PENETRATION TESTING & TECHNICAL VULNERABILITY ASSESSMENTS

Penetration Testing ≠ Technical Vulnerability Assessments

Bei den unten beschriebenen Kategorien handelt es sich um die am häufigsten nachgefragten Penetration Tests & Technical Vulnerability Assessments. Sollte Ihr Themengebiet nicht auffindbar sein, können Sie gerne unverbindlich mit uns in Kontakt treten. Auf Anfrage bearbeiten wir auch weitere Themen.

Unser Angebot

  • Web Applikationen

  • Web Services

  • Interne / Externe Netzwerke

  • IoT (Internet of Things), Firmware Reversing

  • Mobile Applikationen

  • Source Code Reviews

Häufig werden Penetration Tests und technische Vulnerability Assessments in der Praxis verwechselt oder als einheitlicher Begriff verwendet obwohl markante Unterschiede bestehen.

Was ist ein technisches Vulnerability Assessment?

  • Breitgefächerte Suche nach technischen Sicherheitsschwachstellen mit Priorität auf kritischen Schwachstellen (breadth over depth).

  • Hauptsächlich automatisierte Schwachstellenscans (siehe Vulnerability Scanning Service).

  • Schwachstellen werden identifiziert aber nicht ausgenutzt (kein Exploiting).

  • Ziel: Auffindung möglichst vieler Schwachstellen innerhalb des gegebenen Zeitrahmens.

Wann kommt ein technisches Vulnerability Assessment zum Einsatz?

  • Falls sie noch nie ein technisches Vulnerability Assessment oder einen Penetration Test durchgeführt haben, eignet sich das technische Vulnerability Assessment um einen Erstüberblick über den Sicherheitszustand Ihrer Systeme oder Applikationen zu erhalten (Healthcheck).

  • Sie verfügen über einzelne oder eine grosse Anzahl von Systemen, die überwacht und periodisch auf Schwachstellen überprüft werden müssen.

  • Die zu überprüfenden Applikationen oder Systeme bewegen sich bezüglich des Sicherheitsrisikos im tiefen- mittelkritischen Bereich.

Was ist ein Penetration Test?

  • Manuelle Suche nach technischen Schwachstellen, die durch automatisierte Schwachstellenscanner nicht gefunden werden können (depth over breadth).

  • Simuliert einen realistischen "Hackerangriff".

  • Ausnutzung der gefundenen Schwachstellen (Exploiting).

  • Ziel: Einbruch / Übernahme der im Scope definierten Systeme oder Applikationen.

Wann kommt ein Penetration Test zum Einsatz?

  • Ein Penetration Test eignet sich zur Überprüfung von Systemen oder Applikationen, die bereits über erweiterte Sicherheitsmechanismen wie Web Application Firewalls (WAF), Intrusion Detection (IDS) oder ähnliches verfügen. In diesem Beispiel wäre das Ziel des Penetration Tests die implementierten Sicherheitsmechanismen  zu umgehen und Sicherheitsschwachstellen aufzudecken und auszunutzen.

  • Sie möchten Ihre Sicherheitsorganisation oder Sicherheitsmechanismen mithilfe eines realistischen "Hackerangriff's" überprüfen.

  • Es handelt sich um ein für das Unternehmen kritisches System oder Applikation (bspw. E-Banking Systeme). 

  • Die zu überprüfenden Applikationen oder Systeme bewegen sich bezüglich des Sicherheitsrisikos im mittleren - kritischen Bereich.

PENETRATION TESTING

Angreifertypen

Whitehat

Whitehats verwenden ihr Wissen innerhalb der gesetzlichen Vorschriften und melden Sicherheitsschwachstellen. Die meisten Penetration Tester sind Whitehats.

Greyhat

Greyhats finden sich zwischen dem White- und dem Blackhat und verstossen manchmal auch gegen Gesetze. Greyhats zeichnen sich dadurch aus, dass sie nicht eindeutig als gut oder böse einzustufen sind.

