Ziel

Ziel eines Penetration Tests ist die Identifikation von Schwachstellen in einem definierten Netzwerk oder System aus Sicht eines Angreifers. Durch die realitätsnahe Simulation eines Angriffs erhält der Kunde einen Überblick über die konkret vorhandenen Sicherheitslücken und Angriffswege, die einem potentiellen Angreifer zur Verfügung stehen und durch diesen ausgenutzt werden könnten. Dadurch erhält der Kunde die Möglichkeit auf die aktuelle Situation mit Gegenmassnahmen reagieren zu können.

Vorgehen

Vor Beginn des Projektes wird geklärt:

  • welche Systeme zu prüfen sind
  • wie und von wo getestet wird (beispielsweise extern oder intern)
  • wer im Projekt involviert ist (Systemadministratoren, Entwickler, etc.)
  • wie viele Informationen über die Systeme durch den Kunden bekannt gegeben werden
  • wie weit die identifizierten Schwachstellen ausgenutzt werden sollen

Die anschliessende Projektdurchführung ist in folgende Phasen unterteilt:

  • Kick-Off Meeting
  • Vorbereitung der Sicherheitsüberprüfung
  • Footprinting / Informationsbeschaffung
    • Der Security Analyst beschafft sich Informationen über das Zielsystem (beispielsweise IP-Adressen und Domain-Namen der Zielsysteme)
  • Scannen der Zielsysteme
    • In diesem Schritt werden Programme eingesetzt, die dem Analysten aufzeigen, welche Dienste vorhanden sind. Des Weiteren werden Schwachstellen mittels eines Vulnerability Scans identifiziert
  • Manuelle Überprüfung und Verifikation der Zielsysteme
    • In dieser Phase überprüft der Security Analyst die Systeme manuell, um Schwachstellen zu identifizieren, die vom Vulnerability Scan unentdeckt geblieben sind. Des Weiteren werden die mittels Vulnerability Scan identifizierten Schwachstellen, soweit dies wirtschaftlich vertretbar ist, verifiziert, um sicherzustellen, dass es sich nicht um Fehlmeldungen handelt
  • Dokumentation
  • Abschlussbesprechung oder Abschlusspräsentation

Resultat

Am Ende eines Penetration Tests erhält der Kunde einen Bericht, in welchem ihm aufgezeigt wird, welche Sicherheitsmängel in den zuvor definierten Systemen vorgefunden wurden. Damit der Kunde in der Lage ist, angemessen auf diese reagieren zu können, enthält der Bericht zu jeder identifizierten Schwachstelle folgende Informationen:

  • was die Schwachstelle ist
  • was ein Angreifer durch das Ausnutzen dieser erreichen kann
  • wie die Schwachstelle behoben werden kann respektive angebrachte Gegenmassnahmen
  • Einschätzung der Kritikalität der Schwachstelle
  • die technischen Details zu der Schwachstelle, damit der Kunde diese reproduzieren kann

Nachdem der Kunde diesen Bericht erhalten hat, besteht die Möglichkeit einer Abschlussbesprechung, um im Detail auf die identifizierten Schwachstellen einzugehen.

Back to top