Penetrationstest

Wir prüfen Ihre Infrastruktur aktiv auf Sicherheitslücken und Schwachstellen aus der Sicht eines reelen Angreifers.

Ein Penetrationstest ist keine Schwachstellenanalyse, sondern geht einen Schritt weiter und es wird aktiv versucht, vorhandene Schwachstellen auszunützen und somit Zugriff auf Ihre Systemlandschaft zu erhalten.

Im Gegensatz zu vielen anderen Anbietern verlassen wir uns dabei nicht auf Automatismen, sondern prüfen die Systeme im Detail.

Bei einem Penetrationstest kommen verschiedene Mechanismen und Tools zum Einsatz, wir bieten aber keinen Standardsatz von Produkten, die wir bei einem Test einsetzen, sondern beurteilen je nach Situation, was am Sinnvollsten für das jeweilige Szenario ist.

So macht es unserer Meinung nach keinen Sinn, Schwachstellenscanner voll automatisiert auf einen bestimmten Netzbereich loszulassen um möglichst viele potentielle Schwachstellen zu finden, sondern wir fokusieren uns auf das Wesentliche und führen keine sinnlosen Tests durch, die nur Zeit und Geld verschwenden.

 

Ziele

Die Ziele eines jeden Penetrationstests sollten sein:

-Erhöhung der Sicherheit der technischen Systeme

-Identifikation von Schwachstellen

-Bestätigung der IT-Sicherheit durch einen externen Dritten

-Erhöhung der Sicherheit der organisatorischen und personellen Infrastrukt

 

Festlegung der Kriterien

Penetrationstests lassen sich anhand verschiedener Kriterien voneinander unterscheiden. Dazu gehört beispielsweise die Informationsbasis, die Vorsicht bzw. Aggressivität beim Testen oder der Umfang. In der folgenden Abbildung werden auf der linken Seite sechs Kriterien aufgelistet – je nach Kombination macht dies einen Penetrationstest von anderen unterscheidbar.

Informationsbasis

Es wird unterschieden zwischen dem sogenannten "Black-Box" und "White-Box" Test.

Black-Box-Test:

Hier wird ein realistischer Angriff aus Sicht eines Hackers simuliert. Der Tester erhält keine Informationen bezüglich der zu testenden Infrastruktur.

Ein Black-Box-Test „simuliert“ realistisch einen Angriff eines typischen Internet-Hackers.

White-Box Test:

Hier wird ein Angriff aus der Sicht eines Mitarbeiters oder beispielsweise eines externen Dienstleisters simuliert.

Bei dieser Methode erhält der Tester vorab Informationen über die zu testende Infrastruktur.

Die Festlegung der zur Verfügung stehenden Detailkenntnisse kann hierbei stark variieren und beispielsweise nur bestimmte Komponenten beinhalten.

 

Aggressivität

Hier unterscheidet man die vier verschiedenen Stufen passiv, vorsichtig, abwägend und aggressiv:
 
passiv:
 
evtl. vorhandene Sicherheitslücken werden nicht aktiv ausgenutzt. Dies entspricht eigentlich eher einer Schwachstellenanalyse (Vulnerability Assessment).
 
vorsichtig:
 
Es wird versucht, gefundene Schwachstellen auszunutzen, allerdings nur dann, wenn eine Beeinträchtigung des Systems ausgeschlossen werden kann.

abwägend:

In dieser Stufe wird auch versucht, Schwachstellen auszunutzen, die evtl. zu Systembeeinträchtigungen führen könnten, wie z.B. Brute-Force Angriffe auf oder Buffer-Overflows. Allerdings wird vorher abgewägt, wie aussichtsreich eine solche Attacke ist und ob es den Aufwand bzw. das Risiko auch Wert ist.

aggressiv:
 
Hier wird mit allen Mitteln versucht, vorhandene Schwachstellen auszunutzen, auch auf die Gefahr hin, dass das System dann nicht mehr erreichbar ist. In diesem Modus kommen unter Umständen auch Denial of Service Attacken zum Einsatz.


Umfang

Der Umfang eines Penetrationstests wird in die Stufen vollständig, begrenzt und fokussiert unterteilt.
 
vollständig:
 
Sämtliche erreichbaren Systeme werden geprüft. Dies ist bei einem erstmaligen Test der Standard, um ein sinnvolles Gesamtbild zu haben. Komponenten, die nicht in der Hoheit des Auftraggebers liegen, dürfen ohne spezielle Genehmigung (z.B. des Hosting Providers) allerdings trotzdem nicht geprüft werden. Bei einer weitgehend homogenen Systemlandschaft reduziert sich der Aufwand, bei einer sehr heterogenen Landschaft steigt er.
 
begrenzt:
 
Hier wird der Umfang auf eine bestimmte Anzahl von Systemen, Diensten oder auch eines definierten Bereichs (z.B. Firewall, Mailserver, DMZ) begrenzt.

fokussiert:

Die Tests fokussieren sich z.B. auf ein einzelnes System oder Dienst. Diese Tests sind sinnvoll, wenn eine bereits bestehende Landschaft geändert wurde. Eine Aussage über die Sicherheit insgesamt kann hier allerdings nicht mehr getroffen werden.

 

Vorgehensweise

Hier unterscheiden wir zwischen "verdeckt" und "offensichtlich".

verdeckt:

Die verdeckte Vorgehensweise wird normalerweise im Rahmen eines Black-Box Tests angewand. Dies simuliert die realistische Vorgehensweise eines professionellen Angreifers, der möglichst unentdeckt bleiben will. Dies ist auch sinnvoll, da Sicherheitsmechanismen wie Firewalls oder Intrusion Detection / Prevention Systeme ansonsten sehr schnell reagieren und den Angriff erkennbar machen.

offensichtlich:

Die offensichtliche Vorgehensweise wird normalerweise bei White-Box Tests verwendet, die einen möglichst vollständigen Umfang beinhalten sollen. Hier sind in der Regel die Ansprechpartner des Auftraggebers involviert, um auf unvorhersehbare Probleme schnellstmöglich reagieren zu können (z.B. vollgelaufene Logdateien).

 

Technik

Hier ist gemeint, welche Techniken beim Penetrationstest zum Einsatz kommen sollen. Die Techniken werden eingeteilt in Netzwerkzugang, sonstige Kommunikation, physischer Zugang und Social-Engineering.

Die Technik, die bei jedem Test zum Einsatz kommt, ist der Angriff über das Netzwerk.
 
Netzwerkzugang:

Dies simuliert den klassischen Hackerangriff und man spricht hier von einem IP-basierenden Penetrationstest.

physischer Zugang:
 
Da viele Unternehmen heutzutage über starke Sicherheitsmechanismen verfügen und das Sicherheitsniveau entsprechend hoch ist, kann es für einen Angreifer wesentlich einfacher sein, diese Mechanismen einfach zu umgehen, indem er versucht, physischen Zugriff auf die Systeme zu bekommen. Dies kann z.B. passieren, wenn es keine vernünftigen Zutrittskontrollen zum Firmengebäude gibt und der Angreifer unberechtigten Zugang zum Gebäude oder dem Serverraum erlangen kann.
 
sonstige Kommunikation:
 
Hierunter versteht man Angriffe auf Komponenten wie Telefonablagen oder WI-FI Accesspoints. Sind Wireless LANS im Einsatz, sollten dies unbedingt überprüft werden.
 
social Engineering:

Die einfachste Möglichkeit, die gängigen Sicherheitsmechanismen zu umgehen, sind die Menschen, die in dieser Umgebung arbeiten. Der Mensch ist das schwächste Glied in der Kette der IT-Sicherheit und dies führt zu einem Großteil der Sicherheitsvorfälle in den Unternehmen.



Ausgangspunkt

extern:
 
Da die meisten Angriffe (wenn auch nicht die Erfolgreichsten) über das Internet erfolgen, sollte man diesem Bereich besondere Aufmerksamkeit zukommen lassen und vor allem auch Komponenten wie Firewalls, Reverse Proxy, Load Balancer etc. in den Test miteinbeziehen. Dadurch können nicht nur potentielle Risiken der von außen erreichbaren Komponenten wie z.B. den Mailrelays oder dem Internetauftritt geprüft, sondern auch die Konfiguration der Sicherheitsmechanismen an sich getestet werden, da ein kleiner Konfigurationsfehler sehr große Auswirkungen haben kann und ohne Absicht schnell passiert ist.
 
intern:
 
Interne Tests sind ideal, um zu prüfen, ob die Sicherheitsrichtlinien der Organisation technisch umgesetzt wurden und funktional sind. So kann z.B. geprüft werden, ob sensible Bereiche über die benötigten Zugriffskontrollen verfügen und nicht authorisierter Zugriff auf Daten möglich ist. Darüber hinaus dienst ein interner Test auch dazu, zu identifizieren, was passieren kann, wenn die externen Sicherheitsmechanismen überwunden wurden.
 

Phasen eines Penetrationstests

Vorbereitung

Gemeinsam mit Ihnen stimmen wir Ziele, Zeiträume, die Art des Tests sowie die Vorgehensweise ab, bestimmen Ansprechpartner, sichten bei einem Whitebox-Test vorhandene Dokumente und befragen ggf. Produktverantwortliche.

Informationsbeschaffung und Auswertung

Wir führen einen Scannerlauf durch, setzen automatisierte Tools ein und sammeln Informationen aus öffentlichen Quellen.

Bewertung

In dieser Phase werden die gesammelten Informationen bewertet und priorisiert. Anhand der gewonnenen Informationen können zielgerichtet Informationen über Schwachstellen gesucht werden.

Qualifizierte Angriffe

Die identifizierten Schwachstellen werden aktiv geprüft und ausgenutzt.

Abschlussanalyse

Wir analysieren und dokumentieren die Resultate und erarbeiten auf dieser Basis einen priorisierten Maßnahmenkatalog sowie ein Management Summary