Der Online-Bereich wächst weiterhin rasant und bietet immer mehr Möglichkeiten für Cyberangriffe auf Computersysteme, Netzwerke oder Webanwendungen. Um solche Risiken zu mindern und sich darauf vorzubereiten, sind Penetrationsprüfungen ein notwendiger Schritt, um Sicherheitslücken zu finden, die ein Angreifer ausnutzen könnte.
Eine Penetrationstest oder „Pen-Test“ ist ein Sicherheitstest, der durchgeführt wird, um einen Cyberangriff in Aktion nachzuahmen. Ein Cyberangriff kann einen Phishing-Versuch oder einen Verstoß gegen ein Netzwerksicherheitssystem umfassen. Je nach den erforderlichen Sicherheitskontrollen stehen Unternehmen verschiedene Arten von Penetrationsprüfungen zur Verfügung. Der Test kann manuell oder mit automatisierten Tools im Rahmen einer bestimmten Vorgehensweise oder einer Pen-Testing-Methodik durchgeführt werden.
Die Begriffe „ ethisches Hacken“ und „Penetrationsprüfungen“ werden manchmal synonym verwendet, aber es gibt einen Unterschied. Ethisches Hacken ist ein weiter gefasster Bereich der Cybersicherheit, der den Einsatz jeglicher Hacking-Kenntnisse zur Verbesserung der Netzwerksicherheit mit einschließt. Penetrationsprüfungen sind nur eine von vielen Methoden, die ethische Hacker anwenden. Ethische Hacker können auch Malware-Analysen, Risikobewertungen und andere Hacking-Tools und -Techniken bereitstellen, um Sicherheitslücken aufzudecken und zu beheben, anstatt Schaden anzurichten.
Der Bericht Cost of a Data Breach von IBM aus dem Jahr 2023 ergab, dass die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 weltweit bei 4,45 Millionen USD liegen, was einem Anstieg von 15 % über einen Zeitraum von drei Jahren entspricht. Eine Möglichkeit, diese Sicherheitslücken zu schließen, besteht in der Durchführung genauer und gezielter Penetrationsprüfungen.
Unternehmen beauftragen Pentester damit, simulierte Angriffe auf ihre Apps, ihre Netzwerke und auf andere Assets durchzuführen. Durch die Inszenierung falscher Angriffe helfen Penetrationstester Sicherheitsteams dabei, kritische Sicherheitslücken aufzudecken und den allgemeinen Sicherheitsstatus zu verbessern. Diese Angriffe werden oft von Red Teams oder offensiven Sicherheitsteams durchgeführt. Das Red Team simuliert die Taktiken, Techniken und Verfahren (TTPs) eines echten Angreifers gegen das eigene System des Unternehmens, um das Sicherheitsrisiko einzuschätzen.
Es gibt verschiedene Methoden für Penetrationsprüfungen, die Sie in Betracht ziehen sollten, wenn Sie mit dem Penetrationsprüfungs-Prozess beginnen. Die Wahl des Unternehmens hängt von der Kategorie des Zielunternehmens, dem Ziel der Penetrationsprüfung und dem Umfang des Sicherheitstests ab. Es gibt keinen einheitlichen Ansatz. Damit vor dem Pentest-Prozess eine faire Schwachstellenanalyse durchgeführt werden kann, muss ein Unternehmen seine Sicherheitsprobleme und seine Sicherheitsrichtlinie verstehen.
Einer der ersten Schritte im Penetrationsprüfungs-Prozess ist die Entscheidung, welche Methodik angewendet werden soll.
Im Folgenden werden wir uns mit fünf der beliebtesten Frameworks für Penetrationsprüfungen und Methoden für Penetrationsprüfungen befassen, um Stakeholder und Unternehmen dabei zu unterstützen, die beste Methode für ihre spezifischen Bedürfnisse zu finden und sicherzustellen, dass diese alle erforderlichen Bereiche abdeckt.
Open-Source Security Testing Methodology Manual (OSSTMM) ist einer der beliebtesten Standards für Penetrationsprüfungen. Diese Methodik wurde für Sicherheitstests von Experten geprüft und vom Institute for Security and Open Methodologies (ISECOM) entwickelt.
Die Methode basiert auf einem wissenschaftlichen Ansatz für Penetrationsprüfungen mit zugänglichen und anpassbaren Leitfäden für Tester. Das OSSTMM enthält wichtige Funktionen wie einen operativen Fokus, Kanaltests, Metriken und Vertrauensanalysen in seiner Methodik.
OSSTMM bietet ein Framework für Netzwerkpenetrationsprüfungen und Anfälligkeitsbewertungen für Pen-Testing-Experten. Es soll Anbietern als Framework dienen, um Schwachstellen wie sensible Daten und Probleme im Zusammenhang mit der Authentifizierung zu finden und zu beheben.
OWASP, kurz für Open Web Application Security Project, ist eine Open-Source-Organisation, die sich der Sicherheit von Webanwendungen widmet.
Das Ziel der gemeinnützigen Organisation ist es, all ihre Materialien kostenlos und leicht zugänglich für alle bereitzustellen, die die Sicherheit ihrer eigenen Webanwendungen verbessern möchten. OWASP hat seine eigenen Top 10 (Link befindet sich außerhalb von ibm.com), einen gut gepflegten Bericht, der die größten Sicherheitsbedenken und Risiken für Webanwendungen aufzeigt, wie z. B. Cross-Site-Scripting, fehlerhafte Authentifizierung und das Umgehen einer Firewall. OWASP verwendet die Top-10-Liste als Grundlage für seinen OWASP Testing Guide.
