteidigung vor einem Einbruchsversuch zu verstärken.
Gezielte Tests
In diesem Szenario arbeiten sowohl der Tester als auch das Sicherheitspersonal zusammen und halten sich gegenseitig über ihre Bewegungen auf dem Laufenden. Dies ist eine wertvolle Schulungsübung, die einem Sicherheitsteam ein Echtzeit-Feedback aus der Sicht eines Hackers liefert.
Beispiel
Erfahrung unserer Kunden
1) In unserem ersten Schritt lernen wir den Kunden und seine Unternehmung kennen. Schnellstmöglich entwickeln wir, durch einen 360°-Blick, die aktuelle Datenschutz- und IT-Sicherheitslandkarte. Die Ist-Analyse ist dann abgeschlossen.
2) Im zweiten Schritt schauen wir uns genau die aktuellen Schwachstellen im Unternehmen an. Welche Themen müssen fokussierter behandelt werden und welche Prozesse sind vielleicht noch nicht erstellt worden? Damit schließt die Soll-Analyse ab.
3) Bei unserem dritten Schritt erarbeiten wir die notwendigen ‚Findigs‘ anhand von Arbeitspaketen ab. Dies geschieht entweder ‚Hand in Hand‘ mit dem Kunden oder komplett durch unsere Berater. Diese Phase endet mit der Komplettierung der Arbeitspakete.
4) Im vierten und letzten Schritt wiederholt sich das Audit aus der 1. Phase. Nun sollte der Kunde allerdings im Bereich Datenschutz- und IT-Sicherheit sehr gut aufgestellt sein. Die Phase 4 endet mit einer Mitarbeitersensibilisierung in Form einer Schulung in Präsenz oder per Web-Meeting.
Kontakt
+49 (0)2972 963 9 612
Unter der Stadtmauer 2, 57392 Schmallenberg
Montag bis Freitag 09:00 bis 17:00 Uhr
Schnelltest
Lassen Sie uns gemeinsam prüfen, welchen Bedarf Sie in IT-Sicherheit haben!