Penetrationstests
Penetrationstests sind der Grundpfeiler in der IT-Sicherheit und sollten kontinuierlich - beispielsweise bei Änderungen im Code - wiederholt werden. Regelmäßige Penetrationstests relevanter Assets, wie Webanwendungen, API, mobiler Apps oder allgemein Services schaffen Vertrauen in Ihre IT-Sicherheit.
Was ist ein Penetrationstest?
Ein "Pentest", kurz für "Penetrationstest", ist eine Art von Sicherheitstest, der darauf abzielt, Schwachstellen in einem Computersystem, Netzwerk oder einer Anwendung zu identifizieren, indem ein Angriff durch einen bösartigen Akteur simuliert wird.
Während eines Pentests wird ein erfahrener Sicherheitsfachmann (auch "Penetrationstester" oder
"ethischer
Hacker" genannt) verschiedene Techniken und Werkzeuge verwenden, um zu versuchen, Schwachstellen im
System oder in der Anwendung auszunutzen, um unbefugten Zugang zu erhalten, Daten zu stehlen oder
die
Sicherheit des Systems anderweitig zu kompromittieren. Der Tester könnte auch versuchen, seine
Berechtigungen
zu eskalieren oder sich lateral im Netzwerk zu bewegen, um Zugang zu zusätzlichen Systemen zu
erlangen.
Das Ziel eines Pentests ist es, Sicherheitslücken zu identifizieren, bevor sie von echten Angreifern
ausgenutzt werden können und Empfehlungen zur Verbesserung der Systemsicherheit zu geben. Pentests
können Organisationen helfen, Schwächen in ihrer IT-Sicherheit zu erkennen und Ressourcen zu
priorisieren, um die kritischsten Probleme zuerst zu lösen.
Arten des Penetrationstests
Die groben Arten von Penetrationstests lassen sich in die Kategorien Blackbox, Greybox und Whitebox unterteilen. Darüber hinaus sieht man immer häufiger bezeichnungen, wie "Mobile Penetrationstest" oder "API Pentest" - dahinter verstecken sich in der Regel nur Aussagen über das Zielsystem, nicht aber, wie konkret vorgegangen wird.
Blackbox-Pentest
Bei einem Blackbox Penetrationstests handelt es sich meist um die realistische Art, wie ein Unternehmen heutzutage angegriffen wird. Der Angreifer startet ohne Informationen und muss sich diese erarbeiten. Hierzu werden diverse Phasen durchlaufen, die den Angreifer am Ende befähigen einen erfolgreichen Cyber-Angriff auf das Ziel durchzuführen. Dieses Vorgehen lehnt sich stark an Vorgehensweisen aus dem Militär an, bei denen vor dem eigentlichen Angriff viel Zeit in Aufklärung und Informationsbeschaffung investiert wird. Hierbei können diverse Quellen verwendet werden. In der Regel hat der Angreifer hier keine internen Informationen.
Je nach Art des Auftrags ist oft eine Phase der Informationsbeschaffung nicht wirklich notwendig, weil beispielsweise der so genannte Scope eine bestimmte Applikation ist und die Aufgabe des Testers es ist von außen nach Sicherheitslücken zu suchen.
Greybox-Pentest
Penetrationstests, die den Greybox-Ansatz verfolgen, sind oft ähnlich gestrickt, wie der klassische Blackbox-Pentest. Hier hat der Tester allerdings die Möglichkeit an bestimmte Informationen zu kommen. So werden ihm beispielsweise Teil von Quellcodes, Dokumentationen, API Schema, Zugangsdaten zu Accounts mit wenig Rechten gewährt. Oft findet hier eine enge Zusammenarbeit mit dem Kunden statt, dieser gewährt je nach Situation weitere Informationen.
Auch hier ist das Ziel sich auf das eigentlich wichtige zu konzentrieren: relevante Sicherheitslücken im zu testenden System zu finden und das ohne Zeit bei der Reconnaissance-Phase zu verlieren. In der Regel hat dieser Ansatz den besten Kosten-Nutzen-Faktor.
Whitebox-Pentest
Bei einem Whitebox-Pentest werden den Testern alle Informationen zur Verfügung gestellt. So kann sich der Tester ein umfassendes Bild vom zu testenden System machen, es ist klar, wie es ggf. mit anderen Systemen kommuniziert und dank meist vorhandenem Quellcode lassen sich auch komplexe Sicherheitslücken finden. Es ist zu erwarten, dass die Ergebnisse hier besonders gut sind. Nachteilig ist aber, dass der Whitebox-Test oft sehr langwierig und damit teuer werden kann.
