Ziel
Ziel eines Penetration Tests ist die Identifikation von Schwachstellen in einem definierten Netzwerk oder System aus Sicht eines Angreifers. Durch die realitätsnahe Simulation eines Angriffs erhält der Kunde einen Überblick über die konkret vorhandenen Sicherheitslücken und Angriffswege, die einem potentiellen Angreifer zur Verfügung stehen und durch diesen ausgenutzt werden könnten. Dadurch erhält der Kunde die Möglichkeit auf die aktuelle Situation mit Gegenmassnahmen reagieren zu können.
Vorgehen
Vor Beginn des Projektes wird geklärt:
- welche Systeme zu prüfen sind
- wie und von wo getestet wird (beispielsweise extern oder intern)
- wer im Projekt involviert ist (Systemadministratoren, Entwickler, etc.)
- wie viele Informationen über die Systeme durch den Kunden bekannt gegeben werden
- wie weit die identifizierten Schwachstellen ausgenutzt werden sollen
Die anschliessende Projektdurchführung ist in folgende Phasen unterteilt:
- Kick-Off Meeting
- Vorbereitung der Sicherheitsüberprüfung
- Footprinting / Informationsbeschaffung
- Der Security Analyst beschafft sich Informationen über das Zielsystem (beispielsweise IP-Adressen und Domain-Namen der Zielsysteme)
- Scannen der Zielsysteme
- In diesem Schritt werden Programme eingesetzt, die dem Analysten aufzeigen, welche Dienste vorhanden sind. Des Weiteren werden Schwachstellen mittels eines Vulnerability Scans identifiziert
- Manuelle Überprüfung und Verifikation der Zielsysteme
- In dieser Phase überprüft der Security Analyst die Systeme manuell, um Schwachstellen zu identifizieren, die vom Vulnerability Scan unentdeckt geblieben sind. Des Weiteren werden die mittels Vulnerability Scan identifizierten Schwachstellen, soweit dies wirtschaftlich vertretbar ist, verifiziert, um sicherzustellen, dass es sich nicht um Fehlmeldungen handelt
- Dokumentation
- Abschlussbesprechung oder Abschlusspräsentation
Resultat
Am Ende eines Penetration Tests erhält der Kunde einen Bericht, in welchem ihm aufgezeigt wird, welche Sicherheitsmängel in den zuvor definierten Systemen vorgefunden wurden. Damit der Kunde in der Lage ist, angemessen auf diese reagieren zu können, enthält der Bericht zu jeder identifizierten Schwachstelle folgende Informationen:
- was die Schwachstelle ist
- was ein Angreifer durch das Ausnutzen dieser erreichen kann
- wie die Schwachstelle behoben werden kann respektive angebrachte Gegenmassnahmen
- Einschätzung der Kritikalität der Schwachstelle
- die technischen Details zu der Schwachstelle, damit der Kunde diese reproduzieren kann
Nachdem der Kunde diesen Bericht erhalten hat, besteht die Möglichkeit einer Abschlussbesprechung, um im Detail auf die identifizierten Schwachstellen einzugehen.