Pentest-Verfahren

Pentest-Verfahren
Penetration Test Kosten

In diesem Blog-Beitrag werden wir im Pentest-Verfahren eintauchen und Ihnen jede Phase des Penstests im Detail erklären. Wenn Sie jedoch neu auf dem Gebiet der Penstests sind und mehr Informationen über Pentesting im Allgemeinen erfahren möchten, können Sie unseren Penetration Testing Blogbeitrag gerne lesen.

Inhalt:

Pentest-Verfahren definieren verschiedene Ansätze, wie Pentests organisiert und durchgeführt werden. Es gibt verschiedene Methoden für Pentests, um Sicherheitsschwachstellen in einem Unternehmen aufzudecken. Jede Methode beschreibt den Prozess, den ein Unternehmen zur Aufdeckung dieser Schwachstellen anwenden kann. Unternehmen können zwar ihre eigenen Verfahren verwenden, aber viele etablierte, in der Branche anerkannte Methoden sind eine gute Option für Unternehmen. Einige Unternehmen verwenden diese entwickelten Methoden als “Out-of-the-Box”-Lösung, während andere sie als Grundlage verwenden, auf der sie aufbauen können.

Es besteht kein Zweifel daran, dass regelmäßige Penetrationstests ein wesentlicher Bestandteil des Schwachstellenmanagementprozesses sind, um Risiken zu verringern. Es ist wichtig sicherzustellen, dass Penetrationstests effizient sind, und die Verwendung der richtigen Penetrationstestmethode ist ein wesentlicher Bestandteil davon. In diesem Zusammenhang definiert eine Methodik die Logik, nach der verschiedene Testfälle durchgeführt werden, um die Sicherheit eines Assets zu bewerten.

In der Vergangenheit wurden mehrere Standards und Rahmenwerke für Penetrationstests veröffentlicht. Pentest-Verfahren spielen eine umfassende Rolle beim Benchmarking von Praktiken. So sind beispielsweise die OWASP Top 10 der Anwendungssicherheitsrisiken der Standard für die Bewertung von Webanwendungen. Das populäre NIST Cyber Framework des US-Handelsministeriums, das Open-Source Security Testing Methodology Manual und der Pentesting Execution Standard sind weitere Methoden und Standards, die von Organisationen weltweit befolgt werden. OWASP, CIS-Benchmarks und SANS Top 20 Critical Controls sind häufig die beliebtesten Benchmarks für die Prüfung von Schwachstellen.

Pentest-Verfahren: Arten von Pentests

Netzwerk-Pentest

Bei einem Netzwerk-Penetrationstest werden Schwachstellen in Anwendungen und Systemen durch den gezielten Einsatz verschiedener bösartiger Techniken aufgedeckt, um die Sicherheit des Netzwerks bzw. die fehlende Reaktion darauf zu bewerten.

Wie die Schwachstellenbewertung zielt auch ein Netzwerk-Penetrationstest, der auch als Pentest bezeichnet werden kann, darauf ab, Schwachstellen in einem Netzwerk aufzudecken.

Die Durchführung von Netzwerktests auf Ihren Systemen bringt einige grundlegende Vorteile mit sich:

  • Verstehen der Netzwerk-Baseline
  • Testen Ihrer Sicherheitsinfrastruktur und Kontrollen
  • Verhinderung von Netzwerk- und Datenverletzungen
  • Gewährleistung der Netzwerk- und Systemsicherheit

Pentests von Web-Anwendungen

Pentesting von Webanwendungen bezieht sich auf den Prozess der Vorbereitung eines Hackerangriffs auf Ihre Webanwendung, um Schwachstellen zu erkennen und zu analysieren, die ein Angreifer ausnutzen könnte. Der gesamte Prozess der Penetrationstests für Webanwendungen zielt darauf ab, Ihnen zu helfen, den Sicherheitsstatus Ihrer Webanwendung besser zu verstehen, sei es in Bezug auf ihre Stärke und Widerstandsfähigkeit gegenüber einer Vielzahl von Cyberangriffen.

