Ein Penetrationstest, auch Pentest genannt, ist ein autorisierter simulierter Cyberangriff auf ein Computersystem, der durchgeführt wird, um die Sicherheit des Systems zu testen und zu bewerten. Der Test wird durchgeführt, um Schwachstellen zu identifizieren, einschließlich des Potenzials für Unbefugte, Zugriff auf die Funktionen und Daten des Systems zu erhalten. Es werden verschiedene Methoden verwendet, um die Sicherheit eines IT-Systems zu gewährleisten, indem versucht wird, einen Teil oder die gesamte Sicherheit dieses Systems zu verletzen, wobei dieselben Tools und Techniken wie die eines Gegners verwendet werden.

Der Pentester prüft in der Regel die Zielsysteme und ein bestimmtes Ziel eines Systembesitzers bzw. Stakeholders. Ein Penetrationstest kann helfen, festzustellen, ob ein System anfällig für Angriffe ist, ob die Abwehrkräfte gegen Angreifer ausreichen und welche Angriffsarten womöglich ein großes Potential haben. Penetrationstestberichte können auch potenzielle Auswirkungen auf die Organisation bewerten und Gegenmaßnahmen zur Risikominderung vorschlagen.

Die Ziele eines Penetrationstests variieren in Abhängigkeit von der Art der genehmigten Aktivität für ein bestimmtes Engagement, wobei das Hauptziel darin besteht, Schwachstellen zu finden, die von einem schändlichen Akteur ausgenutzt werden könnten, und den Kunden über diese Schwachstellen zusammen mit empfohlenen Abhilfemaßnahmen zu informieren.

Ablauf Penetrationstest im 7 Phasen Modell

Manche Modelle zum Ablauf eines Penetrationstests beschreiben 4 oder 5 Phasen. Wir gehen daher heute darauf ein, weswegen eine Ergänzung um 2 bis 3 weitere Phasen sinnvoll ist.

Natürlich könnte man ein Attack Management Tool einfach starten und dranbleiben, aber das würde kein professioneller Penetration Tester tun. Methodisch gesehen wäre das wie ein Elefant im Porzelanladen. Ein Profi würde versuchen, so leise wie möglich vorzugehen. Es gibt einen Gold-Standard für die Annäherung an einen Penetrationstest (PTES) oder besser gesagt: Penetration Testing Execution Standard. Dieser besteht aus sieben Phasen.

Schauen wir uns also die sieben verschiedenen Phasen an und sprechen anschließend über jeden Schritt.

  1. Interaktionen vor dem Test
  2. Informationsbeschaffung
  3. Bedrohungsmodellierung
  4. Schwachstellenanalyse
  5. Auswertung
  6. Nach der Auswertung
  7. Berichterstattung

Phase 1 Interaktionen vor dem Test

Dies sind im Wesentlichen die Bedingungen, die wir mit Ihnen vereinbaren. Gemeinsam definieren wir den Umfang des Penetrationstests, die Gesamtkosten mit Zeitschätzung und die allgemeinen Einsatzregeln.

Phase 2 Informationsbeschaffung

In dieser Testphase werden so viele Informationen wie möglich über das Ziel erfasst. Unter anderem durch OSINT oder Open Source Intelligence, eine Form der Aufklärung, bei der Informationen aus öffentlich zugänglichen Ressourcen wie Social Media-Profilen, Websites usw. gesucht, ausgewählt und beschafft werden.

Während der Informationsbeschaffung wird also versucht, möglichst verschiedene Einstiegspunkte in eine Organisation über physische, elektronische oder soziale (menschliche) Kanäle via beispielsweise Phishing oder Social Engineering zu ermitteln.

Phase 3 Bedrohungsmodellierung

In der dritten Phase wird ein Bedrohungsmodellierungsansatz definiert, der für die korrekte Durchführung eines Penetrationstests erforderlich ist.

Die Bedrohungsmodellierung ist ein Prozess, mit dem potenzielle Bedrohungen, wie z. B. strukturelle Schwachstellen, identifiziert, aufgelistet und priorisiert werden können.

Alles aus der Sicht eines hypothetischen Angreifers. Der entscheidende Punkt dabei ist, dem Verteidiger eine systematische Analyse des Profils

  • des wahrscheinlichen Angreifers,
  • der wahrscheinlichsten Angriffsbereiche
  • und der von einem Angreifer am meisten gewünschten Vermögenswerte zur Verfügung zu stellen.

