Penetration Testing

Möchten Sie Ihre IT-Sicherheit auf die Probe stellen?

Es gibt wohl keinen besseren Weg die Sicherheit Ihrer IT-Infrastruktur zu testen, als mit einem Hackerangriff. Mit einem Penetration Test erlangen Sie somit eine Übersicht über die potentiellen Schwachstellen in Ihrem System und können so gezielt Ihre technischen und organisatorischen Massnahmen auf den Prüfstand stellen und gegebenenfalls verbessern.

Durchführung

Der Penetration Test startet immer im Dialog zwischen Ihnen und der cyspro GmbH. Sie legen den Scope (Umfang) des Penetration Tests fest und werden dabei von den Erfahrenen Cyber Security Experten der cyspro GmbH unterstützt. Der Scope wird anhand der untenstehenden Grafik festgelegt:

Informationsbasis

Von welchem Wissensstand über das anzugreifende Netz bzw. Objekt geht der Penetrationstester aus? 

Hier unterscheidet man grundlegend zwischen sogenannten Black-Box-Testing ohne jegliches Insiderwissen, Grey-Box-Testing mit beschränktem Wissen über die zu Prüfenden Systeme (bspw. IP-Adressen oder Domänen) und dem White-Box-Testing mit Insiderwissen wie beispielsweise Dokumentationen über das System:

  • Black-Box

    Ein Black-Box-Test simuliert realistisch den Angriff eines typischen Hackers. Der Hacker muss die benötigten Informationen in öffentlich zugänglichen Datenbanken recherchieren oder von aussen als Unternehmensfremder erfragen.

  • Grey-Box

    Ein Grey-Box-Test simuliert realistisch einen Angriff auf gezielt festgelegte Systeme. In der Scope Definition geben Sie als Auftraggeber die IP-Adressen oder Domänen der zu testenden Systeme bekannt.

  • White-Box

    Bei einem White-Box-Test wird der Angriff eines (Ex-) Mitarbeiters oder eines externen Dienstleisters mit bestimmten Detailkenntnissen simuliert. Der Umfang der Kenntnisse kann dabei von nur geringen Kenntnissen, wie sie z. B. ein Mitarbeiter besitzt, der nur kurze Zeit im Unternehmen beschäftigt war, bis hin zu tief gehenden Systemkenntnissen, wie sie z. B. ein externer IT-Dienstleister durch die Installation von sicherheitsrelevanten Systemen erlangt, reichen.

Aggressivität

Wie aggressiv geht der Penetrationstester beim Testen vor?

  • Passiv

    Bei der niedrigsten Aggressivitätsstufe werden die Testobjekte nur passiv untersucht, d.h. gefundene mögliche Schwachstellen werden nicht ausgenutzt.

  • Vorsichtig

    Gefundene Schwachstellen werden nur dann ausgenutzt, wenn nach bestem Wissen eine Beeinträchtigung des untersuchten Systems ausgeschlossen werden kann.

  • Abwägend

    Es wird versucht, Schwachstellen auszunutzen die unter Umständen zu Systembeeinträchtigungen führen könnten. Darunter fallen z. B. das automatische Durchprobieren von Passwörtern und das Ausnutzen von bekannten Buffer-Overflows bei genau identifizierten Zielsystemen. Allerdings wird vorher abgewägt, wie wahrscheinlich ein Erfolg ist und wie stark die Konsequenzen wären. Im Zweifelsfall wird mit Ihnen als Auftraggeber zuerst Rücksprache gehalten.  

  • Aggressiv

    Es wird versucht, alle potenziellen Schwachstellen auszunutzen. Beispielsweise werden Buffer-Overflows auch bei nicht eindeutig identifizierten Zielsystemen eingesetzt oder Sicherungssysteme werden durch gezielte Überlastung (Denial of Service, DoS-Attacken) deaktiviert. Dem Auftragnehmer muss bewusst sein, dass neben den zu testenden Systemen auch benachbarte Systeme oder Netzkomponenten bei diesen Tests ausfallen können.

Umfang

Welche Systeme sollen getestet werden?

Bei einem erstmaligen Penetrationstest ist grundsätzlich eine vollständige Überprüfung empfehlenswert, damit keine Sicherheitslücken auf den ungeprüften Systemen übersehen werden.

  • Fokussiert

    Es wird nur ein bestimmtes Teilnetz, System oder ein bestimmter Dienst geprüft, so wird der Penetrationstest als fokussiert bezeichnet. Dieser Umfang bietet sich z. B. nach einer Änderung oder Erweiterung der Systemlandschaft an. Der Test kann dann aber naturgemäss auch nur Aussagen über das getestete System und keine allgemeinen Hinweise zur IT-Sicherheit liefern.

