Pentest (Penetrationstest)

pentest

Penetrationstest, auch Pentest oder Ethical Hacking genannt, ist die Praxis, ein Computersystem, Netzwerk oder eine Webanwendung zu testen, um Sicherheitslücken zu finden, die ein Angreifer ausnutzen könnte. Penetrationstests können mit Softwareanwendungen automatisiert oder manuell durchgeführt werden. In beiden Fällen beinhaltet der Prozess das Sammeln von Informationen über das Ziel vor dem Test, die Identifizierung möglicher Einstiegspunkte, den Versuch, virtuell oder real einzubrechen, und die Rückmeldung der Ergebnisse.

Das Hauptziel von Penetrationstests ist die Identifizierung von Sicherheitsschwächen. Penetrationstests können auch dazu verwendet werden, die Sicherheitsrichtlinie einer Organisation, die Einhaltung von Compliance-Anforderungen, das Sicherheitsbewusstsein der Mitarbeiter und die Fähigkeit der Organisation, Sicherheitsvorfälle zu erkennen und darauf zu reagieren, zu testen.

Normalerweise werden die Informationen über Sicherheitsschwächen, die durch Penetrationstests identifiziert oder ausgenutzt werden, gesammelt und den IT- und Netzwerksystemmanagern der Organisation zur Verfügung gestellt, damit diese strategische Entscheidungen treffen und die Prioritäten für die Behebung der Probleme festlegen können.

Penetrationstests werden manchmal auch als "White Hat"-Angriffe bezeichnet, weil bei einem Pen-Test die Guten versuchen, einzubrechen.

Zweck von Penetrationstests

Das primäre Ziel eines Pen-Tests ist es, Schwachstellen in der Sicherheitslage einer Organisation zu identifizieren, die Einhaltung der Sicherheitsrichtlinien zu messen, das Sicherheitsbewusstsein des Personals zu testen und festzustellen, ob - und wie - die Organisation von Sicherheitskatastrophen betroffen wäre.

Ein Penetrationstest kann auch Schwachstellen in den Sicherheitsrichtlinien eines Unternehmens aufzeigen. Obwohl sich eine Sicherheitsrichtlinie beispielsweise auf die Verhinderung und Erkennung eines Angriffs auf die Systeme eines Unternehmens konzentriert, kann diese Richtlinie keinen Prozesszur Vertreibung eines Hackers enthalten.

Verantwortlichkeiten für Cloud-Pen-Tests

Die Zuständigkeiten für Penetrationstests variieren für verschiedene Mischungen von Cloud- und On-Premises-Systemen.

Die durch einen Penetrationstest erstellten Berichte liefern das Feedback, das eine Organisation benötigt, um die geplanten Investitionen in ihre Sicherheit zu priorisieren. Diese Berichte können auch Anwendungsentwicklern helfen, sicherere Anwendungen zu erstellen. Wenn die Entwickler verstehen, wie Hacker in die von ihnen mitentwickelten Anwendungen eingebrochen sind, sollen sie motiviert werden, ihre Ausbildung im Bereich Sicherheit zu verbessern, damit sie in Zukunft nicht dieselben oder ähnliche Fehler machen.

Wie oft sollten Sie Penetrationstests durchführen?

Organisationen sollten regelmäßig - idealerweise einmal im Jahr - Pen-Tests durchführen, um eine konsistentere Netzwerksicherheit und IT-Verwaltung zu gewährleisten. Zusätzlich zur Durchführung von Analysen und Bewertungen, die von den Behörden vorgeschrieben sind, können Penetrationstests auch immer dann durchgeführt werden, wenn eine Organisation dies wünscht:

  • neue Netzwerkinfrastrukturen oder Anwendungen hinzufügt;
  • signifikante Upgrades oder Modifikationen der Anwendungen oder Infrastruktur vornimmt;
  • Niederlassungen an neuen Standorten einrichtet;
  • Sicherheitspatches anwendet;
  • oder ändert die Richtlinien für Endbenutzer.

Da Penetrationstests jedoch keine Einheitsgröße sind, hängt der Zeitpunkt, zu dem ein Unternehmen Penetrationstests durchführen sollte, auch von mehreren anderen Faktoren ab, u.a:

Die Größe des Unternehmens. Unternehmen mit einer größeren Online-Präsenz haben mehr Angriffsvektoren und sind daher ein attraktiveres Ziel für Hacker.