Blackhat

Bei Blackhats handelt es sich um Cyberkriminelle, die gegen das Gesetz verstossen und im Auftrag von Regierungen oder Organisationen arbeiten. Häufige Motivationssgründe sind finanzieller Gewinn oder politische Ziele.

Durchführungsvarianten

Für Penetration Tests gibt es die folgenden Durchführungsvarianten:

Blackbox

Bei der Blackbox Vorgehensweise nehmen unsere Experten die Perspektive eines Angreifers ein, der keine Vorkenntnisse über das Zielsystem besitzt. Der Angreifer muss sich die Informationen über das Zielsystem selber beschaffen. Hierzu wird auf öffentlich verfügbare Daten und allenfalls Port- und Schwachstellenscans zurückgegriffen.

  • Simuliert einen realistischen Angriff von Aussen (via Internet).

  • Der Angreifer verfügt über keine Vorkenntnisse über die Zielapplikationen- oder Systeme.

  • Ersteinschätzung: Die Blackbox Vorgehensweise eignet sich um einen ersten Überblick über den Sicherheitszustand Ihrer Systeme oder Applikationen zu erhalten.

  • Meist geringer organisatorischer Aufwand.

  • Die zu überprüfenden Applikationen oder Systeme bewegen sich bezüglich des Sicherheitsrisikos im tiefen- mittelkritischen Bereich.

Whitebox

Bei der Whitebox Vorgehensweise nehmen unsere Experten die Perspektive eines Mitarbeiters oder externen Dienstleisters ein, der über bestimme Detailkenntnisse verfügt. Der Umfang der Kenntnisse kann dabei von geringen Kenntnissen (bspw. Mitarbeiter) bis zu tiefgehenden Kenntnissen (bspw. externer Dienstleister) reichen. Üblicherweise werden für diese Durchführungsart vom Kunden Source Code, Netzwerkpläne, Konfigurationen und Zugänge zum Zielsystem bereitgestellt.

  • Simuliert einen realistischen Angriff von Aussen und/oder Innen (Externes/Internes Netzwerk).

  • Whitebox Penetration Tests erzielen eine breitere und tiefere Abdeckung bei der Suche nach Sicherheitsschwachstellen als die Black- und Greybox Vorgehensweise.

  • Der Angreifer verfügt über detaillierte Informationen über die Zielapplikationen- oder Systeme.

  • Die zu überprüfenden Applikationen oder Systeme bewegen sich bezüglich des Sicherheitsrisikos im kritischen Bereich.

Greybox

Bei der Greybox Vorgehensweise handelt es sich um eine Mischform zwischen Blackbox und Whitebox. In diesem Fall werden unseren Experten nur bestimmte Informationen wie beispielsweise Logins zur Verfügung gestellt.

  • Simuliert einen realistischen Angriff von Aussen und/oder Innen (Externes/Internes Netzwerk).

  • Der Angreifer verfügt über bestimmte Informationen wie beispielsweise Netzwerkpläne und/oder Logins.

  • Die zu überprüfenden Applikationen oder Systeme bewegen sich bezüglich des Sicherheitsrisikos im mittleren Bereich.

hats.PNG

Hacker finden sich in allen Farben und Formen.

Vorgehensweise

Die folgende Grafik zeigt den typischen Ablauf eines Penetration Tests.

vorgehensweise.PNG

1. Kickoff Meeting

Das Kick-off Meeting dient der Koordination zwischen dem Kunden und der Cybersec-ng. Es sollen die entsprechenden Ansprechpersonen, der Scope und die Planung definiert werden. Auf Anfrage arbeiten wir den Scope mit unseren Kunden aus.

Tätigkeiten:

  • Planung

  • Scope

  • Dokumentübergabe.

Ergebnisse:

  • Ansprechpersonen

  • Durchführungszeitraum

  • Zeitpunkt der Reportabgabe und Abschlusspräsentation

  • Angriffsziele

  • Informationen über die Zielsysteme/Applikationen.

2. Information Gathering

In dieser Phase suchen unsere Experten gezielt nach Informationen über die Zielapplikationen / Systeme.

