Penetrationstest Teil 5 - Klassifikation

Was unterscheidet einen Penetrationstest von einem anderen Penetrationstest? Wie vorsichtig oder aggressiv geht der Tester vor? Welchen Umfang hat ein Penetrationstest? Auf diese Fragen und andere Fragen, geht der folgende Artikel der Reihe Penetrationstest ein.
Weiterlesen   >>
Unterscheidungen von Pentests
Bild des Benutzers pentester

Veröffentlicht von:

pentester
aktualisiert am:  30.05.2015

Klassifikation

Für eine effektive Durchführung von Penetrationstest müssen die Unterscheidungsmerkmale an die Zielsetzung angepasst werden. Folgendes Schaubild veranschaulicht die Klassifikation von möglichen Penetrationstests.
Die linke Seite zeigt sechs Kriterien für die Unterscheidung von Penetrationstests. Auf der rechten Seite sind die unterschiedlichen Werte für die Kriterien aufgelistet.

Unterscheidungen von Pentests

Es ist zu beachten, dass nicht alle möglichen Kombinationen sinnvolle Tests darstellen. Ein offensichtlicher Penetrationstest ist nicht geeignet um mittels Social-Engineering-Techniken vertrauliche Informationen von den vorgewarnten Mitarbeitern zu erlangen. Ein aggressiver Test wird meist schnell erkannt und ist daher nicht geeignet mit der verdeckten Sichtbarkeit.

1. Informationsfluss

Damit ist der Wissenstand des Penetrationstester über das anzugreifende Objekt gemeint. Man unterscheidet zwischen "Black-Box" - ohne Insiderwissen und "White-Box" mit Insiderwissen.

  • Der Black-Box-Test simuliert den realistischen Angriff eines Crackers, der keinerlei Wissenstand über das Objekt hat. Der Cracker muss die benötigten Informationen erst recherchieren bevor er einen Angriff starten kann.
  • Der White-Box-Test simuliert dagegen den Angriff eines (Ex-)Mitarbeiters. Je nach Zielsetzung des Tests wird dem Penetrationstester unterschiedlich viel Informationen zur Verfügung gestellt. Die Simulation eines Exmitarbeiters, der nur kurz bei dem Unternehmen beschäftigt war, bedarf wenig Informationen für den Penetrationstester. Im Gegensatz dazu, wird für die Simulation eines Angriffs durch einen Exmitarbeiter der Administrations-Abteilung, sehr viel Insiderwissen benötigt.

 

Das BSI empfiehlt grundsätzlich White-Box-Tests durchzuführen, da bei einem Black-Box-Test aufgrund der nicht vorliegender Informationen, Schwachstellen übersehen werden können. Auch der Aufwand ist bei einem Black-Box-Test wesentlich größer. Zusätzlich besteht bei einem Black-Box-Test ein höheres Risiko unbeabsichtigten Schaden zu verursachen.

2. Aggressivität

Wie aggressiv geht der Penetrationstester beim Testen vor?

  1. passiv, scannend:  Die Testobjekte werden nur passiv untersucht. Die gefundenen Schwachstellen werden nicht ausgenutzt
  2. vorsichtig: Die gefundenen Schwachstellen werden durch den Penetrationstester nur dann ausgenutzt, wenn eine Beeinträchtigung des untersuchten System ausgeschlossen werden kann.
  3. abwägend: Es wird versucht die Schwachstellen auszunutzen, die auch zu Systembeeinträchtigungen führen können. Allerdings wird abgewogen wie stark die Konsequenzen im Vergleich zum möglichen Erfolg wären.
  4. aggressiv: Hierbei wird versucht alle potentiellen Schwachstellen auszunutzen. Dem Auftraggeber muss dabei bewusst sein, dass neben den zu untersuchenden Systemen auch benachbarten Systeme ausfallen können.

 

Das BSI empfiehlt eine moderate Angriffsstärke. Die Schwachstellen sollen zwar nachgewiesen aber nur ausgenutzt werden, wenn es nicht vermeidbar ist und die Exploits ausreichend getestet wurden.

