Definition

Bei einem Infrastruktur Penetrationstest liegt der Fokus auf:

  • Datenserver,
  • Webwebserver,
  • und Fileservern,
  • Netzwerkkomponenten,
  • Clients
  • und anderen IP-fähigen Komponenten.

Dabei überprüft ein Pentester vordefinierte Netzwerkbereiche. Mithilfe öffentlich verfügbarer, kommerzieller und selbst entwickelter Frameworks und Tools wird die Anfälligkeit und Ausnutzbarkeit einzelner Systeme bewertet. Fortgeschrittene Methoden wie „Lateral Movement“ und „Privilige Escalation“ werden, je nach festgelegter Prüftiefe, angewandt.

Das Ziel des Pentesters ist es von kompromittierten Systemen auf andere Infrastrukturelemente überzugehen, in der Regel auf kritische Server wie Domain-Controller. Letztendlich gilt es die Anzahl der anfälligen und ausnutzbaren Systeme zu ermitteln, um festzustellen wie diese ausgenutzt werden können und welche Gegenmaßnahmen getroffen werden sollten.

Voraussetzungen

Damit ein Penetrationstest reibungslos und erfolgreich durchgeführt werden kann, müssen einige organisatorische und technische Vorbereitungen getroffen werden.

Prüfobjekt

Durch die Einführung des Hacker-Paragraphs (§202c StGB) ist ein „Ethical-Hacker“ dazu verpflichtet im Vorhinein mit dem Auftraggeber das Prüfobjekt festzulegen.

Prüftiefe

Penetrationstests können unterschiedlich und je nach Situation mehr oder weniger invasiv gestaltet werden. DriveByte bietet drei vom BSI definierte Prüftiefen für Penetrationstests an.

Prüfort

Für einzelne Prüfobjekte oder für das Projekt allgemein, muss der Prüfort festgelegt werden. In den meisten Fällen ist es bei Penetrationstests durch Einsatz eines „Jump-Host“ möglich, alle Prüfobjekte über das Internet zu überprüfen, somit ist die physische Präsenz eines Pentesters nicht notwendig.

Prüfbedingungen

Verschiedene Prüfbedingungen können für alle oder einzelne Prüfobjekte festgelegt werden. Die Prüfbedingungen können vom Kunden definiert und verbindlich in der Vorlage festgehalten werden.

Prüfzeitraum

Für eine effiziente Ausführung eines Penetrationstests wird ein geregelter und vorher definierter Prüfzeitraum vorausgesetzt. Der Kunde setzt je nach Wunsch, aber auch nach Verfügbarkeit des Dienstleisters den Prüfzeitraum verbindlich in der Vorlage fest.

Verantwortlichkeiten

Für einen erfolgreichen Penetrationstest müssen Seitens Auftraggeber und Auftragnehmer verantwortliche für das durchzuführende Projekt festgelegt werden. Auf Seite des Auftraggebers müssen ein Projektleiter und ein technischer Ansprechpartner festgelegt werden.

Ablauf

DriveByte erkennt den Penetration Testing Execution Standard (PTES) als Referenzrahmen für die Durchführung von Penetrationstests an. Der PTES besteht aus sieben Hauptabschnitten:

startVorbereitungsphase

searchSammeln von Erkenntnissen

crisis_alertBedrohungsmodellierung

bug_reportSchwachstellenanalyse

dangerousAusnutzung

dynamic_feedSteuerung und Kontrolle

summarizeBerichterstattung

Dokumentation

Die gefundenen Schwachstellen werden nach Kritikalität und betroffenen Teilprüfobjekte gruppiert und ausführlich dokumentiert. Für die Bewertung der gefundenen Schwachstellen verwendet DriveByte dem weit verbreitetem Industriestandard Common Vulnerability Scoring System (CVSS) in der Version 4.0.

descriptionBeschreibung Prüfobjekt

listAufzählung Prüfbedingungen

shortcutC-Level Zusammenfassung

startBeschreibung Vorgehensweise

terminalAufzählung Schwachstellen

flagHandlungsempfehlungen

Wissen Sie, wie es um die Sicherheit Ihrer IT-Systeme steht?

Sicherheitslücken in Ihrer IT-Infrastruktur identifizieren und teure Folgen vermeiden. Jetzt kostenlos einen Beratungstermin vereinbaren.

Beratungstermin vereinbaren

Häufig gestellte Fragen

Wir beantworten Ihnen die wichtigsten Fragen im Voraus, damit Sie bestens informiert sind.

Was kostet ein Infrastruktur-Penetrationstest?

add

Was sind Black-, White- und Grey-Box Penetrationstests?

add

Wie lange dauert ein Infrastruktur-Penetrationstest?

add

Wird ein Penetrationstest den Geschäftsbetrieb beeinträchtigen?

add

Welche Voraussetzungen müssen für einen Penetrationstest geschaffen werden?

add

Wie unterscheidet sich der Penetrationstest von der Schwachstellenanalyse?

add

Was passiert, wenn eine Sicherheitslücke gefunden wurde?

add

Ist ein Penetrationstest eine einmalige Maßnahme?

add

Gibt es im Anschluss an den Test einen Abschlussbericht?

add