Penetrationstests können kostspielig sein, so dass ein Unternehmen mit einem kleineren Budget möglicherweise nicht in der Lage ist, sie jährlich durchzuführen. Ein Unternehmen mit einem kleineren Budget kann möglicherweise nur alle zwei Jahre einen Penetrationstest durchführen, während ein Unternehmen mit einem größeren Budget einmal im Jahr einen Penetrationstest durchführen kann.

Vorschriften und deren Einhaltung. Organisationen in bestimmten Branchen sind gesetzlich verpflichtet, bestimmte Sicherheitsaufgaben, einschließlich Penetrationstests, durchzuführen.

Ein Unternehmen, dessen Infrastruktur sich in der Cloud befindet, darf die Infrastruktur des Cloud-Anbieters möglicherweise nicht testen. Der Anbieter kann jedoch selbst Pen-Tests durchführen.

Die Penetrationstests sollten auf das einzelne Unternehmen und die Branche, in der es tätig ist, zugeschnitten sein und Folge- und Bewertungsaufgaben umfassen, so dass die im letzten Pen-Test gefundenen Schwachstellen in den folgenden Tests vermerkt werden.

Werkzeuge für Penetrationstests

Pentester verwenden häufig automatisierte Tools, um Schwachstellen in Standardanwendungen aufzudecken. Penetrationstools scannen Code, um bösartigen Code in Anwendungen zu identifizieren, der zu einer Sicherheitsverletzung führen könnte. Stift-Testwerkzeuge untersuchen Datenverschlüsselungstechniken und können hartkodierte Werte wie Benutzernamen und Kennwörter identifizieren, um Sicherheitslücken im System zu verifizieren.

Tools für Penetrationstests sollten das tun:

  • einfach zu implementieren, zu konfigurieren und zu verwenden sein;
  • ein System leicht scannen;
  • Schwachstellen nach ihrem Schweregrad kategorisieren, d.h. diejenigen, die sofort behoben werden müssen;
  • in der Lage sein, die Überprüfung von Schwachstellen zu automatisieren;
  • frühere Schwachstellen erneut verifizieren;
  • und detaillierte Schwachstellenberichte und Protokolle zu erstellen.

Viele der beliebtesten Penetrationstests sind freie oder Open-Source-Software; dies gibt den Pen-Testern die Möglichkeit, den Code für ihre eigenen Bedürfnisse zu modifizieren oder anderweitig anzupassen. Einige der am häufigsten verwendeten freien oder quelloffenen Pen-Test-Werkzeuge sind.

Das Metasploit-Projekt ist ein Open-Source-Projekt, das der Sicherheitsfirma Rapid7 gehört, die voll funktionsfähige Versionen der Metasploit-Software lizenziert. Es sammelt beliebte Penetrationstest-Tools, die auf Servern, online-basierten Anwendungen und Netzwerken eingesetzt werden können. Metasploit kann zur Aufdeckung von Sicherheitsproblemen, zur Überprüfung von Schwachstellenminderungen und zur Verwaltung von Sicherheitsprozessen verwendet werden.

Nmap, kurz für "Network Mapper", ist ein Port-Scanner, der Systeme und Netzwerke auf Schwachstellen in Verbindung mit offenen Ports scannt. Nmap wird an die IP-Adresse(n) gerichtet, auf der/denen sich das zu scannende System oder Netzwerk befindet, und testet dann diese Systemeauf offene Ports; außerdem kann Nmap zur Überwachung der Host- oder Service-Betriebszeit und zurAbbildung von Netzwerkangriffsflächen verwendet werden.

Wireshark ist ein Werkzeug für die Erstellung von Profilen des Netzwerkverkehrs und für die Analyse von Netzwerkpaketen. Mit Wireshark können Organisationen die kleineren Details der in ihren Netzwerken stattfindenden Netzwerkaktivitäten sehen. Dieses Penetrationstool ist ein Netzwerkanalysator/Netzwerk-Sniffer/Netzwerkprotokollanalysator, der Schwachstellen im Netzwerkverkehr in Echtzeit bewertet. Wireshark wird häufig verwendet, um die Details des Netzwerkverkehrs auf verschiedenen Ebenen zu untersuchen.

