Top 5 Arten von Penetrationstests

Die eskalierende Bedrohung durch Hacker wird jeden Tag ernster. Eine TechRepublic-Umfrage unter mehr als 400 IT-Sicherheitsexperten ergab, dass 71 % von ihnen seit dem Beginn des COVID-19-Ausbruchs eine Zunahme der Sicherheitsbedrohungen oder Angriffe festgestellt haben. Sollte es einem Hacker gelingen, Ihre Verteidigungsmaßnahmen zu durchbrechen, könnte der Schaden für Ihren Ruf, Ihr Geschäftsergebnis und Ihre Betriebsabläufe katastrophal sein.

Um Ihre Cybersicherheitsmaßnahmen zu bewerten und Schwachstellen in Ihren kritischen IT-Systemen zu erkennen, müssen Sie verschiedene Arten von Penetrationstests in Betracht ziehen.

Was sind Penetrationstests?

Was sind Penetrationstests und welcher ist für Ihr Unternehmen erforderlich?

Was ist ein Penetrationstest?

Ein Penetrationstest, auch Pen-Test genannt, umfasst in der Regel ein Team von Sicherheitsexperten, das in die Netzwerke oder Server Ihres Unternehmens eindringt. Sie tun dies, indem sie Schwachstellen aufspüren und diese dann ausnutzen. Aus diesem Grund werden Pen-Tests häufig als eine Art ethisches Hacking bezeichnet.

Pen-Tests sind ein wirksamer Verteidigungsmechanismus, da sie reale Angriffe imitieren. Sie ermöglichen es Ihnen, die Schwachstellen in Ihrer Cybersicherheitsumgebung zu erkennen – seien es Hintertüren im Betriebssystem, unbeabsichtigte Designfehler im Code oder unsachgemäße Softwarekonfigurationen.

Zu den Vorteilen der regelmäßigen Durchführung von Tests gehören:

  • Aufdeckung von Schwachstellen in Ihren Anwendungskonfigurationen und Ihrer Netzwerkinfrastruktur
  • Schutz des geistigen Eigentums sowie sensibler und privater Daten
  • Hervorhebung der realen Risiken, dass ein tatsächlicher Hacker Ihre Verteidigungsmaßnahmen erfolgreich durchbricht
  • Messung Ihrer Cyber-Abwehrfähigkeiten – Ihrer Fähigkeit, Angriffe zu erkennen und dann rechtzeitig zu reagieren
  • Gewährleistet, dass Ihr Netzwerk und Ihre Abläufe rund um die Uhr reibungslos funktionieren und keine unerwarteten Ausfallzeiten entstehen
  • Erfüllt Vorschriften und Zertifizierungen wie PCI oder ISO
  • Bietet eine objektive Meinung Dritter über die Wirksamkeit Ihrer Cybersicherheitsmaßnahmen

Penetrationstests sind so konzipiert, dass sie intensiv und invasiv sind. Ziel ist es, die gesamte Umgebung zu testen, um so viele verwertbare Informationen wie möglich zu erhalten. Laut SC Magazine

Penetrationstests können an Hardware-, Software- oder Firmware-Komponenten durchgeführt werden, wobei physische und technische Sicherheitskontrollen eingesetzt werden können. Sie folgen oft einer Abfolge aus einer Voranalyse des Zielsystems und einer Vortest-Identifizierung potenzieller Schwachstellen auf der Grundlage früherer Analysen. Sobald dies abgeschlossen ist, kann ein Vortest dazu beitragen, die Ausnutzung der identifizierten Schwachstellen zu ermitteln.

Beide Parteien müssen dem Regelwerk zustimmen, bevor sie mit den Tests beginnen. Anschließend müssen die Tests auf Ihr gesamtes Netz angewendet werden.

Sie benötigen einen Penetrationstest? Erfahren Sie mehr.

Die drei Formen von Penetrationstests

Es gibt drei primäre Möglichkeiten, einen Penetrationstest durchzuführen:

  • Black-Box-Test
  • White-Box-Test
  • Gray-Box-Test

Black-Box-Test

Black-Box-Tests, auch bekannt als externe Penetrationstests, simulieren einen Angriff von außerhalb Ihres Unternehmens.

