Grundprinzipien von Penetrationstests

1. Penetrationstests – Übersicht

---

Was sind Penetrationstests?

Mit Penetrationstests werden Ihre vorhandenen Cybersicherheitsmaßnahmen auf die Probe gestellt, um Schwachstellen ausfindig zu machen, die Angreifer ausnutzen könnten. Penetrationstests geben Aufschluss darüber, wie Angreifer versuchen könnten, in Ihre Netzwerke einzudringen, sodass Sie etwaige Lücken schließen können und Angriffen stets einen Schritt voraus sind.

Penetrationstests können intern erfolgen, werden im Allgemeinen aber von Dritten durchgeführt, die mithilfe einer Vielzahl von Tools und Methoden versuchen, in Ihr Netzwerk vorzudringen. Die Tests ähneln realen Angriffsmethoden, von denen Angreifer Gebrauch machen könnten. Das Ziel besteht darin, Schwachstellen, Fehlkonfigurationen und andere Sicherheitsschwächen zu erfassen, bevor ein Angreifer sie ausnutzen und Ihr Unternehmen in Gefahr bringen kann.

Wenn ein Angriff (oder ein Eindringversuch im Rahmen eines Penetrationstests) erfolgreich verläuft, könnten Angreifer:

• Zugang zu personenbezogenen Gesundheitsdaten (Personal Health Information, PHI) erlangen
• Zugang zu persönlich identifizierbaren Informationen (PII) erlangen
• Zugangsdaten stehlen
• Daten und Aufzeichnungen stehlen
• Malware ausführen
• Sich lateral in Ihrem gesamten Netzwerk fortbewegen (möglicherweise über Wochen oder Monate, bevor Sie darauf aufmerksam werden)
• Auf Kreditkarten- und andere Finanzdaten zugreifen
• Den Geschäftsbetrieb stören
• Ihre Systeme und operativen Abläufe „in Geiselhaft“ nehmen und ein Lösegeld fordern
• Ihre Daten zerstören

Penetrationstests tragen dazu bei, Schwachstellen innerhalb Ihrer Angriffsoberfläche aufzudecken, sodass Sie Pläne zu deren Behebung aufstellen können, bevor eine Ausnutzung durch Bedrohungsakteure erfolgen kann.

Penetrationstests sind eine ergänzende Komponente Ihres Programms zur Schwachstellenbewertung. Im Rahmen der Schwachstellenbewertung sollte Ihr Unternehmen regelmäßige Schwachstellen-Scans durchführen, die Ihnen Einblick in sämtliche Assets und Schwachstellen im gesamten Unternehmen bieten. Mithilfe von Penetrationstests können Sie verifizieren, ob ein Angreifer diese Schwächen ausnutzen kann, und den Erfolg Ihrer Behebungsmaßnahmen evaluieren.

Um ein umfassendes Programm zur Schwachstellenbewertung aufzubauen, führen Sie kontinuierlich Schwachstellenanalyse-Scans durch und nehmen in regelmäßigen Abständen Penetrationstests vor. Einige Compliance-Richtlinien schreiben jährliche Penetrationstests vor. Doch wenn Sie diese Tests häufiger durchführen, zum Beispiel mindestens vierteljährlich, können Sie ein stärkeres Cybersecurity-Programm aufbauen.

Die Bedeutung von Penetrationstests

Hier einige Gründe, warum Ihr Unternehmen Penetrationstests im Rahmen eines umfassenden Cybersecurity-Programms einsetzen sollte:

• Penetrationstests helfen Ihnen herauszufinden, ob Sie Schwachstellen oder andere Sicherheitsmängel haben, die Angreifer ausnutzen könnten, um Zugang zu Ihrem Netzwerk, Ihren Daten und Assets zu erhalten.
• Diese Tests können Ihnen Aufschluss darüber geben, wie gut Compliance-Standards eingehalten werden und wo Sicherheitsprobleme bestehen.
• Mithilfe von Penetrationstests können Sie außerdem ermitteln, ob Ihre Sicherheitskontrollen wie erwartet funktionieren.
• Sie können die in Ihrem Unternehmen genutzten Anwendungen testen, um festzustellen, ob Programmierfehler vorliegen, die Angreifern Zugang zu Ihrem Netzwerk verschaffen könnten.

2. Penetrationstests – Ziele und Prozesse

---

Penetrationstests bestehen im Allgemeinen aus fünf Phasen.

