In dieser kleinen Serie möchte ich eine kurze Einleitung zur theoretischen Vorgehensweise von Penetrationstests geben.
Aufgeteilt ist diese Serie in folgende Beiträge:
- #1 Was ist Penetrationtesting, Schutzziele, Täterprofile
- #2 Klassifikation von Penetrationstests
- #3 Phasen eines Penetrationstests
- #4 Bewertung von Schwachstellen
Diese Serie ist nicht vollständig und soll lediglich einen groben Überblick geben. Bei offenen Fragen zu einem Thema beantworte ich diese natürlich gerne in den Kommentaren oder schreibe einen weiteren Beitrag !
Um einen Penetrationstest strukturiert durchführen zu können werden in [1] fünf Phasen eines Penetrationstests definiert, die im Folgenden kurz beschrieben werden sollen.
Phase 1 - Vorbereitung
In der ersten Phase werden die Ziele definiert, die durch den Test erreicht werden sollen. Entsprechend der in Klassifikation von Penetrationstests beschriebenen Kriterien wird der Penetrationstest klassifiziert. Zusätzlich werden Zeitrahmen definiert, in denen der Test durchgeführt werden soll. Im Rahmen von Sicherheitsanalysen spezieller Compliance-Anforderungen kommt es zur Abstimmung von Vorgehensweisen und vorhandener Bestimmungen. Auch werden in dieser Phase gesetzliche Bestimmungen überprüft, um straf- oder zivilrechtliche Konsequenzen zu vermeiden [S.45][2]. Vereinbarte Details werden schriftlich in einem Vertrag festgehalten.
Phase 2 - Informationsbeschaffung
Abhängig davon, ob es sich um einen Black-, White- oder Gray-Box-Test handelt müssen Informationen zu den Zielsystemen gesammelt oder aufbereitet werden.
Zur Informationsbeschaffung gehören neben der Nutzung von Online-Suchmaschinen auch der Einsatz von Netzwerkscannern wie nmap.
Somit können neben der IT-Infrastruktur auch Service-Versionen identifiziert werden.
Diese Phase sollte einen möglichst detaillierten Überblick über die zu prüfende Umgebung verschaffen. Der erstellte Überblick umfasst vorhandene Systeme, Dienste und mögliche Schwachstellen bzw. Angriffspunkte [S.5][1].
Phase 3 - Bewertung der Informationen/Risikoanalyse
Die in der Phase 2 gesammelten Informationen werden in dieser Phase auf mögliche Schwachstellen analysiert. So können bereits bekannte Sicherheitslücken anhand der Version bestimmter Services identifiziert werden. Unkontrollierbare Risiken sollten vor Start der Phase 4 mit den verantwortlichen Auftraggebern abgesprochen werden.
In die Bewertung müssen die vereinbarten Ziele des
Penetrationstests, die potenzielle Gefährdung der Systeme und der geschätzte Aufwand für das Evaluieren der potenziellen Sicherheitsmängel für die nachfolgenden aktiven Eindringsversuche einfließen [S. 45f.][2].
Phase 4 - Aktive Eindringungsversuche
Falls eine Verifikation der potentiellen Schwachstellen gefordert ist, werden diese aktiv ausgenutzt. In dieser Phase können entsprechende Funktionalitäten des Zielsystems eingeschränkt werden. Dies ist abhängig von der gewählten Aggressivität der Tests.
Bevor diese Phase eingeleitet wird, sollten unbedingt Kontaktinformationen aller Ansprechpartner vorliegen, um im Ernstfall die richtigen Personen möglichst rasch zu Informieren [S.6][1].
Nach entsprechendem Zugriff auf ein System wird versucht die erlangten Benutzerrechte auszuweiten. Auch wird wieder in Phase 2 begonnen, wenn Zugriff auf vorher unbekannte Netzwerkbereiche möglich ist. Dieses Vorgehen wird als Pivoting bezeichnet.
Phase 5 - Abschlussphase
Alle Informationen, die während des Tests gesammelt wurden, werden im Report des Tests zusammengefasst und aufgearbeitet. Dieser Report sollte die genauen Vorgehensweisen dokumentieren, sodass alle Ergebnisse nachvollziehbar sind. Neben der Auflistung der Schwachstellen mit einem Proof-of-Concept enthält der Bericht eine Managementübersicht und eine entsprechende Bewertung. Eine Möglichkeit die Schwachstellen zu bewerten ist das Common Vulnerability Scoring System welches im nächsten Beitrag dieser Reihe erläutert wird. Jegliche durch den Penetrationstest entstandenen Änderungen werden rückgängig gemacht.
Quellen
- [1] - [Mes17]: Michael Messner. Hacking mit Metasploit - Das umfassende Handbuch zu Penetration Testing und Metasploit. dpunkt.verlag, Heidelberg, 2017.
- [2] - BSI_Durchführungskonzept: BSI Durchführungskonzept für Penetrationstest. Aufgerufen am 17.08.2018
Vielen Dank fürs Lesen. Fragen beantworte ich wie immer gerne in den Kommentaren :)
auch wenn ich nur teilweise verstehe (da Laie :D)
frage ich mich was denn ein unkontrollierbares Risiko wäre? Hardwarekonstruktions-bedingte?
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Der Begriff unkontrollierbar war nicht gut gewählt.
Es geht darum, dass das Verhalten des Systems teilweise nicht vollständig vorherbestimmt werden kann. So kann sich das Verhalten bestimmter Teilsysteme ändern, obwohl sie nicht direkt Ziel des Angriffes waren.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Congratulations @security101! You have completed the following achievement on Steemit and have been rewarded with new badge(s) :
Award for the number of upvotes received
Click on the badge to view your Board of Honor.
If you no longer want to receive notifications, reply to this comment with the word
STOP
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Congratulations @security101! You have completed the following achievement on Steemit and have been rewarded with new badge(s) :
Award for the number of upvotes
Click on the badge to view your Board of Honor.
If you no longer want to receive notifications, reply to this comment with the word
STOP
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit