Definition
Bei einem Infrastruktur Penetrationstest liegt der Fokus auf:
- Datenserver,
- Webwebserver,
- und Fileservern,
- Netzwerkkomponenten,
- Clients
- und anderen IP-fähigen Komponenten.
Dabei überprüft ein Pentester vordefinierte Netzwerkbereiche. Mithilfe öffentlich verfügbarer, kommerzieller und selbst entwickelter Frameworks und Tools wird die Anfälligkeit und Ausnutzbarkeit einzelner Systeme bewertet. Fortgeschrittene Methoden wie „Lateral Movement“ und „Privilige Escalation“ werden, je nach festgelegter Prüftiefe, angewandt.
Das Ziel des Pentesters ist es von kompromittierten Systemen auf andere Infrastrukturelemente überzugehen, in der Regel auf kritische Server wie Domain-Controller. Letztendlich gilt es die Anzahl der anfälligen und ausnutzbaren Systeme zu ermitteln, um festzustellen wie diese ausgenutzt werden können und welche Gegenmaßnahmen getroffen werden sollten.
Voraussetzungen
Damit ein Penetrationstest reibungslos und erfolgreich durchgeführt werden kann, müssen einige organisatorische und technische Vorbereitungen getroffen werden.
Prüfobjekt
Durch die Einführung des Hacker-Paragraphs (§202c StGB) ist ein „Ethical-Hacker“ dazu verpflichtet im Vorhinein mit dem Auftraggeber das Prüfobjekt festzulegen.
Prüftiefe
Penetrationstests können unterschiedlich und je nach Situation mehr oder weniger invasiv gestaltet werden. DriveByte bietet drei vom BSI definierte Prüftiefen für Penetrationstests an.
Prüfort
Für einzelne Prüfobjekte oder für das Projekt allgemein, muss der Prüfort festgelegt werden. In den meisten Fällen ist es bei Penetrationstests durch Einsatz eines „Jump-Host“ möglich, alle Prüfobjekte über das Internet zu überprüfen, somit ist die physische Präsenz eines Pentesters nicht notwendig.
Prüfbedingungen
Verschiedene Prüfbedingungen können für alle oder einzelne Prüfobjekte festgelegt werden. Die Prüfbedingungen können vom Kunden definiert und verbindlich in der Vorlage festgehalten werden.
Prüfzeitraum
Für eine effiziente Ausführung eines Penetrationstests wird ein geregelter und vorher definierter Prüfzeitraum vorausgesetzt. Der Kunde setzt je nach Wunsch, aber auch nach Verfügbarkeit des Dienstleisters den Prüfzeitraum verbindlich in der Vorlage fest.
Verantwortlichkeiten
Für einen erfolgreichen Penetrationstest müssen Seitens Auftraggeber und Auftragnehmer verantwortliche für das durchzuführende Projekt festgelegt werden. Auf Seite des Auftraggebers müssen ein Projektleiter und ein technischer Ansprechpartner festgelegt werden.
Ablauf
DriveByte erkennt den Penetration Testing Execution Standard (PTES) als Referenzrahmen für die Durchführung von Penetrationstests an. Der PTES besteht aus sieben Hauptabschnitten:
startVorbereitungsphase
searchSammeln von Erkenntnissen
crisis_alertBedrohungsmodellierung
bug_reportSchwachstellenanalyse
dangerousAusnutzung
dynamic_feedSteuerung und Kontrolle
summarizeBerichterstattung
Dokumentation
Die gefundenen Schwachstellen werden nach Kritikalität und betroffenen Teilprüfobjekte gruppiert und ausführlich dokumentiert. Für die Bewertung der gefundenen Schwachstellen verwendet DriveByte dem weit verbreitetem Industriestandard Common Vulnerability Scoring System (CVSS) in der Version 4.0.
descriptionBeschreibung Prüfobjekt
listAufzählung Prüfbedingungen
shortcutC-Level Zusammenfassung
startBeschreibung Vorgehensweise
terminalAufzählung Schwachstellen
flagHandlungsempfehlungen
Wissen Sie, wie es um die Sicherheit Ihrer IT-Systeme steht?
Sicherheitslücken in Ihrer IT-Infrastruktur identifizieren und teure Folgen vermeiden. Jetzt kostenlos einen Beratungstermin vereinbaren.
Häufig gestellte Fragen
Wir beantworten Ihnen die wichtigsten Fragen im Voraus, damit Sie bestens informiert sind.
Was kostet ein Infrastruktur-Penetrationstest?
Was sind Black-, White- und Grey-Box Penetrationstests?
Wie lange dauert ein Infrastruktur-Penetrationstest?
Wird ein Penetrationstest den Geschäftsbetrieb beeinträchtigen?
Welche Voraussetzungen müssen für einen Penetrationstest geschaffen werden?
Wie unterscheidet sich der Penetrationstest von der Schwachstellenanalyse?
Was passiert, wenn eine Sicherheitslücke gefunden wurde?
Ist ein Penetrationstest eine einmalige Maßnahme?
Gibt es im Anschluss an den Test einen Abschlussbericht?