Methodik

Penetrationstestphasen

Der Penetrationstest kann in fünf Stufen unterteilt werden.

1. Planung und Aufklärung
Die erste Phase beinhaltet:

  • Definieren des Umfangs und der Ziele eines Tests, einschließlich der zu adressierenden Systeme und der zu verwendenden Testmethoden.
  • Sammeln von Informationen (z. B. Netzwerk- und Domänennamen, Mailserver), um die Funktionsweise eines Ziels und seine potenziellen Schwachstellen besser zu verstehen.

2. Scannen
Der nächste Schritt besteht darin, zu verstehen, wie die Zielanwendung auf verschiedene Einbruchsversuche reagiert. Dies erfolgt normalerweise mit:

  • Statische Analyse – Überprüfen Sie den Code einer Anwendung, um das Verhalten während der Ausführung abzuschätzen. Diese Tools können den gesamten Code in einem Durchgang scannen.
  • Dynamische Analyse – Überprüfen des Codes einer Anwendung im laufenden Zustand. Dies ist eine praktischere Art des Scannens, da sie einen Echtzeitblick auf die Leistung einer Anwendung bietet.

3. Zugang erhalten
In dieser Phase werden Webanwendungsangriffe wie Cross-Site-Scripting, SQL-Injection und Backdoors verwendet, um die Schwachstellen eines Ziels aufzudecken. Tester versuchen dann, diese Sicherheitsanfälligkeiten auszunutzen, indem sie normalerweise Berechtigungen eskalieren, Daten stehlen, Datenverkehr abfangen usw., um den Schaden zu verstehen, den sie verursachen können.

4. Aufrechterhaltung des Zugangs
Das Ziel dieser Phase ist es, herauszufinden, ob die Sicherheitsanfälligkeit verwendet werden kann, um eine dauerhafte Präsenz im ausgenutzten System zu erreichen – lange genug, damit ein schlechter Akteur einen detaillierten Zugriff erhält. Die Idee ist, fortgeschrittene persistente Bedrohungen zu imitieren, die oft monatelang in einem System verbleiben, um die sensibelsten Daten eines Unternehmens zu stehlen

5. Analyse
Die Ergebnisse des Penetrationstests werden dann in einem Bericht
zusammengefasst, in dem Folgendes aufgeführt ist:

  • Spezifische Sicherheitslücken, die ausgenutzt wurden
  • Sensible Daten, auf die zugegriffen wurde
  • Die Zeit, die der Pen-Tester unentdeckt im System bleiben konnte

Von uns wird ein Ergebnissbericht inkl. Handlungsempfehlungen erstellt. Anschließend wird dieser nach einer Präsentationen an den Sie und genauer Erklärung der weiterer Vorgehensweise ausgehändigt. Natürlich können wir bei der Umsetzung der Handlungsempfehlungen, falls von Ihnen gewünscht, unterstützen.