Der übliche Prozess des Pentesting einer Webanwendung umfasst Fehlkonfigurationen, ungepatchte Software, SQLi, Cross-Site Scripting und vieles mehr. Dazu gehört ein Schwachstellen-Scanner, der Schwachstellen in Ihrem System aufspürt. Anschließend versuchen manuelle Pentester, diese vom Scanner gefundenen Schwachstellen zu bestätigen. Darüber hinaus können Sie beim manuellen Scannen einen Schritt weiter gehen und so komplexe Schwachstellen wie Fehler in der Geschäftslogik für das Scannen und Schwachstellen an Zahlungszugängen erkennen.

Social Engineering Pentests

Unter Social Engineering Penetrationstest versteht man die Durchführung typischer Social-Engineering-Betrugsversuche bei den Mitarbeitern eines Unternehmens, um die Anfälligkeit des Unternehmens für diese Art von Angriffen zu ermitteln.

Social Engineering Penetrationstests dienen dazu, die Einhaltung der von der Geschäftsleitung festgelegten Sicherheitsrichtlinien und -praktiken durch die Mitarbeiter zu testen. Die Tests sollen einem Unternehmen Aufschluss darüber geben, wie leicht ein Eindringling Mitarbeiter dazu bringen könnte, gegen Sicherheitsregeln zu verstoßen oder vertrauliche Informationen preiszugeben oder weiterzugeben. Das Unternehmen sollte auch ein besseres Verständnis dafür bekommen, wie erfolgreich seine Sicherheitsschulung ist und wie das Unternehmen im Vergleich zu seinen Konkurrenten in Sachen Sicherheit abschneidet.

Pentest-Verfahren Schritt für Schritt

Vorvertrag, Planung und Zielvereinbarung

Der erste Schritt im Pentest-Verfahren ist die Erstellung des Testplans. Ein gut ausgearbeiteter Plan bietet einen Weg durch die komplexe IT-Struktur eines Unternehmens. Um mit der Erstellung eines Plans zu beginnen, muss man die Organisation und ihre Arbeitsweise vollständig verstehen. Auch die Kenntnis ihrer Systeme und Anwendungen ist wichtig. Sobald wir diese Informationen haben, können wir mit der Erstellung des Prüfungsumfangs beginnen.

Die Festlegung eines präzisen Arbeitsumfangs sorgt für Verständnis und Klarheit in Bezug auf Ziele, Ausschlüsse und das Vorgehen im Falle eines Falles. Wir setzen einen bewährten Projektmanagement-Ansatz ein und stellen sicher, dass alle Beteiligten vor Beginn des Auftrags über Genehmigungsformulare und rechtliche Aspekte, in den Aufgabenbereich fallende Elemente, anfällige Komponenten und nicht in den Aufgabenbereich fallende Komponenten informiert sind.

Pentest-Verfahren

Sammlung und Aufdeckung von Informationen

Sobald die rechtlichen und projektbezogenen Formalitäten abgeschlossen sind, beginnt die Erkundungsphase, deren einziges Ziel die Beschaffung von Informationen ist. Diese Informationen (z. B. Netzwerk-Layouts, Domänen, Server, Infrastrukturdetails) helfen zu verstehen, wie das Netzwerk funktioniert, einschließlich seiner Vermögenswerte (Anwendungen, Systeme, Geräte, alles mit einer IP).

Außerdem ist es notwendig, eine angemessene Erkundung durchzuführen und Informationen über die Systeme zu sammeln. Mithilfe verschiedener automatisierter und manueller Tools scannen die Tester das System, um potenzielle Schwachstellen oder Penetrationspunkte zu finden. Diese würden von den Testern in weiteren Schritten ausgenutzt werden. In der Regel werden hierfür Tools wie Recon-Ng, Nmap, Spiderfoot, Metasploit und Wireshark verwendet.

Scannen

In dieser Phase werden Schwachstellen innerhalb der definierten Ziele gefunden. Sie umfasst das Scannen des Ziels nach abhörenden Diensten/offenen Ports, Fingerprinting und die Analyse der laufenden Dienste, um einen groben Angriffsplan des Zielsystems zu erstellen.

Es ist erwähnenswert, dass das Scannen des Hosts der erste Schritt eines typischen Netzwerk-Penetrationstests ist. Dabei scannen die Pentester die Hosts, um zu prüfen, ob es technische Probleme gibt (Firewalls, Verbindungsprobleme usw.). Außerdem dient der Host-Scan dazu, den Testumfang festzulegen.

