Software basierte Systeme mit Penetration Test sicher machen!
Was ist ein Penetrationtest?
Penetration Test (oder kurz auch Pentest genannt), bezeichnet das manuelle Überprüfen von softwarebasierten Systemen und IT-Systemen auf Sicherheitslücken. Beinahe jede Sicherheitslücke wird genutzt, um reale Angriffe auf das System zu simulieren und somit ein Bild von der gesamten Sicherheit des Unternehmens oder Produkts zu erstellen.
Einen Penetration Test empfehlen wir für Systeme mit kritischen und sensiblen Daten. Diese müssen besonders geschützt werden, automatisierte Security Tests, die bekannte Sicherheitslücken identifizieren, reichen hier nicht aus.
Mit unserer Kombination aus überwiegend manuellen und angepassten automatisierten Tests, identifizieren wir auch unbekannte Konfiguration und Programmierfehler.
Wie funktioniert ein Penetration Test bei imbus?
Die Planung:
Jeder Penetrationtest ist individuell. Für unterschiedliche Szenarien gibt es Vorgehen, die von uns empfohlen werden können. Von Whitebox-Text, bei dem Sie uns weitestgehend alle nötigen Informationen zukommen lassen, über Greybox-Test bis hin zu Blackbox-Test, bei dem wir uns selbst die meisten Informationen beschaffen. Oft empfiehlt sich ein Whitebox-Text, da es sich hier, vor allem in der Vorbereitung, um ein sehr zeitsparendes Vorgehen handelt.
Folgende Punkte klären wir mit Ihnen vorab:
- Was ist das Testobjekt (z.B. eine Applikation, Webseite, Software, Embedded System, etc.)?
- Wer ist informiert?
- Welche Testdurchführung ist geplant, z.B. Black Box- oder White Box-Test?
- Zeitpunkt der Tests abstimmen
- Tiefe der Tests: werden die Schwachstellen nur identifiziert oder in einem Proof-of-Concept auch ausgenutzt?
- Wer bekommt welche Testergebnisse?
Basis der Penetration Tests:
Als Grundlage bauen die Tests auf anerkannten Security Standards auf, die es für verschiedene Geschäftsbereiche gibt, wie beispielsweise:
- PCI DSS (Payment Card Industry Data Security Standard)
- HIPAA (Health Insurance Portability and Accountability Act)
- BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) Vorschriften zur IT-Security
Und auch allgemeine Standards müssen immer berücksichtigt werden. Die bekanntesten sind:
- OWASP (Open Web Application Security Project) Testing Guide
- PTES (Penetration Testing Execution Standard)
- OSSTMM (Open Source Security Testing Methodology Manual)
- BSI Leitfaden IT-Sicherheits-Penetrationstest
Die vorgegebenen Standards sagen genau, was getestet werden soll, doch jeder Betrieb hat eigene Voraussetzungen und Anforderungen. Durch unsere jahrelange Erfahrung haben wir nicht nur unsere eigenen Standards gesetzt, sondern wir denken auch darüber hinaus. Als Experten wissen wir, wie wir Ihr Testobjekt am effektivsten prüfen, so dass für Sie der bestmögliche Kosten-Nutzen-Faktor entsteht.
Testszenarien
1. Webapplikationen:
Hierbei prüfen wir Ihre Webapplikation auf mögliche Bedrohungen, wie sie z.B. in den OWASP Top Ten (jeweils in der aktuellen Form) beschrieben sind.
Das können z. B. unbefugte Zugriffe auf nicht autorisierte Bereiche sein, unbefugter Zugriff auf Daten oder Manipulation von Daten. Manchmal werden Webserver auch übernommen, um als Sprungbrett für weitere Angriffe auf interne Systeme genutzt zu werden. Außerdem können hier auch gezielt Falschinformationen publiziert werden, die Ihrem Unternehmen massiv schaden können.
Diese und noch mehr Sicherheitslücken prüfen wir mit dem Penetration Test.