Der Pen-Tester beginnt mit den gleichen Voraussetzungen wie ein echter Hacker. Das bedeutet, dass er mit wenig bis gar keinen Informationen über die IT-Infrastruktur und die Sicherheitsvorkehrungen beginnt. Er kennt die internen Abläufe nicht:

  • der Webanwendungen
  • der Software-Architektur
  • des Quellcodes

Diese Form des Testens gibt Ihnen eine Vorstellung davon, was ein Außenstehender tun müsste, um Ihre Verteidigungsmaßnahmen zu durchbrechen. Aber der Test ist an diesem Punkt noch nicht zu Ende. Es gibt noch mehr zu lernen. Ein Tester möchte auch herausfinden, wie viel Schaden er möglicherweise anrichten kann, wenn er erst einmal im System ist. Laut Infosec Institute:

Black-Box-Penetrationstests beruhen auf der dynamischen Analyse der aktuell laufenden Programme und Systeme im Zielnetz. Ein Blackbox-Penetrationstester muss mit automatisierten Scan-Tools und Methoden für manuelle Penetrationstests vertraut sein. Blackbox-Penetrationstester müssen auch in der Lage sein, auf der Grundlage ihrer Beobachtungen eine eigene Karte des Zielnetzes zu erstellen, da ihnen kein solches Diagramm zur Verfügung gestellt wird.

Typischerweise dringt ein Tester vom Internet in den Router ein und versucht, die Firewall-Verteidigung zu umgehen. Dies geschieht durch einen umfassenden Brute-Force-Angriff auf die IT-Infrastruktur. Dabei wird eine Art Trial-and-Error-Ansatz verfolgt, bei dem automatisierte Prozesse wahllos nach ausnutzbaren Schwachstellen suchen.

Ein Black-Box-Test kann bis zu sechs Wochen in Anspruch nehmen, obwohl er je nach Umfang des Projekts und der Strenge der Tests auch länger dauern kann.

White-Box-Test

Beim White-Box-Test, der auch als Clear-Box-Test oder interner Test bezeichnet wird, erhält der Tester von Anfang an Zugriff auf den Quellcode und die Softwarearchitektur. Er ahmt einen Angriff eines Mitarbeiters oder Hackers nach, der sich bereits Zugang zum System verschafft hat.

Der Pen-Tester beginnt mit den gleichen Rechten, die ein autorisierter Benutzer hätte. Von dort aus versucht er, Sicherheits- und Konfigurationsschwächen auf Systemebene auszunutzen. Das Ziel dieses Tests ist es, eine gründliche Prüfung der verschiedenen Systeme durchzuführen und zwei Schlüsselfragen zu beantworten:

  1. Wie tief könnte ein Angreifer über eine Privilegienerweiterung eindringen?
  2. Wie viel Schaden könnte ein Angriff anrichten?

Ein interner Test kann zwei bis drei Wochen in Anspruch nehmen.

Gray-Box-Penetrationstests

Wie der Name schon sagt, sind Gray-Box-Tests der Mittelweg zwischen einem internen und einem externen Test. Der Tester simuliert einen Angriff von außen, mit dem Unterschied, dass der Hacker in diesem Fall über den partiellen Wissensstand eines Benutzers verfügt.

Ziel ist es, mit einer Mischung aus White-Box- und Black-Box-Methoden nach Fehlern in der Codestruktur oder Anwendung zu suchen. Der hybride Test misst die Benutzereingaben, um zu sehen, welche Ausgaben die Software daraufhin produziert. Im Allgemeinen wird der Test mit einer Kombination aus manuellen Verfahren und automatisierten Programmen durchgeführt.

Gängige Szenarien, für die ein Graubox-Test gedacht ist, sind:

  • Der Hacker verfügt über Benutzer- oder Administratorkonten, mit denen er sich anmelden kann
  • Der Hacker hat ein tiefes Verständnis des Datenflusses und der Architektur der Anwendung
  • Der Hacker hat Zugang zu Teilen des Quellcodes

Da eine Mischung aus beiden Methoden verwendet wird, wird sie von einigen als die beste Rendite für Ihre Zeit und Ressourcen angesehen. Er bietet viele der Vorteile eines internen und externen Tests. Allerdings deckt ein Gray-Box-Test nur einen begrenzten Teil der Anwendung und des Quellcodes ab. Um die Sache noch komplizierter zu machen, sind die Tests nicht einfach zu entwerfen.

Die 5 Arten von Pen-Tests

Nachdem wir nun die wichtigsten Möglichkeiten zur Durchführung eines Penetrationstests behandelt haben, können wir uns nun den häufigsten Testarten zuwenden. Die meisten von ihnen verwenden eine Kombination aus White-Box- und Black-Box-Testmethoden. Dazu gehören:

Penetrationstests für Netzwerkdienste

Ein Penetrationstest für Netzwerke dient dazu, ausnutzbare Schwachstellen innerhalb Ihres:

  • Netzwerken
  • Systemen
  • Hosts
  • Netzwerkgeräten

Ihre Aufgabe ist es, diese zu finden und dann zu schließen, bevor ein Hacker sie ausnutzen kann. Richtig durchgeführt, können Sie die realen Schwachstellen aufzeigen, die ein Hacker ausnutzen könnte, um Zugang zu sensiblen Daten zu erhalten oder die Kontrolle über das System zu übernehmen. Der Entdeckungsprozess ermöglicht es Ihrem Team, bessere Wege zu finden, um private Daten zu schützen und Systemübernahmen zu verhindern.