1. Zu Beginn des Penetrationstest-Prozesses legen Sie zunächst fest, wer Ihren Test durchführen soll – ein interner Mitarbeiter oder ein externer Pentester. In dieser Phase sollten Sie auch Ziele und Vorgaben hinsichtlich der Ergebnisse des Penetrationstests festlegen. Diese Ziele sollten sich speziell auf Ihr Unternehmen beziehen und auf Ihre bestehenden Cybersecurity- und Geschäftsziele abgestimmt sein.
2. Als Nächstes bestimmen Sie den konkreten Umfang Ihres Tests. Möchten Sie zum Beispiel, dass der Pentester Ihr gesamtes Netzwerk unter die Lupe nimmt, um zu sehen, was er aufdecken kann? Oder möchten Sie Parameter für den Test festlegen und den Tester nur einen bestimmten Teil angreifen lassen? Anhand des Anwendungsbereichs kann Ihr Tester einen Angriffsplan auf Ihr(e) Ziel(e) ausarbeiten.
3. Sind Umfang und Ziele festgelegt, ist es an der Zeit, mit dem Test zu beginnen. Zunächst führt der Tester eine Reihe von Scans auf Ihrem Zielsystem durch, um möglichst viele Informationen über die vorhandenen Sicherheitsprotokolle zu sammeln und Sicherheitslücken und Schwachstellen aufzuspüren. Sobald der Pentester ein Verständnis Ihrer Sicherheitsmaßnahmen erlangt hat, sollte er verschiedene Angriffsmethoden einsetzen, um sich Zugang zu verschaffen, genau wie auch ein Angreifer in der realen Welt vorgehen würde. Gelingt ihm dies, ermittelt der Tester, ob der erweiterte Zugang aufrechterhalten werden kann und welche zusätzlichen Systeme durch den Übergriff zugänglich sind. Wenn der Test abgeschlossen ist, sollte der Pentester sämtliche Hinweise auf den Angriff beseitigen, darunter die während der Testphasen genutzten Skripts und Protokolle.
4. Nachdem Ihr Pentester den Test abgeschlossen hat, legt er Ihnen einen Bericht der Ergebnisse vor. Dieser Bericht sollte aufzeigen, worum es sich bei der Schwachstelle handelt, wie sie ausgenutzt wurde, wo Lücken in Ihren vorhandenen Sicherheitsmaßnahmen bestehen und welche Auswirkung ein Übergriff auf Ihr Unternehmen haben könnte. Die Ergebnisse sollten Sie prüfen und entsprechende Pläne zur Risikominderung ausarbeiten, angefangen bei den kritischsten Schwachstellen mit den größten potenziellen Auswirkungen auf Ihr Unternehmen.
5. Sobald Sie Ihre Pläne zur Risikominderung umgesetzt haben, sollten Sie weitere Penetrationstests durchführen, um festzustellen, ob Ihre Korrekturmaßnahmen wie beabsichtigt funktionieren und ob seit dem letzten Test neue Schwachstellen aufgetaucht sind oder nicht.

Penetrationstests – Ansätze

Bei Penetrationstests wird zwischen zwei Hauptansätzen unterschieden: Whitebox-Tests und Blackbox-Tests.

Bei Whitebox-Tests stellt Ihr Unternehmen dem Tester Informationen über das beabsichtigte Ziel zur Verfügung. Außerdem finden Whitebox-Tests in der Regel in einer Umgebung statt, für die Zugangsdaten erforderlich sind.

Bei Blackbox-Tests teilen Sie Ihrem Tester keine zusätzlichen Informationen über das Ziel mit, und der Pentester führt in der Regel Netzwerk-Sweeps durch, ohne Zugangsdaten zu verwenden.

Greybox-Tests (Graybox-Tests) sind ein weiterer Ansatz für Penetrationstests. Wie der Name schon sagt, liegen diese Tests irgendwo in der Mitte zwischen Blackbox- und Whitebox-Tests. Hier stellt Ihr Unternehmen dem Tester partielle Informationen zu Zielen bereit.

Nessus Expert ist ein hervorragendes Tool zur Ergänzung dieser verschiedenen Konzepte für Penetrationstests.