Pentest: Blackbox vs Greybox vs Whitebox
| Blackbox | Greybox | Whitebox | |
|---|---|---|---|
| Ziele | Simulation eines realistischen externen Angriffs sowie Identifikation externer Schwachstellen | Simulation eines teilweise informierten Angriffs sowie Identifikation von Schwachstellen mit begrenztem Wissen | Umfassende Analyse des Systems sowie Identifikation interner und externer Schwachstellen |
| Ausgangslage | Kein Vorwissen und kein Zugang zu internen Ressourcen | Begrenztes Vorwissen und begrenzter Zugang zu internen Ressourcen | Vollständiger Zugang zu allen Ressourcen und Quellcodes |
| Vorteile | Realistische Simulation eines Cyberangriffs Keine interne Beeinflussung |
Kombiniert Elemente von Black- und Whitebox-Tests Effizientere Identifikation von Schwachstellen |
Tiefgreifende Analyse möglich Identifikation von Schwachstellen in Quellcodes und Konfigurationen |
| Nachteile | Potenzielle Übersehen von internen & komplexeren Schwachstellen | Möglicherweise nicht so tiefgreifend wie ein Whitebox-Test | Benötigt viel Zeit und simuliert nur bedingt realistische Angriffsszenarien |
| Zeitaufwand | Wenig | Mittel | Hoch |
Warum sind Penetrationstests so wichtig und nicht wegzudenken?
Penetrationstests sind notwendig, um Sicherheitslücken in einem System, Netzwerk oder einer
Anwendung
zu identifizieren und Organisationen dabei zu helfen, ihre allgemeine Sicherheitslage zu
verbessern.
Durch das Identifizieren von Schwachstellen und das Anbieten von Empfehlungen zur Behebung
können
Organisationen das Risiko eines erfolgreichen Cyber-Angriffs reduzieren und ihre sensiblen
Daten,
Systeme und ihren Ruf schützen.
Obwohl immer mehr Anbieter mit "automatisierten Penetrationstests" versuchen den Markt zu
revolutionieren,
ist es nahezu unmöglich die Kreativität eines Menschen zu ersetzen.
Die Ergebnisse eines Penetrationstests können je nach Umfang des Tests und den spezifischen
Zielen der
Organisation variieren. Hier sind jedoch einige häufige Ergebnisse, die von einem
Penetrationstest erwartet werden können:
- Identifizierung von Schwachstellen: Ein Penetrationstest kann Schwachstellen in einem System identifizieren, die von einem Angreifer ausgenutzt werden könnten. Dies umfasst Softwarefehler, Konfigurationsschwächen und andere Sicherheitslücken.
- Risikobewertung: Ein Penetrationstest kann Organisationen dabei helfen, das mit verschiedenen Schwachstellen verbundene Risiko zu bewerten und zu priorisieren, welche zuerst angegangen werden sollten.
- Empfehlungen zur Behebung: Ein Penetrationstest kann Empfehlungen zur Behebung identifizierter Schwachstellen geben und die Sicherheitslage des Systems verbessern.
Aktivitäten
Luftfahrt
Als externes Red Team durften wir eines der größten Luftfahrtunternehmen angreifen.
Universitäten
In einem britischen Forschungsinstitut haben wir externe und interne Bedrohungen gefunden.
Autohersteller
Für einen deutschen Hersteller haben wir Dutzende Sicherheitslücken gefunden.
IT-Unternehmen
Wir konnten einen großen PII Leak in einem brasilianischen Unternehmen aufspüren.
Versicherungsunternehmen
Regelmäßig bewerten wir die externe IT-Sicherheit von potentiellen Versicherungsnehmern.
Robotik
In regelmäßigen Abständen führen wir Penetrationstests gegen eine bekannte Applikation aus der Robotik durch.
Bahnunternehmen
Wir durften die gesamte Infrastruktur eines ausländischen Bahnunternehmens analysieren.
SaaS Anbieter
Anbieter von SaaS sind klassische Kunden - die Komplexität dieser Applikationen machen regelmäßige Pentests nötig.
Gaming
Gaming-Portale gehören ebenfalls in unser Kunden-Portfolio.
Ablauf eines Penetrationstests
In einem Kickoff-Meeting werden wichtige Dinger mit verantwortlichen Personen besprochen. Es wird geklärt, was und wie getestet wird. Alle ggf. bereits vorher besprochenen Dinge werden bestätigt und kritisch hinterfragt (Funktionen der Applikationen, Rollen/Rechte, Testumgebungen, No-Gos, Technologie, ...). Zusammen mit dem Kunden legen wir eine Grundlage, die es uns erlaubt, den Penetrationstest erfolgreich durchzuführen. Hierbei wird auch auf die individuellen Wünsche des Kunden eingegangen (Kommunikation während des Tests, Testzeiten, VPN, ...).
