Pen-Test ist nicht gleich Pen-Test

Penetrationstests sollten sich nicht nur auf automatisierte Sicherheitsprüfungen beschränken. Blue Frost Security, Spezialist für IT-Sicherheitsanalysen, erläutert im folgenden Gastbeitrag, welche fünf Phasen ein Pen-Test haben sollte und welche Rolle das sogenannte "Red-Team-Testing" - oft kurz "Red-Teaming" genannt - dabei spielt.

Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status quo der IT-Sicherheit im Unternehmen festzustellen. Ziel ist die Identifikation von Schwachstellen und Sicherheitslücken sowie die Optimierung der IT/TK-Infrastruktur. Ein automatisierter Sicherheitsscan wird oft als Penetrationstest deklariert, ist aber keiner. Vielmehr besteht ein professioneller Penetrationstest aus den folgenden fünf Stufen:

1. Aufklärungsphase: In Phase 1 scannen die Tester regelmäßig automatisiert die eingesetzten Techniken. Hier geht es in erster Linie um eine Bestandsaufnahme. Man untersucht noch keine Schwachstellen, sondern eruiert nur offene Dienste oder Systeme.
2. Automatische Schwachstellenanalyse: Phase 2 umfasst verschiedene automatisierte Maßnahmen mit dem Ziel, große und automatisch erkennbare Einfallstore zu identifizieren. Hier kommen Tools zum Einsatz, die die Systeme automatisiert auf Schwachstellen überprüfen. Dabei zeigen sich viele False Positives (Fehlalarme): Nicht jede scheinbare Bedrohung erweist sich auch als solche.
3. Penetrationstests: Ein klassischer Penetrationstest kombiniert automatisierte Maßnahmen mit manuellen. Denn nicht alle Sicherheitslücken lassen sich mittels automatisierter Tools finden. Mithilfe der manuellen Analyse kann man die Umgebung in der Tiefe untersuchen. Ergebnisse, die die automatische Schwachstellenanalyse nicht erkannt hat, lassen sich ermitteln und False Positives entfernen.
4. Penetrationstest Plus: Anders als beim klassischen Penetrationstest, bei dem der Fokus auf der umfassenden Verifizierung möglichst vieler Schwachstellen liegt, geht es beim Pentest Plus um konkrete Testziele und das weitere Eindringen. Hier analysieren die Tester nicht die Breite der Sicherheitslücken, sondern eruieren, wie weit sie in bestimmte Ziele eindringen können.
5. Red-Team-Testing: Hier versetzen sich die Sicherheitsexperten in die Rolle eines tatsächlichen Angreifers, der aus dem Internet versucht, an sensible Daten oder Ähnliches zu gelangen. Dabei überprüfen sie ganzheitlich: Welche Systeme gibt es? Wie kann man mit Social-Engineering-Maßnahmen oder Ähnlichem eindringen? Wie verhält sich der Mitarbeiter bei manipulierten Links, klickt er darauf? Das Red Team nimmt zudem das Blue Team (Abwehrmannschaft beim Red-Teaming) unter die Lupe. Man verifiziert, ob das Blue Team Angriffe erkennt, sie abwehren kann, interne Prozesse einhält etc.

Weitere Informationen finden sich unter www.bluefrostsecurity.de.

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice