Penetrationstest
Für viele Unternehmen stellen zielgerichtete Angriffe auf IT-Systeme eine reale Bedrohung dar. Innerhalb eines Penetrationstests werden solche gezielten Angriffe durch spezialisierte Auditoren simuliert. Die Basis für diese Form von Assessment bilden die für den Auftraggeber relevanten Bedrohungsszenarien. Von diesen Szenarien leiten sich dann Angriffsvektoren ab, welche in den Penetrationstest einzubeziehen sind.
Abhängig von Perspektive (extern oder intern), Szenario und Zielsetzung werden Netzwerkkomponenten, Server, Anwendungen, Clients etc. in die Angriffsversuche einbezogen. Diese reichen vom Exploiting zentraler Systeme über die Infizierung von Clients mit Trojanischen Pferden bis hin zu Social Engineering. Dabei wird sogenanntes Multistaging praktiziert, bei welchem die Kombination verschiedenster, erfolgreich ausgenutzter Schwachstellen letztendlich zur Erreichung des gesetzten Ziels führen soll (z.B. Eindringen in das interne Netzwerk via Internet oder Erlangung des Zugriffs auf eine zentrale Datenbank).
Im Gegensatz zum umfassenden Ansatz einer Schwachstellenanalyse liegt der Schwerpunkt des Penetrationstests auf der risikobasierten Prüfung. Dabei werden einzelne, für Angriffe besonders relevante IT-Systeme sowohl detailliert auf Schwachstellen analysiert als auch direkten Angriffen ausgesetzt. Die Durchführung erfolgt bei komplexeren IT-Umgebungen grundsätzlich durch zwei Auditoren.
- Enumeration (Erfassung) erreichbarer externer und/oder interner IT-Systeme und Dienste
- Automatisierter Schwachstellen-Scan mittels spezieller Software-Tools
- Manuelle Schwachstellenanalyse zur Identifikation angreifbarer Schwachstellen und Sicherheitslücken (risikobasierter Ansatz / Auswahl besonders angriffsgefährdeter Systeme)
- Manuelle Verifikation detektierter Sicherheitslücken mittels direkter Angriffe auf Systeme
- Verifikation der Angreifbarkeit von Client-Systemen mittels sogenannter Client-Side Attacks (Versendung von Testsoftware oder entsprechenden Links via E-Mail etc.)
- Weitere Aspekte werden in das Assessment einbezogen, wie z.B.: Abgrenzung des LAN gegenüber Fremdnetzen mit verschiedenen Vertrauensstellungen (WAN-Anbindung von Niederlassungen, WAN-Anbindung externer Partner etc.), Sicherheitsaspekte der internen Netzwerksegmentierung (VLAN etc.), Qualität der Systemadministration (Patchmanagement, Passwortmanagement etc.)
Test- und Angriffsszenarien können innerhalb des Assessments gegenüber den Systemverantwortlichen erläutert und ggf. angepasst werden.
Als Ergebnis des Assessments erhalten Sie eine fundierte Risikobewertung innerhalb des untersuchten IT-Umfelds unter Zugrundelegung der definierten Szenarien. Wesentlicher Bestandteil des Abschlussberichts ist außerdem eine Beschreibung von strategie-, konzept- und prozessbezogenen Maßnahmen und Optimierungsvorschlägen.