  • Begrenzt

    Bei einem begrenzten Penetrationstest wird eine begrenzte Anzahl von Systemen oder Diensten untersucht. So können beispielsweise alle Systeme in einer bestimmten Netzwerkzone geprüft werden.

  • Vollständig

    Der vollständige Test prüft alle erreichbaren Systeme.

Vorgehensweise

Wie sichtbar geht das Team beim Testen vor?

  • Verdeckt

    Bei einem verdeckten Penetrationstests werden nur Methoden eingesetzt, welche nicht direkt als Angriffsversuche erkannt werden können.

  • Offensichtlich

    Bei einem offensichtlichen Penetrationstest werden Methoden eingesetzt, welche als Angriff identifiziert werden können. Diese Vorgehensweise ist dann ratsam, wenn Systemverantwortliche über den Angriff informiert sind und kritische Systeme geprüft werden, welche eine schnelle Reaktion erfordern.

Technik

Welche Techniken werden beim Testen eingesetzt?

Beim klassischen Penetrationstest werden die Systeme nur über das Netzwerk angegriffen. Ergänzend können die Systeme auch mittels sonstiger physischer Angriffe und Social-Engineering-Techniken attackiert werden.

  • Web

    Der Penetrationstest über das Netzwerk entspricht dem normalen Vorgehen und simuliert einen typischen Hackerangriff.

  • Sonstige Kommunikation

    Neben TCP/IP Netzwerken existieren weitere Kommunikationsnetze, die ebenfalls für Angriffe genutzt werden können. Dazu zählen neben Telefon- bzw. Fax-Netzen auch drahtlose Netze für mobile Kommunikation, Bluetooth und weitere.

  • Physischer Zugang

    Mittlerweile sind Sicherheitssysteme wie Firewalls etc. weitverbreitet und die Konfigurationen dieser Systeme meist auf einem hohen Sicherheitsniveau, sodass ein Angriff unter Überwindung dieser Systeme nicht mehr oder nur mit sehr hohem Aufwand möglich ist. Oftmals ist es dann einfacher und schneller, die „gewünschten“ bzw. „gesuchten“ Daten durch Umgehung dieser Systeme mittels direktem physischem Zugriff zu erlangen. Hierzu zählt z. B. der direkte Datenzugriff an einer ungesperrten Arbeitsstation nach Erlangung von unberechtigtem Zugang in die Gebäude und/oder Serverräume.

  • Social-Engineering

    Das schwächste Glied in der Kette der Sicherungssysteme ist oftmals der Mensch. Daher sind Social-Engineering-Techniken, die unzureichende Sicherheitskenntnisse oder ein mangelndes Sicherheitsbewusstsein ausnutzen, häufig erfolgreich. Diese Tests bieten sich beispielsweise nach Einführung einer allgemeinen Sicherheitsleitlinie an, um den Grad der Umsetzung bzw. die Akzeptanz zu evaluieren.

Ausgangspunkt

Von wo aus wird der Penetrationstest durchgeführt?

Der Ausgangspunkt des Penetrationstests, d. h. der Punkt, an dem der Penetrationstester seinen Rechner ans Netz anschliesst bzw. von dem seine Angriffsversuche ausgehen, kann ausserhalb oder innerhalb des Netzwerkes oder der Gebäude des Auftraggebers liegen.

  • Von aussen

    Die meisten Hackerangriffe erfolgen über die Netzwerkanbindung an das Internet. Daher kann ein Penetrationstest von aussen die potenziellen Risiken eines solchen Angriffs erfassen und bewerten.

  • Von innen

    Bei einem Penetrationstest von innen müssen üblicherweise keine Firewalls bzw. Eingangskontrollen überwunden werden, um Zugang zu den internen Netzen zu erhalten. Daher kann mit einem Test von innen bewertet werden, was z. B. bei einem Fehler in der Firewall-Konfiguration oder bei einem erfolgreichen Angriff auf die Firewall passieren könnte bzw. welche Zugriffsmöglichkeiten Personen mit Zugang zum internen Netzwerk erlangen könnten.

Ihr Mehrwert

Durch den «Angriff» eines Hackers der cyspro GmbH erhalten Sie:

  • Lagebild zur IT-Sicherheit durch ein unabhängiges Audit
  • Empfehlungen für notwendige bzw. sinnvolle Sicherheitsmassnahmen zur langfristigen Erhöhung des Sicherheitslevels Ihrer Organisation

Das Erstellen und Präsentieren des Abschlussberichts gehören bei uns zum Standard. Es ist uns ein Anliegen, dass mit unserem Bericht gearbeitet wird und Verbesserungsmassnahmen eingeleitet werden. Deshalb testen wir für Sie behobene Schwachstellen kostenlos nach, wenn sie innerhalb von 8 Wochen behoben werden.