Ein Penetrationstest, auch als Pen-Test bekannt, ist ein simulierter Cyberangriff auf Ihr Computersystem, um nach ausnutzbaren Schwachstellen zu suchen. Im Zusammenhang mit der Sicherheit von Webanwendungen werden Penetrationstests in der Regel als Ergänzung zu einer Web Application Firewall (WAF) eingesetzt.
Penetrationstests können den Versuch beinhalten, in eine beliebige Anzahl von Anwendungssystemen (z. B. Anwendungsprotokollschnittstellen (APIs), Frontend-/Backend-Server) einzudringen, um Schwachstellen aufzudecken, wie zum Beispiel Eingabefenster, die für Code-Injection-Angriffe anfällig sind.
Die durch den Penetrationstest gewonnenen Erkenntnisse können zur Feinabstimmung Ihrer WAF-Sicherheitsrichtlinien und zur Behebung erkannter Schwachstellen genutzt werden.
Der Penetrationstest-Prozess von Cybersecurity-Eins lässt sich in fünf Phasen unterteilen:
1. Planung und Erfassung
Festlegung des Umfangs und der Ziele eines Tests, einschließlich der zu prüfenden Systeme und der zu verwendenden Testmethoden.
Sammeln von Informationen (zum Beispiel Netzwerk- und Domänennamen, Mailserver), um die Funktionsweise eines Ziels und seine potenziellen Schwachstellen besser zu verstehen.
2. Durchsuchen
Der nächste Schritt besteht darin, herauszufinden, wie die Zielanwendung auf verschiedene Eindringversuche reagiert. Dies geschieht in der Regel durch:
Statische Analyse - Untersuchung des Codes einer Anwendung oder Webseite, um abzuschätzen, wie sie sich während der Ausführung verhält.
Dynamische Analyse - Inspektion des Codes einer Anwendung im laufenden Zustand. Dies ist eine praktischere Art des Scannens, da sie einen Echtzeit-Einblick in die Leistung einer Anwendung oder eines Web-Services bietet.
3. Zugang erlangen
In dieser Phase werden Angriffe auf Webanwendungen, wie z. B. Cross-Site-Scripting, SQL-Injection und Backdoors, eingesetzt, um die Schwachstellen eines Ziels aufzudecken. Die Tester, bei Cybersecurity-Eins sind das international anerkannte Experten, versuchen dann, diese Schwachstellen auszunutzen. Konkret bedeutet das die Ausweitung von Privilegien, den Diebstahl von Daten, das Abfangen von Datenverkehr usw., um zu verstehen, welchen Schaden sie anrichten können.
4. Aufrechterhaltung des Zugangs
Ziel dieser Phase ist es, herauszufinden, ob die Schwachstelle genutzt werden kann, um eine dauerhafte Präsenz in einem System zu erreichen. Die Idee dahinter ist, anhaltende Bedrohungen nachzuahmen, die oft monatelang in einem System verbleiben, um die sensibelsten Daten eines Unternehmens zu stehlen.
5. Analyse
Die Ergebnisse des Penetrationstests werden in einem Bericht zusammengefasst, der folgende Informationen enthält
Spezifische Schwachstellen, die ausgenutzt wurden
Sensible Daten, auf die zugegriffen wurde
Die Zeitspanne, die der Pen-Tester unentdeckt im System bleiben konnte
Diese Informationen werden vom Sicherheitspersonal analysiert, um die WAF-Einstellungen eines Unternehmens und andere Anwendungssicherheitslösungen zu konfigurieren, um Schwachstellen zu beheben und vor künftigen Angriffen zu schützen.
Externe Tests
Externe Penetrationstests zielen auf die Vermögenswerte eines Unternehmens ab, die im Internet sichtbar sind, z. B. die Webanwendung selbst, die Unternehmenswebsite sowie E-Mail- und Domain Name Server (DNS). Ziel ist es, sich Zugang zu verschaffen und wertvolle Daten zu extrahieren.
Interne Tests
Bei einem internen Test simuliert ein Tester, der Zugang zu einer Anwendung hinter der Firewall hat, einen Angriff durch einen böswilligen Insider. Dabei wird nicht unbedingt ein böswilliger Mitarbeiter simuliert. Ein gängiges Ausgangsszenario kann ein Mitarbeiter sein, dessen Anmeldedaten durch einen Phishing-Angriff gestohlen wurden.
Blindtests
Bei einem Blindtest wird dem Tester nur der Name des Unternehmens mitgeteilt, auf das er abzielt. Dadurch erhält das Sicherheitspersonal einen Echtzeiteinblick in den Ablauf eines tatsächlichen Anwendungsangriffs.
Doppelblind-Tests
Bei einem Doppelblindtest hat das Sicherheitspersonal keine Kenntnis von dem simulierten Angriff. Wie in der realen Welt haben sie keine Zeit, ihre Verteidigungsmaßnahmen vor einem versuchten Einbruch zu verstärken.
Gezielte Tests
Bei diesem Szenario arbeiten sowohl der Tester als auch das Sicherheitspersonal zusammen und halten sich gegenseitig über ihre Tätigkeiten auf dem Laufenden. Dies ist eine wertvolle Trainingsübung, die einem Sicherheitsteam Echtzeit-Feedback aus der Sicht eines Hackers liefert.
Copyright 2022 Designed By Webseite Eins
