Der Ablauf eines Penetrationstests: Schritte und Prozesse

In einem Kickoff-Meeting werden wichtige Dinger mit verantwortlichen Personen besprochen. Es wird geklärt, was und wie getestet wird. Alle ggf. bereits vorher besprochenen Dinge werden bestätigt und kritisch hinterfragt (Funktionen der Applikationen, Rollen/Rechte, Testumgebungen, No-Gos, Technologie, ...). Zusammen mit dem Kunden legen wir eine Grundlage, die es uns erlaubt, den Penetrationstest erfolgreich durchzuführen. Hierbei wird auch auf die individuellen Wünsche des Kunden eingegangen (Kommunikation während des Tests, Testzeiten, VPN, ...).

Wir machen uns an die Arbeit. Wir suchen im Team nach Sicherheitslücken und Problemen im definierten Scope. Geht es um einen klassischen Blackbox-Pentest gegen beispielsweise eine Webapplikation, verwenden wir Werkzeuge, wie Nmap oder Burp Suite. In der ersten Phase versuchen wir das Ziel und dessen reguläre Funktion zu verstehen. Anschließend gehen wir strukturiert jede Funktion durch und suchen sowohl nach Sicherheitslücken, falschen Konfigurationen als auch nach allgemeinen technischen Problemen. Das genaue Vorgehen, den Automatisierungsgrad, Auswahl von Tools hängt im Detail vom konkreten Auftrag ab. Oft verlangen Kunden nicht nur einen sehr fokussierten technischen Penetrationstest, sondern zusätzlich eine gewissen Red Teaming Komponente. In so einem Fall nutzen wir OSINT, Threat Intelligence und anderes, um die Zielapplikation ggf. anders zu kompromittieren (beispielsweise Zugang zu Quellcode oder Zugangsdaten durch Leaks im Internet).

In der Regel erstellen wir einen ausführlichen Bericht als PDF. Der Bericht beinhaltet eine Zusammenfassung für das Management als auch den technischen Teil. Letzteres beschreibt Scope, Methodik als auch alle Funden. Wir stellen sicher, dass das technische Personal des Kunden unsere Funde reproduzieren kann. Für uns hat sich bewährt innerhalb des Berichts ebenfalls auf aktuelle Probleme allgemeiner Natur hinzuweisen - so können wir schnell erkennen, ob eine Funktion in Zukunft zu einem Problem werden könnte und was seitens der Entwickler gemacht werden müsste, um das zu verhindern. Wir wollen hierbei dem Kunden proaktiv helfen. Die technisch verantwortliche Person bekommt zu einem vereinbarten Termin den Bericht - in der Regel über einen sicheren Kanal.

In einem Abschlussgespräch klären wir fragen des Kunden, erläutern unsere Funde und stellen sicher, dass der Kunde wirklich den Impact verstanden hat. Jedes Abschlussgespräch ist sehr individuell und wird entsprechend geplant.

Optional bieten wir an die Fixes der Entwickler zu prüfen. Hier führen wir nicht nur unsere initial zur Verfügung gestellten Payloads nochmals aus, sondern überlegen uns potenzielle Bypasses, die die Entwickler ggf. nicht auf dem Schirm hatten. So kann die Applikationen nochmals gestärkt werden.