Vorgehensweise und technische Aspekte
Wie ist ein Penetration Test aufgebaut?
Jeder Penetrationstest wird individuell durchgeführt und richtet sich nach den Schwerpunkten des Auftraggebers. Der Testgegenstand (Schwerpunkt Web-Anwendung oder zum Beispiel klassisches Firmen-Netzwerk) und die Breite der Tests (Stichproben oder Testen z.B. aller verfügbarer Komponenten, alle Formulare einer Web-Anwendung) werden bei der Angebotserstellung berücksichtigt. Der klassische Penetrationstest wird üblicherweise in zwei Teilen mit entsprechenden Phasen durchgeführt.
Äußerer Black-Box-Test
Bei diesem Test werden ohne Kundeninformationen und ohne Wissen der zuständigen IT-Abteilung des Kunden dessen Netzwerk von außen nach Sicherheitslücken durchsucht. Durch die gewonnenen Erkenntnisse kann abgeleitet werden, ob und mit welchem Aufwand ein externer Angreifer unautorisiert Zugriffe auf das Kundennetz bzw. an vertrauliche Daten in diesem gelangen kann. Alle durch den Test anfallenden relevanten Daten werden dem Kunden in Form einer ausführlichen Dokumentation mitgeteilt.
Interner White-Box-Test
Bei diesem Test wird das interne Netzwerk des Kunden nach sicherheitskritischen Schwachstellen durchsucht. Im Gegensatz zum Black-Box-Test wird mit der IT-Abteilung des Kunden zusammengearbeitet. Im Rahmen dieser Zusammenarbeit versorgt uns die IT-Abteilung des Kunden mit Netzwerkplänen, Security Policies und weiteren Unterlagen, die für die Analyse des Netzes relevant sind.
Wie beginnt ein Penetration Testing aus technischer Sicht?
Der erste Schritt beim Penetration Testing ist die Datenerhebung. Je nach Testfall wird in dieser Phase zunächst im Internet nach relevanten Informationen über das Kundennetzwerk oder die Web-Anwendung und dessen Sicherheitsmaßnahmen gesucht.
Mit den dadurch gewonnenen Informationen werden anschließend verschiedene Testszenarien durchgeführt.
Dies sind beim Test der IT-Infrastruktur zum Beispiel: Port-, Banner- und Network-Scans sowie OS-Fingerprints und Spider-Abfragen, mit denen ein möglichst vollständiger Netzwerkplan des externen Kundennetzwerkes, inklusive IP-Adressen, DNS-Namen, verwendeten Betriebssystemen und aktiven Diensten erstellt wird.
Beim Penetration Testing einer Web-Anwendung werden hingegen Informationen zu dieser Anwendung ausfindig gemacht. So zum Beispiel alte nicht referenzierte Dateien, sowie Datensicherungen und Admin-Interfaces.
Der nächste Schritt ist die Analyse der erhobenen Daten. Hier werden die aus der Phase 1 gewonnene Informationen systematisch nach sicherheitsrelevanten Schwachstellen durchsucht. Zu dieser Analyse gehört bei der Betrachtung der IT-Infrastruktur unter anderem die Analyse der Patchlevel der eingesetzten Betriebssysteme. Hierbei können Sicherheitslücken der verwendeten Betriebssysteme aufgedeckt werden. Werden hier Schwachstellen aufgedeckt, wird der Versuch gestartet, durch diese Schwachstellen in das System einzudringen. Durch dieses Vorgehen, kann festgestellt werden, ob Schwachstellen ausgenutzt werden können, welche Folgerisiken dies mit sich zieht und wie kritisch die gefunden Lücken sind.
Weitere Tests aus unserem Portfolio werden individuell mit dem Partner besprochen und je nach Wunsch mit in das Angebot übernommen.