Penetrationstests
Sie haben eine wichtige Anwendung oder einen zentralen IT-Service und möchten wissen, ob Sie sicher sind? Sie trauen der Security Ihrer Windows-Clients, eines Linux-Servers oder eines anderen Systems nicht? Ein Penetrationstest wäre genau das Richtige!
Penetrationstests
Welches Sicherheitsniveau hat ein bestimmtes IT-Asset oder ein IT-Verbund?
Ein Penetrationstest zielt immer darauf ab, alle sicherheitsrelevanten Schwachstellen und Verbesserungspotenziale eines bestimmten Assets zu identifizieren, um das Sicherheitsniveau zu bewerten.
Generische Fehler identifizieren wir oft bereits in automatisierten Tests durch den Einsatz modernster Tools. Kritische Funktionen werden zusätzlich immer manuell durch erfahrene Penetrationstester untersucht. So finden wir auch logische Fehler und vermeiden False Positives.
Als Ergebnis erhalten Sie einen detaillierten Testbericht, der alle identifizierten Schwachstellen beschreibt, das Risiko bewertet, sinnvolle Empfehlungen ausspricht und in einer Management Summary zusammenfasst.
Pentest Ausprägungen
Bei einem Pentest von Webanwendungen analysieren wir eine Referenzimplementierung der zu testenden Software in mehreren Stufen. Wir beginnen wie ein normaler Benutzer, um Funktionen, Arbeitsabläufe und den eigentlichen Zweck kennenzulernen.
Darauf aufbauend leiten wir generische und spezifische "Missbrauchsfälle" ab, die die Vertraulichkeit und Integrität der Informationen, die Verfügbarkeit der Anwendung, die Authentizität der handelnden Person oder sogar den ganzen Geschäftsprozess untergraben könnten.
Penetrationstests von Webanwendungen führen wir üblicherweise mit dem Greybox Ansatz durch und betrachten dabei neben der Web GUI selbst auch zugehörige APIs und Webservices sowie die zugrundeliegende Infrastruktur.
Zu einem Penetrationstest gehören die folgenden Schritte:
Vorbereitung
- Abstimmung des Scopes und der Prüftiefe
- Kick-Off-Meeting
Durchführung
- Automatische Scans nach Schwachstellen
- Manuelle Analysen und Hacking
Auswertung
- Erstellung eines detaillierten Berichts
Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:
Inhaltlich orientieren wir uns hauptsächlich an den etablierten Standards des OWASP-Projekts:
- Application Security Verification Standard (ASVS)
- Web Security Testing Guide
- Mobile Security Testing Guide
- OWASP Top Ten Projects, e.g. for Web Applications
Falls erforderlich bzw. sinnvoll erweitern wir diese um:
- CIS Benchmarks (Review von Konfigurationen)
- IT-Grundschutz (Review von Konfigurationen)
- ISO/IEC 27001:2013 (für technische Audits)
Bei einem Pentest von Anwendungen analysieren wir eine Referenzimplementierung der zu testenden Software in mehreren Stufen. Wir beginnen wie ein normaler Benutzer, um Funktionen, Arbeitsabläufe und den eigentlichen Zweck kennenzulernen.
Darauf aufbauend leiten wir generische und spezifische "Missbrauchsfälle" ab, die die Vertraulichkeit und Integrität der Informationen, die Verfügbarkeit der Anwendung, die Authentizität der handelnden Person oder sogar den ganzen Geschäftsprozess untergraben könnten.
Penetrationstests von FAT Client Anwendungen führen wir üblicherweise mit dem Greybox Ansatz durch und betrachten dabei neben der GUI der Anwendung auch das Backend sowie die Kommunikationskanäle.
