Penetrationstests

Heute kommen Unternehmen nicht mehr ohne „Information Sharing“ (z.B. mit Kunden oder Geschäftspartnern) aus. Deshalb ist es unerlässlich, diese Informationen vor unbefugtem Zugriff zu schützen. Ob die Maßnahmen, die Sie zum Schutz Ihrer vertraulichen Informationen einsetzen, ausreichend sind, lässt sich durch regelmäßige, unabhängige Sicherheitsaudits feststellen.

Manuelle Penetrationstests

Viele der möglichen Eindringszenarien und „Vandalenakte“ lassen sich nur durch menschliche Analyse und Beobachtung erkennen, vor allem bei der Beurteilung auf welches Schadensziel es der Angreifer abgesehen haben könnte. So ist  es von Bedeutung, zu wissen, welches Business Modell hinter einer Webseite steht bzw. zu welchem Zweck eine Webseite betrieben wird und welchen möglichen Risiken sie damit ausgesetzt ist. Die möglichen Risiken und Gefahren kann nur ein erfahrener Analyst bewerten. Nur seine fachliche Kompetenz ermöglicht es ihm, zu beurteilen, welche Kombination von Schwachstellen als mögliches Angriffsszenario benutzt werden kann.

Wie werden Tests durchgeführt, was wird betrachtet?

Im Rahmen des technisch-manuellen State-of-the-Art untersucht der Experte die vom Kunden genannte Infrastruktur. Dies kann durch Scannen einzelner IP-Adressen, IP-Subnetze oder URLs erfolgen. Dabei wird unterschiedlich vorgegangen:

Viele der möglichen Eindringszenarien und „Vandalenakte“ lassen sich nur durch menschliche Analyse und Beobachtung erkennen, vor allem bei der Beurteilung auf welches Schadensziel es der Angreifer abgesehen haben könnte. So ist  es von Bedeutung, zu wissen, welches Business Modell hinter einer Webseite steht bzw. zu welchem Zweck eine Webseite betrieben wird und welchen möglichen Risiken sie damit ausgesetzt ist. Die möglichen Risiken und Gefahren kann nur ein erfahrener Analyst bewerten. Nur seine fachliche Kompetenz ermöglicht es ihm, zu beurteilen, welche Kombination von Schwachstellen als mögliches Angriffsszenario benutzt werden kann.

Ihr Nutzen

• Überprüfung durch spezialisierte und erfahrene Experten
  
• Überprüfung durch objektive Berater
  
• Überprüfung der vorhandenen Netzwerkstruktur und Webapplikationen auf
  

• vertiefter systematischer Check
• Szenario-Analyse
  
• Verbesserung der technischen Infrastruktur durch Expertenrat
• Erkennung von möglichen organisatorischen Mängeln

Ablauf Netzwerkpenetrationtest

• Erkunden des Netzwerks mittels Portscan, Traceroute, ...
• Feststellen der Netzwerktopologie (Internetanbindung(en), Router,  Firewall(s) etc)
• Feststellen der ereichbaren Services
• Recherche über bekannte Schwachstellen der verwendeten Services und Geräte
• Versuch, diese Schwachstellen auszunutzen
• bei erfolgreichem Ausnutzen von Schwachstellen Verwertung der 

• Versuch, aus einer Kombination der vorgefundenen Infrastruktur

• Solange neue Informationen gewonnen wurden, zurück zum Start
• Erstellung der Dokumentation
  
• Verknüpfung des technischen Audits mit den Inhalten der ISO/IEC 27001 (optional)
  

Ablauf Applikationsaudit

• Erkunden der Applikation, Feststellen von Strukturen wie URL-Aufbau, Datenbankstruktur, 

• Erfassen möglicher Schwachstellen
• Versuch, diese Schwachstellen auszunutzen, meist mit Hilfe dafür erstellter Programme
• Solange neue Informationen gewonnen wurden, zurück zum Start
• Erstellung der Dokumentation

Dokumentation:

Alle Verwundbarkeiten der angegriffenen Systeme werden dokumentiert. Die Findings werden kategorisiert, interpretiert, bewertet und verständlich für die jeweilige Leserzielgruppe aufbereitet. Sie dienen somit als Handlungsgrundlage und Empfehlung zur Behebung von Mängeln. Anschließend wird dem Management die Analyse präsentiert und offene Fragen beantwortet. Abschließend werden auf Wunsch in einem technischen Workshop die Untersuchungsergebnisse mit den IT-Verantwortlichen besprochen.