Der Leitfaden ist in drei Teile gegliedert: OWASP-Test-Framework für die Entwicklung von Webanwendungen, Testmethodik für Webanwendungen und Berichterstattung. Die Webanwendungsmethodik kann separat oder als Teil des Web-Test-Frameworks für Webanwendungs-Penetrationsprüfungen, Penetrationsprüfungen für mobile Anwendungen, API-Penetrationsprüfungen und IoT-Penetrationsprüfungen verwendet werden.
PTES (Penetration Testing Execution Standard) ist eine umfassende Methode für Penetrationsprüfungen.
PTES wurde von einem Team von Informationssicherheitsexperten entwickelt und besteht aus sieben Hauptabschnitten, die alle Aspekte von Penetrationsprüfungen abdecken. Der Zweck von PTES ist es, technische Richtlinien zu haben, die umreißen, was Unternehmen von einer Penetrationsprüfung erwarten sollten, und sie während des gesamten Prozesses zu leiten, beginnend in der Phase vor der Beauftragung.
Das PTES soll als Grundlage für Penetrationsprüfungen dienen und eine standardisierte Methodik für Sicherheitsexperten und Unternehmen bieten. Der Leitfaden bietet eine Reihe von Ressourcen, wie z. B. Best Practices in jeder Phase des Penetrationsprüfungsprozesses von Anfang bis Ende. Einige der wichtigsten Merkmale von PTES sind Ausbeutung und Post-Ausbeutung. Penetrationstechniken bezieht sich auf den Prozess, bei dem durch Penetrationstechniken wie Social Engineering und Passwort-Cracking Zugang zu einem System verschafft wird. Post-Ausbeutung ist, wenn Daten aus einem kompromittierten System extrahiert und der Zugriff aufrechterhalten wird.
Information System Security Assessment Framework (ISSAF) ist ein Penetrationsprüfungs-Framework, das von der Information Systems Security Group (OISSG) unterstützt wird.
Diese Methodik wird nicht mehr beibehalten und ist wahrscheinlich nicht die beste Quelle für die aktuellsten Informationen. Eine seiner Hauptstärken ist jedoch, dass es einzelne Schritte der Penetrationsprüfung mit spezifischen Pen-Testing-Tools verknüpft. Diese Art von Format kann eine gute Grundlage für die Erstellung einer individuellen Methodik sein.
NIST, kurz für das National Institute of Standards and Technology, ist ein Framework für die Cybersicherheit, das eine Reihe von Standards für Penetrationsprüfungen bereitstellt, die sich an Behörden und externen Organisationen orientieren können. NIST ist eine Agentur des US-Handelsministeriums und sollte als einzuhaltender Mindeststandard betrachtet werden.
Die Penetrationsprüfungen des NIST richten sich nach den Richtlinien des NIST. Um diese Richtlinien einzuhalten, müssen Unternehmen Penetrationsprüfungen gemäß den vorgegebenen Richtlinien durchführen.
Bevor ein Pentest beginnt, legen das Testteam und das Unternehmen gemeinsam den Testumfang fest. Der Umfang gibt an, welche Systeme getestet werden, zu welchem Zeitpunkt die Tests stattfinden und welche Methoden die Pentester anwenden können. Der Umfang bestimmt ebenfalls, wie viele Informationen den Pen-Testern im Vorfeld zur Verfügung stehen.
Der nächste Schritt wäre, den Scoping-Plan zu testen und Schwachstellen und Funktionalität zu bewerten. In diesem Schritt können Netzwerk- und Schwachstellen-Scans durchgeführt werden, um ein besseres Verständnis der Infrastruktur des Unternehmens zu erhalten. Interne und externe Tests können je nach Bedarf des Unternehmens durchgeführt werden. Es gibt eine Vielzahl von Tests, die die Pen-Tester durchführen können, darunter Black-Box-Tests, White-Box-Tests und Gray-Box-Tests. Jeder dieser Tests liefert unterschiedliche Informationen über das Zielsystem.
Sobald ein Überblick über das Netzwerk erstellt wurde, können die Tester mit der Analyse des Systems und der Anwendungen innerhalb des vorgegebenen Rahmens beginnen. In diesem Schritt sammeln die Penetrationstester so viele Informationen wie möglich, um Fehlkonfigurationen zu verstehen.
Der letzte Schritt ist die Berichterstellung und Nachbesprechung. In diesem Schritt ist es wichtig, einen Penetrationsprüfungsbericht mit allen Erkenntnissen aus der Penetrationsprüfung zu erstellen, in dem die ermittelten Schwachstellen aufgeführt sind. Der Bericht sollte einen Plan zur Schadensbegrenzung und die potenziellen Risiken enthalten, falls keine Sanierung erfolgt.
Wer versucht, alles zu testen, verschwendet damit nur Zeit, Geld und Ressourcen. Durch Nutzung einer Kommunikations- und Kooperationsplattform mit Verlaufsdaten können Sie besonders gefährdete Netzwerke, Anwendungen, Geräte und andere Assets zentralisieren, verwalten und priorisieren, um Ihr Sicherheitstestprogramm zu optimieren. Über das X-Force® Red Portal können alle an der Problembehebung beteiligten Personen die Testergebnisse sofort nach der Erkennung von Schwachstellen einsehen und Sicherheitstests eigenständig planen.