Penetrationstests – Methoden

Zusätzlich zu den beschriebenen Ansätzen für Penetrationstests können Pentester während ihrer Tätigkeit für Ihr Unternehmen eine Vielzahl von Testmethoden einsetzen. Hier einige Beispiele:

Gezielte Tests: Im Zuge von gezielten Penetrationstests versuchen Ihre internen IT-Teams gemeinsam mit Ihrem externen Tester, Ihre Angriffsoberfläche zu durchdringen. Bei derartigen Tests tauschen sich beiden Seiten darüber aus, was der Tester unternimmt, um den Angriff in die Wege zu leiten, und wie Ihr Team reagiert, um den Angriff abzuwehren. Tests dieser Art liefern Ihnen nicht nur Informationen zu möglicherweise vorhandenen Schwachstellen. Ihre Teams sammeln so auch praktische Erfahrung darin, einen Hack zu stoppen, während er stattfindet.

Blindtests: Blindtests sind ein Hacking-Szenario, bei dem der Tester lediglich die URL oder den Namen Ihres Unternehmens kennt und Ihre Teams nur wissen, dass Sie grünes Licht für einen Test gegeben haben. Hier versucht Ihr Tester, sich Zugang zu Ihrem Netzwerk und Ihren Systemen zu verschaffen – in Echtzeit und mit wenigen bis gar keinen zusätzlichen Informationen zu Ihrem Unternehmen oder Ihrer Sicherheitsaufstellung.

Doppel-Blindtests: Doppelblindtests sind ähnlich wie Blindtests, bei denen der Tester nur begrenzte Informationen über Ihr Unternehmen hat. Im Gegensatz zu Blindtests wissen Ihre Teams jedoch nicht, dass Sie einen Test autorisiert haben und ein Einsatz im Gange ist.

Externe Tests: Bei externen Tests greift der Tester Ihre extern zugänglichen Assets und Systeme an, beispielsweise Webserver, Firewalls und E-Mail-Server.

Interne Tests: Bei internen Tests erhalten Tester Zugang zu den Systemen hinter Ihrer Firewall. Sie simulieren, was passieren würde, wenn ein Mitarbeiter oder eine Person mit gestohlenen Zugangsdaten unbefugten Zugriff auf Ihre Unternehmenssysteme hätte.

Penetrationstests – Häufigkeit

Ihr Unternehmen sollte regelmäßige Penetrationstests einplanen. Einige Compliance-Richtlinien schreiben jährliche Penetrationstests vor. Doch für Ihre Cybersecurity-Aufstellung könnte es insgesamt von Vorteil sein, diese Tests häufiger durchzuführen, zum Beispiel mindestens einmal pro Quartal.

Penetrationstests bieten Ihnen eine Momentaufnahme Ihrer Sicherheitsaufstellung. Da sich Ihre Angriffsoberfläche aber kontinuierlich verändert und erweitert, können regelmäßige Penetrationstests dabei helfen, Löcher und Lücken in Ihrem bestehenden Programm ausfindig zu machen, und es Ihnen ermöglichen, sie zu beseitigen, bevor Angreifer sie ausnutzen können.

3. Penetrationstests und Schwachstellen-Management

---

• Während es Unterschiede zwischen der Schwachstellenbewertung und Penetrationstests gibt, ergänzen beide Prozesse einander.
• Penetrationstests sind eine isolierte Maßnahme, die Ihnen einen Eindruck von Ihren Cyberrisiken zu einem bestimmten Zeitpunkt vermittelt.
• Schwachstellen-Management (oder Vulnerability Management) ist ein laufendes Programm, bei dem verschiedene Technologien und Tools eingesetzt werden, um Cyberrisiken in Ihrem gesamten Unternehmen zu identifizieren, sie auf Ihre operativen Ziele auszurichten und Schwachstellen anschließend rechtzeitig zu beheben, um das Netzwerk abzusichern und den gesamten Betrieb zu schützen.
• Penetrationstests können Ihnen helfen, Verbesserungsbereiche zu definieren, um Ihre Prozesse für Schwachstellenbewertungen zu stärken.

4. Penetrationstests und Schwachstellenbewertung

---

• Während es Unterschiede zwischen der Schwachstellenbewertung und Penetrationstests gibt, ergänzen beide Prozesse einander.
• Penetrationstests sind eine isolierte Maßnahme, die Ihnen einen Eindruck von Ihren Cyberrisiken zu einem bestimmten Zeitpunkt vermittelt.
• Die Schwachstellenbewertung ist eine fortlaufende Praxis, die Ihnen Einblick in all Ihre Schwachstellen bietet. Jedes Mal, wenn Sie einen neuen Schwachstellen-Scan oder Penetrationstest durchführen, haben Sie die Gelegenheit, neue Informationen über Ihre Cybersecurity-Aufstellung zu gewinnen.
• Penetrationstests können Ihnen helfen, Verbesserungsbereiche zu definieren, um Ihre Prozesse für Schwachstellenbewertungen zu stärken.

