Die Nachfrage nach Penetrationstests ist in den letzten Monaten explodiert

Verstehen Sie besser, welche Arten von Pentests es heute gibt und wozu jeder einzelne dient

von Lucas Lança und Cássio Lima, Mitglieder des Cybersicherheitsteams bei Kryptus EED. SA

Die zunehmende Anzahl und Schwere von Hackerangriffen sowie das Bewusstsein für den Schaden, den sie einem Unternehmen zufügen können, haben die Notwendigkeit verdeutlicht, spezialisierte Dienste im Bereich der Informationssicherheit in Anspruch zu nehmen, die das Potenzial haben, solche Angriffe zu verhindern oder abzuschwächen.

Um pentestoder Einbruchstestist ein simulierter Cyberangriff auf ein System, um dessen Sicherheit zu beurteilen. Ziel ist es, die Sicherheitsimplementierung zu testen und zu validieren, Schwachstellen zu identifizieren und Verbesserungen der Abwehrmechanismen und Sicherheitsrichtlinien einer Organisation vorzuschlagen. Der Unterschied zwischen einem Intrusionstest und einem Hackerangriff liegt grundsätzlich nur in der Autorisierung zur Durchführung des Angriffs und der Schadensbegrenzung bei der Durchführung in einer Produktionsumgebung.

Die Praxis, Gruppen aus Computerhacking-Experten zu bilden, um die Sicherheit von Systemen zu testen, entstand in den 70er Jahren. Bekannt als TigerteamsDiese Fachleute halfen dabei, die Parameter und die Methodik des sogenannten Pentests festzulegen. waren die Vorläufer der Penetrationstester. Obwohl die Figur des professionellen Hackers im Bereich der Informationssicherheit bereits seit dieser Zeit präsent ist, erlangte sie erst im letzten Jahrzehnt größere Akzeptanz in der Gesellschaft.

Angesichts des wachsenden Bedarfs an der Beauftragung von Drittleistungen in Cyber-Sicherheitist es wichtig, die Situationen zu verstehen, in denen die Durchführung eines Intrusionstests angebracht ist, sowie die verschiedenen Formen von Intrusionstests, die durchgeführt werden können.

Im Allgemeinen werden Penetrationstests oft kategorisiert als Black-Box, Grauboxoder weiße Box, Klassifizierung in Bezug auf die Menge an Informationen, die der Pentester über die Anwendung erhält.

In einem Test Black-Box Es werden keine Informationen über die angegriffene Anwendung oder Infrastruktur bereitgestellt. Der Pentester wird in die Position des Hacker gemeinsam. Sein Zweck besteht darin, Schwachstellen in einem System zu ermitteln, die anfällig für Missbrauch von außerhalb der Umgebung sind, und die oberflächlichen Aufzählungsschritte nehmen bei dieser Art von Test auf der Suche nach einem ersten Zugriff oft mehr Zeit in Anspruch.

Graue Box ist der Test, bei dem die pentester verfügt als normaler Benutzer oder sogar als Benutzer mit mehr Berechtigungen über interne Kenntnisse des Systems sowie über einige Informationen zur Infrastruktur oder zum Betrieb der Anwendung. Ziel ist eine gründlichere Beurteilung als der Test Black-Box und ermöglicht eine gezieltere Entwicklung von Tests für Systeme mit höherem Risiko. Mithilfe interner Systemkonten können Angriffe von Gegnern simuliert werden, die kontinuierlichen Zugriff auf das System haben.

Tests weiße Box sind solche, bei denen vollständiger Zugriff auf den Quellcode, die Dokumentation usw. gewährt wird. Diese Art des Testens kann sowohl eine statische Codeanalyse als auch dynamische Tests umfassen. Eine solche Analyse erfordert theoretisch mehr Zeit und kann möglicherweise alle vorhandenen Schwachstellen in der Anwendung identifizieren.

Die verschiedenen Arten von Penetrationstests können in verschiedenen Szenarien durchgeführt werden, beispielsweise in Webanwendungen, mobilen Anwendungen oder direkt auf der Infrastruktur des Kunden. Sie können auch zu unterschiedlichen Zeitpunkten im Anwendungsentwicklungszyklus oder zur Erfüllung bestimmter Anforderungen durchgeführt werden, beispielsweise um die Sicherheit einer erworbenen Drittanbieteranwendung zu überprüfen, Compliance-Anforderungen zu erfüllen oder um zu überprüfen, ob die aktuelle Sicherheitslage den Erwartungen des Unternehmens entspricht.

Diese Vielfalt an Situationen ist ein Merkmal der Branche, die hochqualifizierte Fachkräfte erfordert, die Tätigkeiten in sehr unterschiedlichen Umgebungen durchführen und ihr Wissen über eine große Bandbreite an Schwachstellen und Entwicklungsfehlern auf die zu testenden Systeme übertragen.

Sobald Umfang und Ziele des Tests definiert sind, erhält das Pentester-Team Zugriff und führt die Tests entsprechend der Umgebung, in der die Anwendung eingefügt wird, und den zur Durchführung der Tests verwendeten Frameworks durch. Effektives Testen hängt stark von der Fähigkeit des Pentesters ab, die Umgebung aufzuzählen, systematisch nach Punkten zu suchen, die missbraucht werden könnten, mögliche Angriffsvektoren zu identifizieren, Missbrauchsversuche durchzuführen, zu versuchen, Berechtigungen zu erhöhen und zur Aufzählungsphase zurückzukehren.

Testergebnisse können dem Kunden auf unterschiedliche Weise mitgeteilt werden, im Allgemeinen gemäß den in Intrusion-Test-Frameworks festgelegten Berichtsstandards oder über in das Entwicklungsteam integrierte Plattformen, je nachdem, wann der Test in den Entwicklungszyklus eingefügt wird. Neben der Angabe der identifizierten Schwachstellen ist es üblich, Empfehlungen für mögliche Lösungen zu geben und Referenzen anzugeben, die zur Entwicklung der Lösung oder zum Verständnis des Problems beitragen können. Nachdem alle Korrekturen vorgenommen wurden, wird empfohlen, einen erneuten Test durchzuführen, um sicherzustellen, dass die festgestellten Probleme ordnungsgemäß behoben wurden.

Hackerangriffe kommen immer häufiger vor und werden irgendwann die meisten Unternehmen erreichen. Die Durchführung von Intrusionstests ist ein grundlegender Bestandteil des Prozesses zur Bewertung und Verbesserung der Sicherheit einer Anwendung oder eines Systems. Eine Organisation muss Sicherheitsrichtlinien festlegen, die darauf abzielen, die Angriffsfläche zu minimieren und sie darauf vorzubereiten, auf Sicherheitsvorfälle zu reagieren, wenn diese auftreten. Man sollte nicht mehr darüber nachdenken, „ob der Angriff stattfinden wird“, sondern vielmehr, „wann der Angriff stattfinden wird“.

Kryptus bietet Pentest-Lösungen für Webanwendungen, mobile Android- und iOS-Anwendungen, Infrastruktur, Hardware/Firmware und Quellcode-Überprüfung.