John the Ripper integriert verschiedene Passwort-Cracker in ein Paket, identifiziert automatisch verschiedene Arten von Passwort-Hashes und bestimmt einen anpassbaren Cracker. Pen-Tester verwenden das Tool in der Regel zum Starten von Angriffen, um Passwortschwächen in Systemen oder Datenbanken zu finden.

Penetrationstester verwenden viele der gleichen Tools, die auch von Black-Hat-Hackern verwendet werden, zum Teil, weil diese Tools gut dokumentiert und weit verbreitet sind, aber auch, weil es den Pen-Testern hilft, besser zu verstehen, wie diese Tools gegen ihre Organisationen eingesetzt werden können.

Strategien für Penetrationstests

Ein wichtiger Aspekt jedes Penetrationstestprogramms ist die Definition des Bereichs, in dem die Pen-Tester arbeiten müssen. In der Regel definiert der Bereich, welche Systeme, Standorte, Techniken und Werkzeuge bei einem Penetrationstest verwendet werden können. Die Begrenzung des Umfangs des Penetrationstests hilft den Teammitgliedern - und den Verteidigern - sich auf die Systeme zu konzentrieren, über die die Organisation die Kontrolle hat.

Wenn Penetrationstester beispielsweise Zugang zu einem System erhalten, weil ein Mitarbeiter ein Passwort offen sichtbar hinterlassen hat, so zeigt dies schlechte Sicherheitspraktiken des Mitarbeiters auf; das Penetrationtesting-Team erhält dadurch keinen Einblick in die Sicherheit der Anwendung, die kompromittiert wurde.

Hier sind einige der wichtigsten Pen-Test-Strategien, die von Sicherheitsexperten verwendet werden:

Gezielte Tests werden vom IT-Team der Organisation und dem Penetrationstestteam gemeinsam durchgeführt. Es wird manchmal als "Licht an" bezeichnet, weil jeder sehen kann, dass der Test durchgeführt wird.

Externe Tests zielen auf die von außen sichtbaren Server oder Geräte eines Unternehmens ab, einschließlich Domain-Name-Server, E-Mail-Server, Web-Server oder Firewalls. Das Ziel ist es, herauszufinden, ob ein Angreifer von außen eindringen kann und wie weit er nach dem Zugang kommen kann.

Interne Tests ahmen einen internen Angriff hinter der Firewall durch einen autorisierten Benutzer mit Standardzugriffsrechten nach. Diese Art von Test ist nützlich, um abzuschätzen, wie viel Schaden ein verärgerter Mitarbeiter verursachen könnte.

Blindtests simulieren die Aktionen und Verfahren eines echten Angreifers, indem sie die Informationen, die der Person oder dem Team, die den Test durchführen, im Vorfeld stark einschränken. Normalerweise wird den Stifttestern nur der Name des Unternehmens mitgeteilt. Da diese Art von Test einen erheblichen Zeitaufwand für die Aufklärung erfordern kann, kann sie teuer sein.

Der Doppelblindtest führt den Blindtest einen Schritt weiter. Bei dieser Art von Stifttests können nur ein oder zwei Personen innerhalb der Organisation wissen, dass ein Test durchgeführt wird. Doppelblindtests können nützlich sein, um die Sicherheitsüberwachung und die Identifizierung von Vorfällen sowie die Reaktionsverfahren einer Organisation zu testen.

Ein Black-Box-Test ist im Grunde das Gleiche wie ein Blindtest, aber der Tester erhält keine Informationen, bevor der Test stattfindet. Vielmehr müssen die Stifttester ihren eigenen Weg in das System finden.

Beim White Box-Test erhalten die Penetrationstester Informationen über das Zielnetzwerk, bevor sie ihre Arbeit beginnen. Diese Informationen können Details wie IP-Adressen, Schemata der Netzwerkinfrastruktur und die verwendeten Protokolle sowie den Quellcode umfassen.

Pen Testing as a Service (PTaaS) stellt den IT-Fachleuten die Ressourcen zur Verfügung, die sie benötigen, um punktuelle und kontinuierliche Penetrationstests durchzuführen und darauf zu reagieren.

Die Verwendung verschiedener Pen-Test-Strategien hilft den Pen-Test-Teams, sich auf die gewünschten Systeme zu konzentrieren und einen Einblick in die Arten von Angriffen zu gewinnen, die am bedrohlichsten sind.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen