Methoden und Standards für Penetrationstests – IBM Blog

Der Online-Bereich wächst weiterhin rasant und eröffnet mehr Möglichkeiten für Cyberangriffe innerhalb eines Computersystems, eines Netzwerks oder einer Webanwendung. Um solche Risiken zu mindern und sich darauf vorzubereiten, sind Penetrationstests ein notwendiger Schritt beim Auffinden von Sicherheitslücken, die ein Angreifer ausnutzen könnte.

Was ist Penetrationstest?

A Penetrationstestoder „Pen-Test“ ist ein Sicherheitstest, der durchgeführt wird, um einen Cyberangriff in Aktion nachzuahmen. A Cyberangriff Dies kann ein Phishing-Versuch oder ein Verstoß gegen ein Netzwerksicherheitssystem sein. Abhängig von den erforderlichen Sicherheitskontrollen stehen einem Unternehmen verschiedene Arten von Penetrationstests zur Verfügung. Der Test kann manuell oder mit automatisierten Tools unter Berücksichtigung einer bestimmten Vorgehensweise oder einer Pen-Test-Methodik durchgeführt werden.

Warum Penetrationstests und wer ist beteiligt?

Die Begriffe „Ethisches Hacken„“ und „Penetrationstest“ werden manchmal synonym verwendet, aber es gibt einen Unterschied. Ethisches Hacken ist eine umfassendere Angelegenheit Internet-Sicherheit Bereich, der jeden Einsatz von Hacking-Fähigkeiten zur Verbesserung der Netzwerksicherheit umfasst. Penetrationstests sind nur eine der Methoden, die ethische Hacker anwenden. Ethische Hacker können auch Malware-Analysen, Risikobewertungen und andere Hacking-Tools und -Techniken bereitstellen, um Sicherheitslücken aufzudecken und zu beheben, anstatt Schaden anzurichten.

IBMs Kosten eines Datenverletzungsberichts 2023 ergab, dass die weltweiten durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 4.45 Millionen US-Dollar betragen, was einem Anstieg von 15 % über drei Jahre entspricht. Eine Möglichkeit, diese Verstöße einzudämmen, besteht darin, genaue und gezielte Penetrationstests durchzuführen.

Unternehmen stellen Penetrationstester ein, um simulierte Angriffe auf ihre Apps, Netzwerke und andere Vermögenswerte zu starten. Durch die Inszenierung gefälschter Angriffe helfen Penetrationstester Sicherheitsteams Entdecken Sie kritische Sicherheitslücken und verbessern Sie die allgemeine Sicherheitslage. Diese Angriffe werden oft von roten Teams oder offensiven Sicherheitsteams durchgeführt. Der rotes Team simuliert die Taktiken, Techniken und Verfahren (TTPs) eines echten Angreifers gegen das eigene System der Organisation, um das Sicherheitsrisiko einzuschätzen.

Beim Einstieg in den Pentestprozess sind verschiedene Penetrationstestmethoden zu berücksichtigen. Die Wahl der Organisation hängt von der Kategorie der Zielorganisation, dem Ziel des Pentests und dem Umfang des Sicherheitstests ab. Es gibt keinen einheitlichen Ansatz. Es erfordert, dass eine Organisation ihre Sicherheitsprobleme und Sicherheitsrichtlinien versteht, damit vor dem Pen-Test-Prozess eine faire Schwachstellenanalyse durchgeführt werden kann.

Sehen Sie sich Pen-Test-Demos von X-Force an

Die 5 besten Methoden für Penetrationstests

Einer der ersten Schritte im Pen-Test-Prozess ist die Entscheidung, welche Methodik angewendet werden soll.

Im Folgenden gehen wir auf die fünf beliebtesten Penetrationstest-Frameworks und Pen-Test-Methoden ein, um Stakeholdern und Organisationen dabei zu helfen, die beste Methode für ihre spezifischen Anforderungen zu finden und sicherzustellen, dass sie alle erforderlichen Bereiche abdeckt.

1. Handbuch zur Open-Source-Sicherheitstestmethodik

Das Open-Source Security Testing Methodology Manual (OSSTMM) ist einer der beliebtesten Standards für Penetrationstests. Diese Methodik wurde für Sicherheitstests einem Peer-Review unterzogen und vom Institute for Security and Open Methodologies (ISECOM) entwickelt.

Die Methode basiert auf einem wissenschaftlichen Ansatz für Pen-Tests mit zugänglichen und anpassbaren Leitfäden für Tester. Das OSSTMM umfasst Schlüsselfunktionen wie einen operativen Fokus, Kanaltests, Metriken und Vertrauensanalysen in seiner Methodik.

OSSTMM bietet ein Framework für Netzwerkpenetrationstests und Schwachstellenbewertung für Pentest-Experten. Es soll ein Framework für Anbieter sein, um Schwachstellen wie sensible Daten und Probleme im Zusammenhang mit der Authentifizierung zu finden und zu beheben.

2. Öffnen Sie das Web Application Security Project

OWASP, kurz für Open Web Application Security Project, ist eine Open-Source-Organisation, die sich der Sicherheit von Webanwendungen widmet.

Ziel der gemeinnützigen Organisation ist es, alle Materialien kostenlos und leicht zugänglich für alle bereitzustellen, die die Sicherheit ihrer eigenen Webanwendungen verbessern möchten. OWASP hat sein eigenes Top 10 (Link befindet sich außerhalb von ibm.com), ein gut gepflegter Bericht, der die größten Sicherheitsbedenken und Risiken für Webanwendungen darlegt, wie z. B. Cross-Site-Scripting, fehlerhafte Authentifizierung und das Eindringen hinter eine Firewall. OWASP verwendet die Top-10-Liste als Grundlage für seinen OWASP-Testleitfaden. 

Der Leitfaden ist in drei Teile gegliedert: OWASP-Testframework für die Entwicklung von Webanwendungen, Testmethodik für Webanwendungen und Berichterstellung. Die Webanwendungsmethodik kann separat oder als Teil des Webtest-Frameworks für Penetrationstests von Webanwendungen, Penetrationstests für mobile Anwendungen, API-Penetrationstests und IoT-Penetrationstests verwendet werden.

3. Ausführungsstandard für Penetrationstests

PTES (Penetration Testing Execution Standard) ist eine umfassende Penetrationstestmethode.

PTES wurde von einem Team von Informationssicherheitsexperten entwickelt und besteht aus sieben Hauptabschnitten, die alle Aspekte des Penetrationstests abdecken. Der Zweck von PTES besteht darin, über technische Richtlinien zu verfügen, die darlegen, was Unternehmen von einem Penetrationstest erwarten sollten, und sie durch den gesamten Prozess leiten, beginnend in der Phase vor dem Engagement.

Ziel des PTES ist es, die Grundlage für Penetrationstests zu bilden und eine standardisierte Methodik für Sicherheitsexperten und -organisationen bereitzustellen. Der Leitfaden bietet eine Reihe von Ressourcen, beispielsweise Best Practices in jeder Phase des Penetrationstestprozesses, von Anfang bis Ende. Einige Hauptmerkmale von PTES sind Ausbeutung und Nachausbeutung. Unter Ausbeutung versteht man den Prozess des Zugriffs auf ein System durch Penetrationstechniken wie z Social Engineering und das Knacken von Passwörtern. Bei einer Post-Exploitation werden Daten aus einem kompromittierten System extrahiert und der Zugriff aufrechterhalten.

4. Bewertungsrahmen für die Sicherheit von Informationssystemen

Das Information System Security Assessment Framework (ISSAF) ist ein Pen-Test-Framework, das von der Information Systems Security Group (OISSG) unterstützt wird.

Diese Methodik wird nicht mehr beibehalten und ist wahrscheinlich nicht die beste Quelle für die aktuellsten Informationen. Eine seiner Hauptstärken besteht jedoch darin, dass es einzelne Pen-Testschritte mit spezifischen Pen-Test-Tools verknüpft. Diese Art von Format kann eine gute Grundlage für die Erstellung einer individuellen Methodik sein.

5. Nationales Institut für Standards und Technologie  

NIST, die Abkürzung für National Institute of Standards and Technology, ist ein Cybersicherheitsrahmen, der eine Reihe von Penetrationsteststandards bereitstellt, die von der Bundesregierung und externen Organisationen befolgt werden können. NIST ist eine Behörde des US-Handelsministeriums und sollte als der zu befolgende Mindeststandard angesehen werden.

NIST-Penetrationstests richten sich nach den vom NIST übermittelten Leitlinien. Um diesen Leitlinien zu entsprechen, müssen Unternehmen Penetrationstests gemäß den vorgegebenen Richtlinien durchführen.

Phasen des Pen-Tests

Legen Sie einen Bereich fest

Bevor ein Pentest beginnt, legen das Testteam und das Unternehmen einen Umfang für den Test fest. Der Umfang beschreibt, welche Systeme getestet werden, wann die Tests stattfinden und welche Methoden Pen-Tester verwenden können. Der Umfang bestimmt auch, über wie viele Informationen die Penetrationstester im Vorfeld verfügen.

Starten Sie den Test

Der nächste Schritt wäre, den Scoping-Plan zu testen und Schwachstellen und Funktionalität zu bewerten. In diesem Schritt können Netzwerk- und Schwachstellenscans durchgeführt werden, um ein besseres Verständnis der Infrastruktur der Organisation zu erhalten. Abhängig von den Anforderungen der Organisation können interne und externe Tests durchgeführt werden. Pentester können eine Vielzahl von Tests durchführen, darunter einen Black-Box-Test, einen White-Box-Test und einen Gray-Box-Test. Jedes liefert unterschiedliche Informationen über das Zielsystem.

Sobald ein Überblick über das Netzwerk vorliegt, können Tester mit der Analyse des Systems und der Anwendungen im vorgegebenen Rahmen beginnen. In diesem Schritt sammeln Penetrationstester so viele Informationen wie möglich, um etwaige Fehlkonfigurationen zu verstehen.

Bericht über Erkenntnisse

Der letzte Schritt besteht in der Berichterstattung und Nachbesprechung. In diesem Schritt ist es wichtig, einen Penetrationstestbericht zu erstellen, der alle Ergebnisse des Pentests enthält und die identifizierten Schwachstellen darlegt. Der Bericht sollte einen Plan zur Schadensbegrenzung und die potenziellen Risiken enthalten, falls keine Abhilfe erfolgt.

Pen-Tests und IBM

Wenn Sie versuchen, alles zu testen, verschwenden Sie Zeit, Budget und Ressourcen. Durch die Verwendung einer Kommunikations- und Kollaborationsplattform mit historischen Daten können Sie Netzwerke, Anwendungen, Geräte und andere Ressourcen mit hohem Risiko zentralisieren, verwalten und priorisieren, um Ihr Sicherheitstestprogramm zu optimieren. Das X-Force® Red Portal ermöglicht es allen an der Behebung Beteiligten, Testergebnisse sofort nach der Aufdeckung von Schwachstellen einzusehen und Sicherheitstests nach Belieben zu planen.

Entdecken Sie Netzwerk-Penetrationstestdienste von X-Force