Ausbeutung

Sobald potenzielle Schwachstellen entdeckt sind, nutzen die Tester sie für weitere Penetrationsversuche in das System. Dies ähnelt sehr stark der Art und Weise, wie ein Cyberkrimineller diese Schwachstellen ausnutzen würde, und trägt zu einem besseren Gesamtverständnis bei. Alle Schritte, verwendeten Tools, Standorte und Eingabemethoden für ein bestimmtes Problem werden angemessen dokumentiert, um den gesamten Vorgang für eine spätere Überprüfung festzuhalten. Als ein Schritt im Vorgang der Penetrationstests werden diese Sicherheitsprobleme danach eingestuft, wie leicht sie auszunutzen sind und welchen Schaden sie anrichten können. Dies wäre für das Unternehmen eine große Hilfe bei der Festlegung von Prioritäten für die Problembehebung.

Spezifische Bewertungen und zielgerichtete Szenarien werden in “White Box”-, “Black Box”- oder “Grey Box”-Methoden definiert. Die Testfälle werden auf der Grundlage der Informationen definiert, die den Beratern vor Beginn der Bewertung zur Verfügung stehen.

Datenanalyse und Berichterstattung

Nach Abschluss der Penetrationstests werden detaillierte Berichte für Abhilfemaßnahmen erstellt. In diesen Berichten werden alle festgestellten Schwachstellen und die empfohlenen Abhilfemaßnahmen aufgeführt. Sie können das Format des Schwachstellenberichts (HTML, XML, MS Word oder PDF) an die Bedürfnisse Ihrer Organisation anpassen.

Präsentation der Ergebnisse

Es ist von entscheidender Bedeutung, dass die Ergebnisse der Penstests gründlich präsentiert werden, einschließlich einer Erläuterung der Schwachstellen, weiterer Ergebnisse der Ausnutzung, eines Überblicks über die Verwaltung der Benutzerrechte sowie der Kritik und der Ergebnisse der vorab vereinbarten Szenarien. Und nicht zuletzt Empfehlungen zur Behebung der Schwachstellen der Pentester.

Am Ende des Tages sollten alle Fragen des Kunden beantwortet sein und für jede Schwachstelle ein konkreter Maßnahmenkatalog definiert sein. Erst dann macht ein Pentest Sinn.

Nach dem Scannen

Bei einigen Projekten kann es sinnvoll sein, die Ergebnisse erneut zu scannen und zu überprüfen, um die Wirksamkeit der durchgeführten Maßnahmen zu kontrollieren. Daher empfehlen wir immer einen Nachscan, der je nach Größe des Projekts zwischen 1 und 3 Monaten dauert. Der Pentester sollte diese Zeit bereits in der Abschlussbesprechung einplanen, in der die Ergebnisse präsentiert werden.

Zusammenfassung: Pentest-Verfahren

In diesem Blogbeitrag haben wir erklärt, wie ein Standard-Pentestverfahren aussieht. Wir haben die Pentest-Phasen vom Anfang bis zum Ende durchlaufen. Natürlich kann es unterschiedliche Ausführungen von Pentests geben, da es auf dem Markt verschiedene Hardware/Software gibt.

Bitte bedenken Sie, dass die Qualität eines Pentests stark von der Erfahrung des Pentesters abhängig ist. Das heißt, ein erfahrener Pentester könnte versuchen, verschiedene Schwachstellen entsprechend seiner Erfahrung auszunutzen.

Wenn Sie weitere allgemeine Informationen über Pentesting wünschen, können Sie unseren Pentest Alles Was Sie Wissen Müssen-Blogbeitrag hier lesen. Wenn Sie mit Ihren Penetrationstests beginnen möchten, können Sie hieunsere Penetration-Testing-Services Seite anschauen, wie wir Ihnen helfen können.

Über den Autor

Pentest-Verfahren

Can Adiguzel ist der Gründer von 360 Digital Transformation. Er ist TISAX-Berater und ISO 27001 Lead Auditor. Er ist seit mehr als 11 Jahren im IT-Projektmanagement tätig. Seine Leidenschaft ist die Informationssicherheit für den Mittelstand und er hilft dem Mittelstand bei der Bewältigung seiner Herausforderungen im Bereich der Informationssicherheit mit einem praxisnahen Beratungsansatz.