Was beinhaltet er?

Die meisten Penetrationstests folgen den 7 Schritten des Penetration Testing Execution Standard (PTES):

  • Interaktionen vor dem Einsatz – Das interne Team und der Sicherheitspartner treffen sich, um den Einsatzumfang zu besprechen und zu definieren.
  • Informationsbeschaffung – Die Tester versuchen, alle zugänglichen Systeme und ihre verschiedenen Dienste zu entdecken, um so viele Informationen wie möglich zu erhalten.
  • Bedrohungsmodellierung – Der Tester identifiziert ausnutzbare Schwachstellen innerhalb des Systems durch manuelle Tests und automatisiertes Scannen.
  • Schwachstellenanalyse – Der Tester dokumentiert und analysiert die eklatantesten Schwachstellen, um einen Angriffsplan zu formulieren.
  • Exploitation – Der Tester führt tatsächlich Tests durch und versucht, Schwachstellen auszunutzen.
  • Post-Exploitation – Der Tester versucht, den Wert des kompromittierten Rechners zu bestimmen und die Kontrolle darüber zu behalten, um ihn zu einem späteren Zeitpunkt nutzen zu können.
  • Berichterstattung – Der Tester stellt die Ergebnisse zusammen, ordnet und priorisiert die Schwachstellen, liefert Beweise und empfiehlt Gegenmaßnahmen.

Penetrationstests für Webanwendungen

Die Ausbreitung von Webanwendungen hat dazu geführt, dass mehr Internetressourcen für die Entwicklung von Software und die Konfiguration der Anwendungen aufgewendet werden müssen, damit diese ordnungsgemäß funktionieren. Dies stellt jedoch auch einen bedeutenden neuen Angriffsvektor für Hacker dar, zumal einige Webanwendungen sensible Daten enthalten können.

Bei Penetrationstests für Webanwendungen geht es darum, Informationen über das Zielsystem zu sammeln, Schwachstellen zu finden und diese dann auszunutzen. Das Endziel ist die vollständige Kompromittierung der Webanwendung.

Dies wird auch als Web Application Penetration Testing (WAPT) bezeichnet. Es ist in der Lage, die folgenden Szenarien zu testen:

  • Cross Site Scripting
  • SQL Injection
  • Broken authentication and session management
  • File Upload flaws
  • Caching Servers Attacks
  • Security Misconfigurations
  • Cross-.Site Request Forgery
  • Password Cracking

Oftmals wird ein WAPT als „tiefergehender“ Test angesehen, ein WAPT ist viel gründlicher und detaillierter, insbesondere wenn es darum geht, Schwachstellen in webbasierten Anwendungen zu identifizieren. Daher muss ein erheblicher Zeit- und Ressourcenaufwand betrieben werden, um die Gesamtheit einer Webanwendung angemessen zu testen.

Drahtlose Penetrationstests

Die drahtlosen Penetrationstests zielen darauf ab, die Verbindungen zwischen allen Geräten, die mit dem WLAN-Netz Ihres Unternehmens verbunden sind, zu identifizieren und dann zu bewerten, einschließlich:

  • Laptops
  • Tablets
  • Mobile Geräte
  • IoT-Geräte

Der Test wird vor Ort durchgeführt, da sich der Pen-Tester in Reichweite des drahtlosen Netzwerks befinden muss, um darauf zuzugreifen. Und das Ziel des Tests ist relativ einfach: die Schwachstellen in den WLAN-Zugangspunkten aufzuspüren.

Welche Schritte sind damit verbunden?

  • Drahtlose Erkundung – Informationen werden durch Wardriving gesammelt, d. h. durch Umfahren des Standorts, um zu sehen, ob WLAN-Signale auftauchen.
  • Identifizieren von drahtlosen Netzwerken – Der Tester scannt und identifiziert drahtlose Netzwerke mithilfe von Paketerfassung und Überwachung der drahtlosen Karte.
  • Schwachstellenforschung – Nachdem der Tester WLAN-Zugangspunkte gefunden hat, versucht er, Schwachstellen in diesem Zugangspunkt zu identifizieren.
  • Ausnutzung – Der Tester versucht, die Schwachstellen auf eine der folgenden drei Arten auszunutzen:
    • De-Authentifizierung eines legitimen Clients
    • Erfassen eines anfänglichen 4-Wege-Handshakes
    • Ausführen eines Offline-Wörterbuchangriffs auf einen Erfassungsschlüssel
  • Berichterstattung – Der Tester dokumentiert jeden Schritt des Prozesses, einschließlich detaillierter Ergebnisse und Empfehlungen zur Schadensbegrenzung.

