Security

Planung

Die erste Phase umfasst: Festlegung des Umfangs und der Ziele eines Tests, einschließlich der zu prüfenden Systeme und der zu verwendenden Testmethoden. Sammeln von Informationen (z. B. Netzwerk- und Domänennamen, Mailserver), um die Funktionsweise eines Ziels und seine potenziellen Schwachstellen besser zu verstehen.

Scannen

Der nächste Schritt besteht darin, herauszufinden, wie die Zielanwendung auf verschiedene Eindringversuche reagieren wird. Dies geschieht in der Regel durch:

• Statische Analyse - Untersuchung des Codes einer Anwendung, um abzuschätzen, wie sie sich während der Ausführung verhält. Diese Tools können den gesamten Code in einem einzigen Durchgang scannen.
• Dynamische Analyse - Inspektion des Codes einer Anwendung im laufenden Zustand. Dies ist eine praktischere Art des Scannens, da sie einen Echtzeit-Einblick in die Leistung einer Anwendung bietet.

Zugang erlangen

In dieser Phase werden Angriffe auf Webanwendungen, wie z. B. Cross-Site-Scripting, SQL-Injection und Backdoors, eingesetzt, um die Schwachstellen eines Ziels aufzudecken. Die Tester versuchen dann, diese Schwachstellen auszunutzen, in der Regel durch die Ausweitung von Privilegien, den Diebstahl von Daten, das Abfangen von Datenverkehr usw., um zu verstehen, welchen Schaden sie anrichten können.

Aufrechterhaltung des Zugangs

Ziel dieser Phase ist es, herauszufinden, ob die Schwachstelle genutzt werden kann, um eine dauerhafte Präsenz in dem ausgenutzten System zu erreichen - lange genug, damit ein böser Akteur tiefgreifenden Zugriff erlangen kann. Die Idee besteht darin, fortgeschrittene anhaltende Bedrohungen zu imitieren, die oft monatelang in einem System verbleiben, um die sensibelsten Daten eines Unternehmens zu stehlen.

Analyse

Die Ergebnisse des Penetrationstests werden anschließend in einem Bericht zusammengefasst, der folgende Informationen enthält

• Spezifische Schwachstellen, die ausgenutzt wurden
• Sensible Daten, auf die zugegriffen wurde
• Zeitspanne, in welcher der Pen-Tester unentdeckt im System bleiben konnte

Diese Informationen werden vom Sicherheitspersonal analysiert, um die WAF-Einstellungen eines Unternehmens und andere Anwendungssicherheitslösungen zu konfigurieren, um Schwachstellen zu beheben und vor künftigen Angriffen zu schützen

Methoden der Penetrationstests

Externe Tests

Externe Penetrationstests zielen auf die Vermögenswerte eines Unternehmens ab, die im Internet sichtbar sind, z. B. die Webanwendung selbst, die Unternehmenswebsite sowie E-Mail- und Domain-Name-Server (DNS). Das Ziel ist es, sich Zugang zu verschaffen und wertvolle Daten zu extrahieren.

Interne Tests

Bei einem internen Test simuliert ein Tester, der Zugang zu einer Anwendung hinter der Firewall hat, einen Angriff durch einen böswilligen Insider. Dabei wird nicht unbedingt ein böswilliger Mitarbeiter simuliert. Ein gängiges Ausgangsszenario kann ein Mitarbeiter sein, dessen Anmeldedaten durch einen Phishing-Angriff gestohlen wurden.

Blindtests

Bei einem Blindtest wird dem Tester nur der Name des Unternehmens mitgeteilt, auf das er abzielt. Dadurch erhält das Sicherheitspersonal einen Echtzeiteinblick in den Ablauf eines tatsächlichen Anwendungsangriffs.

Doppelblind-Tests

Bei einem Doppelblindtest hat das Sicherheitspersonal keine Kenntnis von dem simulierten Angriff. Wie in der realen Welt haben sie keine Zeit, ihre Verteidigungsmaßnahmen vor einem versuchten Einbruch zu verstärken.

Gezielte Tests

Bei diesem Szenario arbeiten sowohl der Tester als auch das Sicherheitspersonal zusammen und halten sich gegenseitig über ihre Bewegungen auf dem Laufenden. Dies ist eine wertvolle Trainingsübung, die einem Sicherheitsteam Echtzeit-Feedback aus der Sicht eines Hackers liefert.