Nutzen eines Penetration Test
Im Zuge eines Penetration Tests übernimmt RedFox die Rolle eines Angreifers, der in Ihre IT-Infrastruktur eindringt. Durch die Dokumentation der Angriffe erhalten Sie wertvolles Wissen zu den vorhandenen Schwachstellen in Ihrem System. Gleichzeitig nehmen Sie durch den Test die Kontrollpflicht Ihrer IT-Systeme wahr und können dies auch anhand des Berichts belegen.
Kosten-Nutzen-Verhältnis
Penetration Tests stehen in Sachen Mängelbeseitigung in einem guten Kosten-Nutzen-Verhältnis. Stellen Sie sich vor, Sie setzen ein Programm zum Vulnerability Management ein. Welche Schwachstellen müssen Sie als erstes beseitigen? Richtig, jene die sich unmittelbar zum Angriff ausnutzen lassen. Durch einen Penetration Test werden diese Schwachstellen identifiziert und können ZEITNAH angegangen werden. Somit lassen sich auch weniger kritische Schwachstellen nach und nach aufarbeiten.
Ablauf eines Penetration Tests
Vorbereitung
Zuerst werden gemeinsam mit dem Kunden Umfang und Art des Tests bestimmt. Es wird festgelegt, auf welche Systeme tatsächlich zugegriffen werden darf und ob es Compliance-Anforderungen gibt.
Information Gathering
Während dieser Phase werden mit aktiven und passiven Methoden der Informationsgewinnung möglichst viele Details über die anzugreifende Infrastruktur des Unternehmens gewonnen.
Zu den eingesetzten Werkzeugen gehören auch Port- und Schwachstellenscanner. Die so erlangten Informationen werden anschließend ausgewertet und sortiert.
Exploitation
Die identifizierten Schwachstellen werden ausgenutzt, um aktiven Zugriff auf Webdienste, -applikationen oder Systemdienste zu erhalten. Hier werden verschiedene Angriffstechniken eingesetzt, um sich Zugang zu verschaffen.
Hierzu zählen – unter anderem – das Ausführen von Exploits, das Knacken von Passwörten mittels Bruteforce Attacken sowie Client-Side-Attacken.
Privilege Escalation
Je nach Dienst erhält der Angreifer nur eingeschränkten Zugriff auf das System. Viele Dienste werden mit einem Benutzer ausgeführt, der keinen vollen Zugriff auf das System hat. Um die Nutzungsrechte zu erweitern, werden Fehlkonfigurationen des Systems oder Fehler im Programmcode anderer Anwendungen ausgenutzt.
Nutzungsrechte lassen sich horizontal (Nutzer mit ähnlichen Rechten) oder vertikal (Nutzer mit höheren Rechten) ausweiten.
Post Exploitation
Nachdem Zugriff auf ein System erlangt wurde, wird das angegriffene System analysiert und wichtige Assets als Zugriffsbeweise exfiltriert. Werden im Zuge der Analyse weitere Netzwerkbereiche identifiziert, kann mittels Pivoting der Angriff auf den neuen Netzwerkabschnitt erweitert werden. Damit beginnt der Prozess erneut mit der Informationsgewinnung.
Abschlussbericht
Die Ergebnisse werden in einem Abschlussbericht aufbereitet und dem Kunden präsentiert. Der Bericht ist in mehrere Bereiche gegliedert und enthält, neben einer groben Zusammenfassung der gefunden Schwachstellen, auch eine ausführliche Anleitung, wie diese reproduziert werden können.