Penetrationstest
Was ist ein PENETRATIONS-Test?
Ein Penetrationstest zeigt zum Untersuchungszeitpunkt vorhandene Sicherheitslücken auf. Hierbei wird der Weg, den ein potenzieller Angreifer (Hacker) gehen würde, nachvollzogen, um eventuell noch vorhandene Schwächen in Ihren IT-Systemen und Netzen aufzuspüren. Ein Angreifer kennt alle herkömmlichen IT-Sicherheitsmaßnahmen. Er sucht daher gezielt nach allen noch vorhandenen Schwachstellen in ihrem IT-System, Ihren Netzen sowie ihren Mitarbeitern.
Bei der Komplexität heutiger Informationsverbünde kann aber auch mit Penetrationstests nicht garantiert werden, dass alle vorhandenen Schwachstellen entdeckt werden. Zumal der Pen-Tester sich nur im Rahmen der gesetzlichen Legalität bewegen kann, die für einen Hacker jedoch völlig uninteressant ist. Durch den Penetrationstest kann jedoch immer ein zusätzliches, hohes Maß an Unternehmenssicherheit gewonnen werden.
Ablauf des PENETRATIONS-Testes:
Bei einem Penetrationstest durch die VerSiTec GmbH werden IT-Systeme gezielt nach vorhandenen Schwachstellen untersucht. Wir führen hierbei keine destruktiven Tests durch. Möglichen Angreifern ist es nicht immer wichtig, ob die Systeme nach dem Angriff noch funktionieren. Die VerSiTec GmbH möchte dies selbstverständlich vermeiden. Angriffe werden daher nur bis zu einem abgesprochenen Grad durchgeführt. Ziel ist es, Sicherheitslücken zu identifizieren, und nicht, sie auszunutzen.
Die Vorgehensweise gliedert sich meist in 5 Phasen.
- Vorbereitung auf die Tests
- Informationsbeschaffung
- Risikoanalyse
- Durchführung der geplanten Tests (Eindringversuch)
- Abschlussanalyse
Welche Arten von PENETRATIONS-Tests gibt es?
- Black-Box/Blind-Test:
Hier hat der Pentester keine Kenntnis oder Informationen seitens des Auftraggebers über die eingesetzten Systeme, die vorhandene Infrastruktur, IP Adressen usw. Lediglich der Auftraggeber verfügt über die Information über den möglichen Zeitpunkt oder mögliche Zielsysteme und über die geplante Vorgehensweise. - Grey-Box:
Bei diesem Test ist der Auftraggeber mit allen Informationen versorgt und kann sich gut auf den Angriff vorbereiten, oder diesen während der Durchführung sogar beobachten. Der Pentester hat dagegen nur eingeschränkte Informationen über sein Zielsystem zur Verfügung. - White-Box/Tandem:
Beide Seite, Pentester und Auftraggeber, sind über die Sicherheitsanalyse und die geplante Vorgehensweise sowie alle eingesetzten Schutzmechanismen informiert. Diese Vorgehensweise ermöglicht es, schneller zum Ziel zu kommen. Außerdem ist es einfacher, zerstörungsfrei zu arbeiten, da beispielsweise auch keine unerwarteten Wechselwirkungen durch den Einsatz von Produkten, die für andere Systeme gedacht sind, entstehen. - Reversal:
Eines der spannendsten Möglichkeiten das Scenario durchzuführen. Hier hat der Auftraggeber nahezu keine Informationen zum geplanten Pentest. Er verfügt über keine Hinweise zum Zeitpunkt, zum Umfang (Scope) und zur Vorgehensweise des Angriffs. Der Pentester hingegen hat alle Informationen und kann seinen Angriff genauestens planen und optimal durchführen.
Abschlussbericht:
Der Abschlussbericht eines Penetrationstests enthält Informationen zu den getesteten IT-Komponenten. Zu jeder Komponente werden die gefundenen Schwachstellen genau beschrieben. Darüber hinaus werden geeignete Maßnahmen-Empfehlungen zur Beseitigung der vorgefundenen Sicherheitslücken bzw. zur allgemeinen/speziellen IT-Sicherheit aufgelistet.