Social Engineering Penetration Testing

Das größte Sicherheitsrisiko für Ihr Unternehmen – ohne Ausnahme – sind Ihre Mitarbeiter. Laut Security Magazine:

Cyberkriminelle nehmen gezielt Menschen ins Visier, da das Versenden betrügerischer E-Mails, der Diebstahl von Anmeldedaten und das Hochladen bösartiger Anhänge in Cloud-Anwendungen einfacher und weitaus profitabler ist als die Entwicklung eines teuren, zeitaufwändigen Exploits, der eine hohe Fehlerwahrscheinlichkeit aufweist. Mehr als 99 Prozent der Cyberangriffe sind auf menschliche Interaktion angewiesen, um zu funktionieren, was den einzelnen Benutzer zur letzten Verteidigungslinie macht.

Wenn Sie versuchen, Ihre Sicherheit zu verbessern, ohne Ihre Mitarbeiter einzubeziehen, werden alle Ihre Bemühungen vergeblich sein. Sie sollten Ihr wichtigstes Anliegen sein.

Bei einem Penetrationstest mit Social Engineering versucht der Tester, Mitarbeiter zu überreden oder zu täuschen, damit sie sensible Informationen wie einen Benutzernamen oder ein Passwort preisgeben.

Es gibt eine Vielzahl von Social Engineering Penetrationsangriffen, darunter:

  • Phishing
  • Vishing
  • Smishing
  • Impersonation
  • Tailgating
  • USB-Drops
  • Wasserloch
  • Walfang-Angriff
  • Vortäuschung
  • Quid pro quo Angriff
  • Baiting
  • Dumperster diving

Die Sensibilisierung der Mitarbeiter und die Schulung in Bezug auf gängige Social-Engineering-Angriffe ist eine der besten Möglichkeiten, um zu verhindern, dass ein Angriff durchgeführt wird oder erfolgreich ist.

Physikalische Penetrationstests

Ein physischer Penetrationstest simuliert die herkömmliche Art, in die Sicherheit einzudringen.

Der Pen-Tester versucht, die physischen Sicherheitsbarrieren zu überwinden und sich Zugang zur Sicherheitsinfrastruktur, zu Gebäuden oder Systemen Ihres Unternehmens zu verschaffen. Er testet die verschiedenen physischen Kontrollen, die Sie eingerichtet haben, einschließlich:

  • Sperren
  • Kameras
  • Sensoren
  • Schlösser
  • Alarmanlagen
  • Wachpersonal

Auch wenn dies oft als nachrangig angesehen wird, Wenn es einem Hacker gelingt, Ihre Sicherheitsvorkehrungen zu umgehen und sich Zugang zum Serverraum zu verschaffen, kann er leicht die Kontrolle über Ihr Netz erlangen. Daher ist es von entscheidender Bedeutung, dass Ihre physische Sicherheit genauso streng geschützt ist wie Ihre Cybersicherheit.

RSI Security – The Pen Testing Experts

Pen-Tests sind eine der besten Möglichkeiten, die Wirksamkeit Ihrer Cybersicherheit und physischen Sicherheit zu messen. Unabhängig davon, ob Sie White-Box-, Black-Box- oder Gray-Box-Methoden verwenden, zielt jeder Pen-Test darauf ab, einen realen Angriff zu simulieren – nur ohne die Konsequenzen.

Heute gibt es fünf wesentliche Arten von Penetrationstests, darunter:

  1. Netzwerkdienst
  2. Webanwendung
  3. Wireless
  4. Social Engineering
  5. Physikalisch

Indem Sie alle diese Tests regelmäßig durchführen, können Sie sicherstellen, dass Ihre Cyberabwehr solide ist.

Aber auf wen können Sie sich verlassen, wenn es um die angemessene Durchführung dieser verschiedenen Tests geht?

RSI Security ist der Experte für Penetrationstests. Dank unserer jahrzehntelangen Erfahrung wissen wir genau, was nötig ist, um Ihre Cybersicherheitsmaßnahmen zu bewerten und Ihre eklatanten Schwachstellen zu beseitigen.

Sind Sie bereit, loszulegen? Das sind wir auch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.