Wir machen uns an die Arbeit. Wir suchen im Team nach Sicherheitslücken und Problemen im definierten Scope. Geht es um einen klassischen Blackbox-Pentest gegen beispielsweise eine Webapplikation, verwenden wir Werkzeuge, wie Nmap oder Burp Suite. In der ersten Phase versuchen wir das Ziel und dessen reguläre Funktion zu verstehen. Anschließend gehen wir strukturiert jede Funktion durch und suchen sowohl nach Sicherheitslücken, falschen Konfigurationen als auch nach allgemeinen technischen Problemen. Das genaue Vorgehen, den Automatisierungsgrad, Auswahl von Tools hängt im Detail vom konkreten Auftrag ab. Oft verlangen Kunden nicht nur einen sehr fokussierten technischen Penetrationstest, sondern zusätzlich eine gewissen Red Teaming-Komponente. In so einem Fall nutzen wir OSINT, Threat Intelligence und anderes, um die Zielapplikation ggf. anders zu kompromittieren (beispielsweise Zugang zu Quellcode oder Zugangsdaten durch Leaks im Internet).
In der Regel erstellen wir einen ausführlichen Bericht als PDF. Der Bericht beinhaltet eine Zusammenfassung für das Management als auch den technischen Teil. Letzteres beschreibt Scope, Methodik als auch alle Funden. Wir stellen sicher, dass das technische Personal des Kunden unsere Funde reproduzieren kann. Für uns hat sich bewährt innerhalb des Berichts ebenfalls auf aktuelle Probleme allgemeiner Natur hinzuweisen - so können wir schnell erkennen, ob eine Funktion in Zukunft zu einem Problem werden könnte und was seitens der Entwickler gemacht werden müsste, um das zu verhindern. Wir wollen hierbei dem Kunden proaktiv helfen. Die technisch verantwortliche Person bekommt zu einem vereinbarten Termin den Bericht - in der Regel über einen sicheren Kanal.
In einem Abschlussgespräch klären wir fragen des Kunden, erläutern unsere Funde und stellen sicher, dass der Kunde wirklich den Impact verstanden hat. Jedes Abschlussgespräch ist sehr individuell und wird entsprechend geplant.
Optional bieten wir an die Fixes der Entwickler zu prüfen. Hier führen wir nicht nur unsere initial zur Verfügung gestellten Payloads nochmals aus, sondern überlegen uns potenzielle Bypasses, die die Entwickler ggf. nicht auf dem Schirm hatten. So kann die Applikationen nochmals gestärkt werden.
Viele unserer Kunden möchten leider nicht genannt werden. Das Zeigen konkreter Ergebnisse oder
Berichte
ist bedauerlicherweise ebenfalls oft unerwünscht oder via NDA nicht erlaubt - was mehr als
verständlich ist.
Um Ihnen als potentiellen Kunden trotzdem beweisen zu können, dass wir wissen, was wir machen und
dabei erfolgreich sind
sind nahezu alle unsere Mitarbeiter stark im Bereich Bug Bounty Hunting involviert. Wir suchen,
finden und melden
komplexe kritische Sicherheitslücken an Konzerne, wie PayPal, Tesla oder Apple. Wir empfehlen die
Namen im Internet zu suchen.
Sie werden diverse öffentliche Berichte auf Platformen, wie HackerOne oder BugCrowd aber auch auf
"Thank you"-Seiten von
Apple, SAP oder Microsoft finden.
Persönliche Kontakte zu Kunden vermitteln wir ebenfalls gerne.
Ergänzende Dienstleistungen
Kontinuierliche Überwachung
Unsere Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.
Red Teaming
Red Teaming kombiniert alle Disziplinen der IT-Sicherheit, um ein definiertes Ziel zu erreichen. Sind Sie sich sicher, dass ihre Infrastruktur und Applikationen sicher sind, ist Red Teaming ein solides Werkzeug, um sicherzustellen, dass das auch so bleibt.
Darknet Intelligence
Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!
Was Kunden über uns sagen
„Wir waren sehr von DSecured beeindruckt. Die Ergebnisse, die vorgestellt wurden, übertrafen unsere Erwartungen bei weitem. Es wurde eine Vielzahl von IT-Problemen und schwerwiegenden Schwachstellen gefunden - die klar und deutlich kommuniziert wurden. Die Zusammenarbeit war unkompliziert und reibungslos.“
Feda Mecan
„Die Sicherheit der Daten unserer Kunden steht für uns an erster Stelle. Dank DSecured waren wir in der Lage die Resilienz unserer Systeme zu verbessern und festzustellen, wie wichtig das Thema "Shadow IT" ist. Das Engagement des Teams und deren Fähigkeiten haben für uns den entscheidenden Unterschied gemacht.“
Red Team Lead
„DSecured konnte erstaunlich viele bisher unentdeckte Sicherheitslücken in unserer Infrastruktur entdecken. Hierfür wurde die Plattform Argos als auch klassische Penetrationstests verwendet. Wir haben die ehrliche Beratung rund um das Thema IT-Sicherheit sowie Automatisierung sehr geschätzt und danken Herrn Strobel hierfür.“
Vorstand
„Herr Strobel und sein Team führen regelmäßig Penetrationstests gegen unsere Automatisierungsplattform durch - und werden immer wieder fündig. Die Ergebnisse werden klar und reproduzierbar dargestellt. Die Kommunikation erfolgte bisher auf kurzem Wege via z.B. Slack. Wir können DSecured definitiv weiter empfehlen.“