Penetrationstestmethoden die dabei zum Einsatz kommen können:

  • Externe Prüfung
    Externe Penetrationstests zielen auf die Vermögenswerte eines Unternehmens ab, die im Internet sichtbar sind, z. B. die Webanwendung selbst, die Unternehmenswebsite sowie E-Mail- und Domain-Name-Server (DNS). Ziel ist es, Zugang zu erhalten und wertvolle Daten zu extrahieren.
  • Interne Tests
    In einem internen Test simuliert ein Tester mit Zugriff auf eine Anwendung hinter seiner Firewall einen Angriff eines böswilligen Insiders. Dies simuliert nicht unbedingt einen betrügerischen Mitarbeiter. Ein häufiges Startszenario kann ein Mitarbeiter sein, dessen Anmeldeinformationen aufgrund eines Phishing-Angriffs gestohlen wurden.
  • Blindtest
    In einem Blindtest erhält ein Tester nur den Namen des Unternehmens, auf das er abzielt. Auf diese Weise kann das Sicherheitspersonal in Echtzeit nachvollziehen, wie ein tatsächlicher Anwendungsangriff erfolgen würde.
  • Doppelblind-Test
    Bei einem Doppelblindtest hat das Sicherheitspersonal keine Vorkenntnisse über den simulierten Angriff. Wie in der realen Welt haben sie keine Zeit, ihre Verteidigung vor einem versuchten Verstoß zu stärken.
  • Gezieltes Testen
    In diesem Szenario arbeiten der Tester und das Sicherheitspersonal zusammen und halten sich gegenseitig über ihre Bewegungen auf dem Laufenden. Dies ist eine wertvolle Schulungsübung, die einem Sicherheitsteam Echtzeit-Feedback aus der Sicht eines Hackers liefert.
  • Penetrationstests und Firewalls für Webanwendungen
    Web Application Firewall, bzw. WAFs stellen eine vorteilhafte Sicherheitsmaßnahme dar, dessen Funktionsfähigkeit im Rahmen eines Tests geprüft werden kann.

Bei vielen Arten von Pen-Tests (mit Ausnahme von Blind- und Doppelblind-Tests) verwendet der Tester wahrscheinlich WAF-Daten, z. B. Protokolle, um die Schwachstellen einer Anwendung zu lokalisieren und auszunutzen.

Analyse der Sicherheitsanfälligkeit in Phase 4

Nun kommen wir zum aufregenderen Teil. Eine Schwachstellenanalyse wird verwendet, um Fehler in Systemen und Anwendungen zu entdecken, die von einem Angreifer genutzt werden können.

Diese Fehler können allesamt auf eine falsche Konfiguration von Hosts und Diensten, unsicheres Anwendungsdesign, nicht gepatchte Systeme usw. zurückzuführen sein.

Es gibt zwei Arten der Schwachstellenanalyse: Aktiv und Passiv.

Aktiv wäre eine direkte Interaktion mit dem getesteten Gerät, Passiv wäre beispielsweise Metadatenanalyse oder Datenverkehrsüberwachung.

Die aktive Analyse bietet naturgemäß ein höheres potential Schwachstellen im System zu finden.

Phase 5 Auswertung

Lasst die Spiele beginnen! Der Teil, den Experten für IT Sicherheit sicherlich am meisten genießen – Die Auswertung.

Hier versuchen wir aktiv, in ein System einzudringen. Wenn die vorherige Phase ordnungsgemäß durchgeführt wurde, sollten wir auch genau wissen, wo Angriffe zielführend sein können.

Der Hauptpunkt besteht darin, den Haupteinstiegspunkt in eine Organisation zu ermitteln und hochwertige Zielressourcen zu identifizieren.

Phase 6 Nach der Auswertung

Der Zweck dieser Phase besteht darin, den Wert der angegriffenen Maschine zu bestimmen. Der Wert der Maschine wird durch die Empfindlichkeit der Daten gemessen. Außerdem spielen Ausbreitungsmöglichkeiten von dieser erbeuteten Maschine eine Rolle.

Phase 7 Berichterstattung

Diese Phase ist, wie der Name schon sagt, die Berichterstattungsphase und gleichzeitig die wertvollste Phase für Sie. Hier dokumentieren wir alle Ihre Befunde und klassifiziert diese in verschiedenen Risikokategorien.

Hierzu kann die Informationssicherheitsrisiko-Bewertungsskala verwendet werden

Risikoklassifizierung
pentest-standard.org

Der Bericht ist in zwei Hauptabschnitte gegliedert: Die Zusammenfassung und der Technische Bericht.

Die beabsichtigte Zielgruppe für das erste wären die Verantwortlichen für die Aufsicht und die strategische Vision des Sicherheitsprogramms.

Die beabsichtigte Zielgruppe des letzteren wären die Verantwortlichen des eigentlichen Netzwerks.

Diese 7 Regeln sind nicht in Stein gemeißelt.

Wir können, wenn Sie es wünschen, Elemente wie Local / Network Enumeration, Local Privilege Eskalation, Domain Privilege Eskalation usw. als separate Phasen während des Tests noch hinzufügen.

Unserer Erfahrung nach sind ca. 70% aller Webseiten verwundbar. Wir prüfen gerne Ihre Seite auf

  • SQL Injections, XSS, OWASP Top10 und 3000 weitere vulnerabilities
  • Deep Crawl & Analyse
  • Hohe Erkennungsrate mit wenigen falsch positiven Treffern
  • Verwundbarkeits- /Vulnerability-Scanning & Management mit der Priorisierung von Security Threads


Kontaktieren Sie uns hier via Telefon oder Kontaktformular zum Thema Penetationstest.

ITsys.haus