Schwachstellen-Scanning und Penetrationstests

Schwachstellen-Scanning ist ein Bestandteil von Penetrationstests. Es bietet Ihnen die Möglichkeit, Schwachstellen und Schwächen auf Ihrer Angriffsoberfläche aufzudecken, und kann Testern helfen, zu ermitteln, welche davon sie im Rahmen eines Tests angreifen sollten.

Schwachstellen-Scans können sich über Ihre gesamte Angriffsoberfläche erstrecken – oder der Tester beschränkt sich auf einen bestimmten Teilbereich. Nachfolgend sind Beispiele für Teilbereiche aufgeführt, von denen einige in spezialisierte Tests einbezogen werden können:

• Interne Netzwerke
• Externe Netzwerke
• Cloud-Umgebungen
• IoT-Geräte (Internet der Dinge)
• IIoT-Geräte (Industrielles Internet der Dinge, Industry 4.0)
• OT-Geräte (Operative Technologien)
• Container
• Web-Apps

5. Penetrationstests – Tools

---

Bei Penetrationstests handelte es sich lange Zeit um einen manuellen Prozess, der sich auf die Ausbildung, Kompetenz und innovative Denkweise von Testern stützte, die versuchten, Ihre Angriffsoberfläche zu durchdringen. Heutzutage werden Pentester jedoch durch automatisierte Tools unterstützt, die ihnen helfen, Testangriffe auf vorgesehene Ziele einzuleiten. Eines dieser Tools ist Kali Linux.

Kali Linux umfasst mehr als 600 Penetrationstools und ist kostenlos verfügbar. Es kann für Penetrationstests, Reverse Engineering, technische Forensik und Forschung eingesetzt werden.

Tenable Nessus ist nicht standardmäßig auf Kali Linux installiert, kann aber problemlos installiert und zur Unterstützung von Penetrationstests eingesetzt werden. Mithilfe von Nessus kann Ihr Pentester lokale und Remote-Schwachstellen ausfindig machen, voreingestellte Zugangsdaten abfragen, Konfigurations- und Compliance-Audits unterstützen und Web-App-Scanning durchführen. Im folgenden Blogbeitrag erfahren Sie mehr darüber, wie Nessus Penetrationstests unter Kali Linux unterstützt: https://www.tenable.com/blog/getting-started-with-nessus-on-kali-linux.

6. Schwachstellen-Scanning mit Nessus

---

Nessus Expert ist ein effektives Tool, um Ihnen bei der Aufdeckung von Schwachstellen auf Ihrer gesamten Angriffsfläche zu helfen. Es unterstützt Scanning über eine Vielzahl von Asset-Typen hinweg, etwa Betriebssysteme (MacOS, Windows, Linux), Anwendungen, Netzwerkgeräte und vieles mehr.

Nessus verfügt über vorgefertigte Vorlagen für Credentialed- und Non-credentialed-Scans auf Schwachstellen. Zusammen mit vorgefertigten Richtlinien unterstützen diese Vorlagen Pentester dabei, den größtmöglichen Nutzen aus ihren Pentesting-Tätigkeiten zu ziehen. Nessus bietet Testern Einblick in das Netzwerk Ihres Unternehmens – und da sie in der Lage sind, Schwächen und Schwachstellen schnell zu erfassen, gewinnen sie die Oberhand.

Nessus-Vorlagen unterstützen Compliance-Frameworks, wie etwa Center for Internet Security (CIS), Health Insurance Portability and Accountability Act (HIPAA), Defense Information Systems Agency (DISA), Security Technical Implementation Guides (STIG) und viele weitere. Sie können Vorlagen auch anpassen und die Einstellungen so festlegen, dass falsch negative oder falsch positive Ergebnisse vermieden werden.

Nessus verfügt über mehr als 189.000 Plugins, die automatisch aktualisiert werden. Die Lösung deckt über 77.000 CVEs ab und wöchentlich werden mehr als 100 neue Plugins veröffentlicht. Das bedeutet, dass Pentester mit Nessus präzise und zeitnahe Informationen über die neuesten Schwachstellen und Malware erhalten.