Zu einem Penetrationstest gehören die folgenden Schritte:
Vorbereitung
- Abstimmung des Scopes und der Prüftiefe
- Kick-Off-Meeting
Durchführung
- Automatische Scans nach Schwachstellen
- Manuelle Analysen und Hacking
Auswertung
- Erstellung eines detaillierten Berichts
Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:
Inhaltlich orientieren wir uns hauptsächlich an den etablierten Standards des OWASP-Projekts:
- Application Security Verification Standard (ASVS)
- Web Security Testing Guide
- Mobile Security Testing Guide
- OWASP Top Ten Projects, e.g. for Web Applications
Falls erforderlich bzw. sinnvoll erweitern wie diese um:
- CIS Benchmarks (Review von Konfigurationen)
- IT-Grundschutz (Review von Konfigurationen)
- ISO/IEC 27001:2013 (für technische Audits)
Typische Testobjekte sind physische oder virtuelle Windows- oder macOS-Clients, Citrix-Server, sowie Basis-Images von Windows-, Linux- oder AIX-Servern, die beispielsweise als Templates für Cloud-VMs oder in einer Container-Registry eingesetzt werden.
Bei einem Client- oder Server-Pentest analysieren wir eine Referenzimplementierung hinsichtlich vieler Aspekte: Sind Zugänge auf ein Minimum beschränkt? Ist das System angemessen gehärtet? Sind alle Komponenten auf dem neuesten Stand, einschließlich Treiber, Betriebssystem, Middleware und Anwendungen von Drittanbietern? Wird eine starke Authentifizierung verwendet und sind administrative Zugriffe eingeschränkt?
Sind lokal gespeicherte Informationen zugriffsgeschützt, angemessen verschlüsselt und enthalten sie keine hochsensiblen Informationen wie zum Beispiel Anmeldedaten? Sind Festplatten verschlüsselt und im Falle von Diebstahl oder Verlust angemessen geschützt?
Penetrationstests von Clients und Servern führen wir üblicherweise mit dem Whitebox Ansatz durch.
Zu einem Penetrationstest gehören die folgenden Schritte:
Vorbereitung
- Abstimmung des Scopes und der Prüftiefe
- Kick-Off-Meeting
Durchführung
- Automatische Scans nach Schwachstellen
- Manuelle Analysen und Hacking
Auswertung
- Erstellung eines detaillierten Berichts
Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:
Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:
- CIS Benchmarks (Review von Konfigurationen)
- IT-Grundschutz (Review von Konfigurationen)
- ISO/IEC 27001:2013 (für technische Audits)
Falls erforderlich bzw. sinnvoll erweitern wie diese um Standards aus dem OWASP-Projekt:
- Application Security Verification Standard (ASVS)
- Web Security Testing Guide
- Mobile Security Testing Guide
- OWASP Top Ten Projects, e.g. for Web Applications
Zusätzlich greifen wir auf unsere HvS Schwachstellendatenbank zurück, die durch unsere Incident Response- und Threat Intelligence Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.
Individualisierung von Assessments
Penetrationstests sind "der Klassiker" unter den Assessments und in vielen Fällen eine sehr gute Wahl.
Sie stoßen aber an Grenzen, wenn beispielsweise mehrere Komponenten gleichzeitig im Scope sind, aus rechtlichen Gründen oder wegen Ausfallrisiken kein aktives Testen möglich ist oder eine Betrachtung "ohne Betriebsblindheit" gewünscht ist.
Deshalb haben wir unsere Assessmentansätze weiterentwickelt. Sie unterscheiden sich in der Zielsetzung und im Einsatz der verschiedenen Methoden und Techniken. Diese Methoden können wir flexibel kombinieren und Ihnen ein individuelles Assessment anbieten.
Wir benötigen lediglich eine konkrete Zielsetzung bzw. Fragestellung, was Sie mit den Ergebnissen erreichen wollen. Dann finden wir gemeinsam eine gute Balance aus abgedecktem Scope, Prüftiefe und Realitätsgrad und halten dadurch Aufwand und Kosten für das Assessment im Rahmen.
Wir beraten Sie gerne zu individuellen Assessments, nehmen Sie einfach Kontakt auf! Bis dahin können Sie sich schon einmal durch andere Assessments inspirieren lassen.