3. Umfang

Welche Systeme sollen getestet werden?

Bei einem erstmaligen Penetrationstest ist eine vollständige Überprüfung empfehlenswert.

  1. vollständig: Bei einem vollständigen Test werden alle erreichbaren Systeme geprüft.
  2. begrenzt: Alle Systeme in der DMZ (Demilitarisierten Zone) können beispielsweise bei einem begrenzten Penetrationstest geprüft werden.
  3. fokussiert: Der fokussierte Penetrationstest prüft nur ein bestimmtes Teilnetz oder System. Dieser Test bietet sich z.B. nach Änderung der Systemlandschaft an.

4. Sichtbarkeit

Wie "sichtbar" geht der Penetrationstester beim Testen vor?

  1. verdeckt: Es sollen nur solche Methoden zum Einsatz kommen, die nicht direkt, durch die sekundäre Sicherheits-Systeme (IDS), als Angriffsversuch erkannt werden.
  2. offensichtlich: Hierbei werden offensichtliche Methoden, wie umfangreiche Port-Scans, verwendet.

5. Technik

Welche Techniken werden beim Testen verwendet?

Ein System kann nicht nur klassisch über das Netzwerk, sondern auch physisch oder mittels Social-Engineering-Techniken attackiert werden.

  1. Netzwerkzugang: Der Penetrationstest über das Netzwerk entspricht dem normalen Vorgehen und simuliert einen typischen Angriff.
  2. Telekommunikationszugang: Es existieren neben TPC/IP Netzwerken weitere Netze, die für Angriffe genutzt werden können. (Beispiele: CAN im Automobilbereich, Fax-Dienste, Bluetooth Verbindungen usw.)
  3. Physischer Zugang: Der Unberechtigte Zugang in Gebäude und Serverräume, zur Erlangung des direkten Datenzugriffes oder Passwörter, fällt in diese Kategorie.
  4. Social Engineering: Diese Tests bieten sich nach Einführung von Sicherheitrichtlinien an, um Akzeptanz und Umsetzung der Mitarbeiter zu prüfen. Bei Social-Engineering-Attacken wird  durch Telefonate oder direkten Kontakt zu Mitarbeitern versucht, an die Passwörter oder geschützte Daten zu kommen.

6. Angriffspunkt:

Von wo aus wird der Penetrationstest durchgeführt?

Der Angriffspunkt, ist der Punkt an dem der Penetrationstester seinen Rechner ans Netz anschließt.

  1. externer Täter: Die meisten Angriffe erfolgen über die Netzwerkanbindung an das Internet. Daher kann ein Angriff als "externer Täter" die Risiken eines solchen Angriffs erfassen und bewerten. Hierbei werden meistens Router, Firewalls und Systeme in der DMZ untersucht.
  2. Innen-Täter: Beim Penetrationstest von Innen wird nicht versucht die Firewalls zu überwinden. Der Fokus liegt hierbei auf Personen, die aufgrund einer erfolgreichen Attacke, Zugriff zum internen Netzwerk erlangt haben. Was haben diese Personen für Möglichkeit, wie können sie dem Unternehmen schaden?

Kombiniertes Vorgehen

Eine Kombination von verschiedenen Penetrationstests ist empfehlenswert.  So kann zuerst ein vorsichtiger, verdeckter Black-Box-Test von außen und im zweiten Schritt ein aggressiver, offensichtlicher White-Box-Test von innen durchgeführt werden.

Das war der fünfte Teil der Reihe Penetrationstest. Nachdem ich nun die Grundlagen des Penetrationstests erläutert habe, werde ich im nächsten Teil auf die Durchführung von Penetrationstests eingehen. Der nächste Artikel beschreibt die "fünf Phasen eines Penetrationstest".
Nicht vergessen: RSS-Feed abonnieren

 

Diskussionsfrage:

Wie oft kam es bei euch vor, dass ein Kunde ein "aggressives"-Vorgehen gewünscht hat? Was war dabei die Zielsetzung?

nach oben
158 User haben sich bedankt.
Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.
Kommentar schreiben