Tätigkeiten:

  • Analyse des Softwarestacks

  • Dokumentenstudium

Ergebnisse:

  • Informationen zum Betriebssystem

  • Informationen zu verwendeter Software (CMS, Programmiersprache, Libraries, etc.)

  • Analyse der erhaltenen Informationen / Dokumentationen.

3. Schwachstellenanalyse

Bei der Schwachstellenanalyse setzen wir auf eine Kombination aus automatisierten Schwachstellenscans und manuellen Überprüfungen. Das Ziel dieser Vorgehensweise ist es eine möglichst breite Abdeckung, was die Auffindung von Schwachstellen betrifft, zu erreichen. Dazu setzen wir, wenn möglich, auf gängige Standards wie OWASP, PTES, ISO oder OSSTMM.

Tätigkeiten:

  • Automatisierte Schwachstellenscans

  • Manuelle Sicherheitsüberprüfung

Ergebnisse:

  • Schwachstellen durch unsere eigenentwickelte Multivendor Scanning Engine (Link).

  • Manuelle Auswertung der Ergebnisse zur Ausschliessung von False-Positives.

  • Suche nach öffentlich verfügbaren Exploits und Tools im Falle von kommerzieller Software (CMS, Extensions, Libraries, Frameworks, etc.)

4. Ausnutzung der Schwachstellen (Exploiting)

Die gefundenen Schwachstellen werden analysiert und auf deren Ausnutzbarkeit überprüft.

Tätigkeiten:

  • Erstellung von Proof of concepts

  • Überprüfung der Ausnutzbarkeit gegenüber allfällig öffentlich verfügbaren Exploits und Tools.

Ergebnisse:

  • Die Ausnutzbarkeit der gefundenen Schwachstellen wird analysiert. Hierzu wird für die einzelnen Schwachstellen ein Proof of concept erstellt, der zeigt wie die Schwachstelle ausgenutzt werden kann.

  • Allenfalls öffentlich verfügbare Tools und Exploits werden analysiert und ausgeführt.

5. Risikoanalyse

Die gefundenen Schwachstellen werden einer Risikobewertung unterzogen. Dabei wird die Eintrittswahrscheinlichkeit und die Auswirkung der Schwachstelle berücksichtigt. Bei kritischen Schwachstellen wird der Kunde umgehend informiert und erhält detaillierte Informationen, damit diese möglichst zeitnahe behoben werden kann.

Tätigkeiten:

  • Risikobewertung der gefundenen Schwachstellen

Ergebnisse:

  • Risikobewertung der einzelnen Schwachstellen

6. Reporting

Die letzte Phase ist die Erstellung des Berichts. Ziel des Berichts ist es dem Management einen Überblick über die wichtigsten Schwachstellen und deren Gegenmassnahmen zu vermitteln und eine ausführliche technische Dokumentation für die technische Abteilung zur Verfügung zu stellen.

Tätigkeiten:

  • Erstellung Management Summary

  • Erstellung Schwachstellenübersicht, Details und Gegenmassnahmen.

Ergebnisse:

  • Management taugliche Zusammenfassung der wichtigsten Schwachstellen, deren Gegenmassnahmen und generelle Empfehlungen.

  • Technisch detaillierte Dokumentation der einzelnen Schwachstellen:

    • Risikobewertung (Gesamtrisiko, Eintrittswahrscheinlichkeit, Auswirkung)

    • Beschreibung der Schwachstelle

    • Proof of concept

    • Gegenmassnahme

    • Referenzen

7. Abschlusspräsentation

Die Abschlusspräsentation beinhaltet einen Management- und einen technischen Teil. Der Management Teil beinhaltet eine klare, verständliche Zusammenfassung der wichtigsten Resultate und Empfehlungen. Im technischen Teil werden die einzelnen Findings im Detail auf technischer Ebene besprochen.

Tätigkeiten:

  • Abschlusspräsentation

Ergebnisse:

  • Management Summary

  • Besprechung der technischen Schwachstellendetails

  • Beantwortung allfälliger Fragen