Im Folgenden wird der Prozess der Durchführung von Penetrationstests durch Security Consultants der SmartTECS Cyber Security GmbH beschrieben.

Ziel

Das Ziel eines Penetrationstests besteht in der Identifikation von sicherheitsrelevanten Schwachstellen in IT-Systemen oder Prozessen der Kundenorganisation, welche die Schutzziele der Vertraulichkeit, Integrität oder Verfügbarkeit von Daten oder Systemen gefährden.

Arbeitsergebnis

Im Ergebnis der durchgeführten Analysen erhält der Kunde einen detaillierten Abschlussbericht, in dem sowohl die Schwachstellen detailliert beschrieben als auch konkrete Gegenmaßnahmen zu deren Beseitigung dargelegt sind. Der Bericht enthält weiterhin eine Management-Zusammenfassung zu den Ergebnissen, die ebenfalls Handlungsempfehlungen beinhalten. Der Abschlussbericht wird zum Abschluss des Projekts gegenüber dem Auftraggeber vorgestellt, um ein gemeinsames Verständnis für das Arbeitsergebnis zu erhalten. Weitere Details zum Ergebnisbericht haben wir Ihnen im folgenden Artikel zusammengefasst. Sprechen Sie uns gerne über das Kontaktformular oder via E-Mail an, wenn Sie an einem Beispielbericht der SmartTECS Cyber Security GmbH interessiert sind!

Phasen

Der Ablauf eines Projektes gliedert sich in verschiedene Phasen, die sequenziell durchlaufen werden. Das Vorgehen orientiert sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und wurde entsprechend den Projekterfahrungen der Security Consultants der SmartTECS Cyber Security GmbH über mehrere Jahre an das reale Projektgeschehen angepasst und verbessert.

Phase 1: Vorbereitung

In der Vorbereitungsphase des Tests wird gemeinsam mit den relevanten Projektverantwortlichen auf Kundenseite ein Kickoff-Termin absolviert. Dabei werden die Ziele des Penetrationstests definiert und organisatorische Punkte, wie bspw. die Ansprechpartner während der Testdurchführung, der Durchführungszeitraum, die benötigte Zugänge und Anforderungen an den Bericht festgelegt.

Die zu prüfenden Systeme und Anwendungen innerhalb des Untersuchungsumfangs werden dokumentiert, sowie die Systeme und Funktionen bestimmt, die explizit vom Test ausgeschlossen sind.

Abhängig von der Komplexität des Testobjekts erfolgt eine Vorstellung des Systems durch den Auftraggeber. Um das Risiko von Verzögerungen im Projektablauf zu reduzieren, findet wenige Tage vor Testbeginn ein sogenannter Smoketest statt, in dem die Zugänge und Testvoraussetzungen zusammen mit dem Auftraggeber geprüft werden.

Phase 2: Informationsbeschaffung und -auswertung

In der Informationsbeschaffungsphase werden Informationen über die definierten Systeme und/oder IP-Adressbereiche im Geltungsbereich gesammelt, um weitere potenzielle Angriffsvektoren zu identifizieren. Die Informationsbeschaffung wird in eine passive und aktive Phase unterteilt.

Bei der passiven Informationsbeschaffung findet keine direkte Interaktion mit dem Zielsystem(en) statt. Es werden beispielsweise Suchmaschinen im Internet genutzt oder weitere Ziele über die Enumeration von DNS-Subdomänen identifiziert, um zusätzliche Informationen über das Testobjekt zu erhalten.

In der aktiven Phase der Informationsbeschaffung findet eine Interaktion mit den Systemen im Untersuchungsumfang, statt mit dem Ziel Informationen wie eingesetzte Betriebssysteme oder angebotene Dienste im Netzwerk zu beschaffen. Hierbei kommen bspw. Techniken des Portscannings (TCP, UDP, ICMP, ARP) zum Einsatz.

Phase 3: Identifikation von Schwachstellen

In der dritten Phase werden die identifizierten Systeme und Dienste auf das Vorhandensein von Schwachstellen untersucht. Dabei werden öffentlich zugängliche Quellen und Schwachstellen-Datenbanken konsultiert, als auch Schwachstellenscanner oder weitere manuelle Analysen genutzt.

Phase 4: Ausnutzen von Schwachstellen

Zur Verifikation von Schwachstellen und zur Vermeidung von False-Positives im Abschlussbericht findet, ggf. nach Rücksprache mit dem Systemverantwortlichen, ein Ausnutzen der Schwachstelle statt. Dies ermöglicht es Rückschlüsse über mögliche Auswirkungen der Schwachstelle zu ziehen und weitere Angriffspfade auf angebundene Systeme zu identifizieren.

Phase 5: Ergebnisdokumentation und Aufräumarbeiten

In der letzten Phase findet eine Bewertung der identifizierten Schwachstellen hinsichtlich deren Kritikalität und die Dokumentation der Ergebnisse im Abschlussbericht statt. Der Security Consultant definiert gezielte Maßnahmen zur Behebung der Schwachstellen. Eventuell installierte Werkzeuge oder Änderungen an Konfigurationen an den bereitgestellten Systemen werden entfernt bzw. rückgängig gemacht.

Abschließend werden den Ansprechpartnern des Auftraggebers die Ergebnisse präsentiert und Empfehlungen zum weiteren Vorgehen zur Behebung der Schwachstellen gegeben.