2. Infrastruktur:
Die Infrastruktur eines IT-Systems ist voller möglicher Sicherheitslücken, die man nicht aus dem Auge verlieren sollte. Deshalb überprüfen wir zunächst alle Ihre Netzwerkschnittstellen von außen nach innen. Auch die Serverbetriebssysteme werden auf mögliche Sicherheitslücken und Angriffspunkte getestet. Sehr wichtig ist es auch, alternative oder in Vergessenheit geratene Zugänge, die vorhandene Sicherheitsmechanismen umgehen, zu identifizieren.
Zur Infrastruktur gehören außerdem diese weiteren Schritte:
- Angriffe auf Ihre Firewall
- Finden und Identifizieren von möglichen Einstiegspunkten in Ihr Netzwerk über das Internet
- Vordringen in gesperrte Bereiche in Ihrem internen Netzwerk
3. WLAN:
Bei WLAN-Netzen wird oft nicht beachtet, dass diese nicht an den Bürogrenzen enden, sondern auch oft in den öffentlichen Bereich hinein sichtbar sind und somit ein potentielles Risiko darstellen.
Alle WLANs müssen zunächst einmal identifiziert werden, sowie alle nicht gewollten WLANs, die man via Smartphone oder Tablett erreichen kann. Danach werden mit dem Penetration Test Einbruchsversuche in die geschützten WLAN-Einrichtungen sowie in das interne Netz über vorhandene ungesicherte Gastnetze durchgeführt.
Tipp vom Profi: Im WLAN-Gastnetzwerk liegen versteckte Risiken. Lassen Sie ihre Gastnetze nie ungesichert und wechseln sie regelmäßig Ihre Passwörter!
Bericht
Mit unserem Bericht erhalten Sie eine Management Summary inklusive Bewertung des Sicherheitsniveaus. Die Ergebnisse können wir in individuelle Formate bereitstellen, z.B. integriert in Ihre Testumgebung.
Zusätzlich erhalten Sie zu jeder identifizierten Sicherheitslücke eine Beschreibung sowie unsere Mitigations Empfehlungen. Sollten wir im Vorfeld einen besonderen Bericht vereinbart haben, werden wir dies natürlich berücksichtigen.
Unsere Berichte liefern wir nur an den vereinbarten Personenkreis.
Nachbereitung der Penetration Tests
Wir sehen unsere Berichte als Input. Wir versuchen, mit Ihnen gemeinsam Lösungen zu finden, um die Erfahrungen aus dem Penetration Test in automatisierte Tests umzusetzen. Diese können dann schon während der Entwicklung oder in der Designphase eines Produkts eingesetzt werden.
Gerne werden wir mit Ihren Mitarbeitern im Nachgang zu einem Penetrationstest auch einen Workshop abhalten, in dem wir die Sicherheitslücken erläutern und mögliche Gegenmaßnahmen vorstellen.
Als weitere zusätzliche Dienstleitung können wir für Sie ein Sicherheits-Monitoring aufbauen, damit Ihre kritischen Systeme in Zukunft regelmäßig und natürlich automatisiert überwacht werden.
Nach Erstellung des Monitorings durch unsere Experten, geben wir das benötigte Wissen in einem Workshop an Ihre Mitarbeiter weiter, damit diese auch die Ergebnisse bewerten und einordnen können und im Bedarfsfall die Tests auch auf zukünftige Erfordernisse anpassen können.
Kontaktieren Sie uns noch heute und fordern Sie weitere Informationen an.
Weitere Informationen per E-Mail.
Anmeldung imbus Newsletter
Wenn Sie keine Neuigkeiten rund um Softwaretest und Softwarequalitätssicherung verpassen wollen, abonnieren Sie den imbus-Newsletter unter https://www.imbus.de/newsletter..
Zum Newsletter anmelden
Ihr Ansprechpartner bei imbus
Herr Tobias Esser
Mail: security@imbus.de
Tel.: +49 221 998788-0
Fax: +49 221 998788-50