Der erste Schritt beim Penetration Testing ist die Datenerhebung. Je nach Testfall wird in dieser Phase zunächst im Internet nach relevanten Informationen über das Kundennetzwerk oder die Web-Anwendung und dessen Sicherheitsmaßnahmen gesucht.
Mit den dadurch gewonnenen Informationen werden anschließend verschiedene Testszenarien durchgeführt.
Dies sind beim Test der IT-Infrastruktur zum Beispiel: Port-, Banner- und Network-Scans sowie OS-Fingerprints und Spider-Abfragen, mit denen ein möglichst vollständiger Netzwerkplan des externen Kundennetzwerkes, inklusive IP-Adressen, DNS-Namen, verwendeten Betriebssystemen und aktiven Diensten erstellt wird.
Beim Penetration Testing einer Web-Anwendung werden hingegen Informationen zu dieser Anwendung ausfindig gemacht. So zum Beispiel alte nicht referenzierte Dateien, sowie Datensicherungen und Admin-Interfaces.
Der nächste Schritt ist die Analyse der erhobenen Daten. Hier werden die aus der Phase 1 gewonnene Informationen systematisch nach sicherheitsrelevanten Schwachstellen durchsucht. Zu dieser Analyse gehört bei der Betrachtung der IT-Infrastruktur unter anderem die Analyse der Patchlevel der eingesetzten Betriebssysteme. Hierbei können Sicherheitslücken der verwendeten Betriebssysteme aufgedeckt werden. Werden hier Schwachstellen aufgedeckt, wird der Versuch gestartet, durch diese Schwachstellen in das System einzudringen. Durch dieses Vorgehen, kann festgestellt werden, ob Schwachstellen ausgenutzt werden können, welche Folgerisiken dies mit sich zieht und wie kritisch die gefunden Lücken sind.
Weitere Tests aus unserem Portfolio werden individuell mit dem Partner besprochen und je nach Wunsch mit in das Angebot übernommen.
Top
print