Beispiele von Funden:

Varianten von Penetrationstests:

Je nachdem was vom Kunden gewünscht ist, wird die Infrastruktur, entweder von außen als externer Penetrationstest, als interner Audit oder als Web-Applikation-Pentest durchgeführt.

• externer Penetrationstest (Black Box)

Die aus dem Internet erreichbaren Systeme werden mittels Black Box Penetrationstest auf Sicherheitslücken untersucht. Dabei werden vom Kunden nur die betroffenen IP-Adressen bekannt gegeben und aus der Perspektive eines externen Angreifers, der über keine weiteren Insider-Informationen verfügt, untersucht.

• Web-Applikationsaudit

Die Webapplikationen werden jeweils aus Sicht eines externen Users ohne Login, wenn nötig auch mit einem gültigen Account, untersucht. Das Augenmerk liegt dabei darauf, ob es möglich ist, Rechte zu erlangen, die für jene Usergruppe nicht vorgesehen sind. Es wird auch erforscht, ob insbesondere auf die Administrationsschnittstellen der Applikation zugegriffen werden kann, Daten abgezogen werden können oder aber auch dem sog. „Defacement“, dem Verändern von Webseiten. Unter anderem werden die Applikationen auf nachfolgende Schwachstellen überprüft:

Ein Auszug daraus:

·       Injection (SQL, CRLF, Code,...)

·       Cross-Site-Scripting

·       Directory Traversal

·       Path Traversal

·       Information Leaks

·       Session Handling Flaws

·       URL Enumeration

·       Forceful Browsing

·       Konfigurationsmanagement

·       Session Management

·       System-/Fehlermeldungen

·       Datenbankenzugriff

·       Einbindung von Dateien

·       Formulare und Benutzereingaben

CoreTEC bietet ebenfalls einen Workshop zum Thema „Sicherheitsstandards in der Webentwicklung“ an. Dieser richtet sich an Entwickler von Webapplikationen, mit dem Ziel Webapplikationen zukünftig sicherer zu gestalten.

• Interner Penetrationstest

Interne Penetrationstests gehen von dem Szenario aus, dass ein Angreifer Zugriff auf das interne Netzwerk des Kunden erlangt, und versuchen die Fragestellung zu beantworten, was dieser Angreifer im Netz anrichten bzw. auf welche Informationen er zugreifen könnte. Dazu wird in einer zeitlich beschränkten ersten Phase ein Black Box-Test durchgeführt, d.h. es werden vom Kunden keinerlei Informationen bereitgestellt.  Da ein reiner Black Box-Test in heutigen komplexen Netzwerken jedoch viel Zeit in Anspruch nehmen würde, werden in einer zweiten Phase in enger Kooperation mit dem Kunden potentiell interessante Ziele festgelegt und diese in einem White Box-Ansatz untersucht. Damit ist eine effiziente Nutzung der Zeit und eine Konzentration auf wesentliche Assets möglich.

• Automatisierter Penetrationstest mit Acunetix Web Vulnerability Scanner

Im Rahmen des technischen State-of-the-Art untersucht die eingesetzte Software von Acunetix (Scanner) automatisch und vollständig Web-Applikationen. Dabei werden die von Hackern verwendeten Angriffsszenarien nachgestellt und alle Systembestandteile und Anwendungen des Softwaresystems  automatisiert bis ins letzte Detail untersucht. Neben Programmierschwachstellen, die bei der Erstellung der Applikationen entstehen können, findet Acunetix Konfigurationsfehler auf den Web- sowie den Applikationsservers. Insbesondere werden Parameter-Manipulationen durchgeführt, sowie Files und Directorys untersucht. Die Suche nach applikationsbezogenen Schwachstellen, nach schwachen Passwörtern, sowie die Durchführung von Portscans sind als Standardchecks integriert. Eine Besonderheit stellt die Abfrage der Google Hacking Database mit mehr als 1200 Einträgen dar. CoreTEC passt den Scanner für die jeweiligen Spezifika der  Anwendungen an, überwacht den Testlauf und erstellt die Berichte.

Ein automatisierter Penetrationstest bietet Ihnen folgende Vorteile:

•  spezialisierter Webapplikationstester

• systematisch-kompletter Check
• verschafft ersten Überblick über verwundbare Stellen
• günstig- und schneller Penetrationstest
• Preisvorteil gegenüber gezielten manuellen Tests

Um Informationen zu unseren Produkten zu erhalten klicken Sie bitte hier!