Pentesting Services

Kleine und mittlere Firmen haben oft nicht ausreichend interne Ressourcen, um Daten und Tools ausreichend vor unerwünschtem Zugriff zu schützen. Hier kommen die Spezialisten von Koller Engineering zum Einsatz. Unser Vorgehen ist klar strukturiert und transparent. Wir decken mögliche Schwachstellen in der IT-Umgebung auf und geben Handlungsempfehlungen ab, damit sie wieder ruhig schlafen können. Fragen Sie nach einem unverbindlichen Angebot: Kontakt

Zu unserem Werkzeugkasten gehören bewährte Tools und Methoden. Ein umfassendes Lagebild zeigt, wo Mindeststandards und Normen eingehalten werden und wo Handlungsbedarf besteht. Wir begleiten unsere Kunden auch über längere Zeiträume und führen regelmässige Scans und Audits durch.

Pentesting Services für KMU. Jetzt Angebot anfragen:

Externer Netzwerk-Penetrationstest

Einen starken Perimeter einrichten

Eine der gebräuchlichsten Formen von Penetrationstests, insbesondere für KMUs, ist ein externer Netzwerk-Pentest. Bei dieser Form des Pentests werden alle Systeme im Umkreis eines Unternehmens geprüft, d. h. alle Systeme, die über das Internet öffentlich zugänglich sind. Da diese Systeme für jedermann zugänglich sind, sind sie die am leichtesten und regelmäßigsten angreifbaren Systeme eines Unternehmens. Sie werden wahrscheinlich fast täglich gescannt und angegriffen. Die meisten dieser Angriffe sind automatisiert und versuchen, einfache Schwachstellen zu finden – aber das sollte nicht von der Tatsache ablenken, dass selbst eine kleine Sicherheitslücke erhebliche Auswirkungen haben kann.

Der Unterschied zwischen einem internen Netzwerk-Penetrationstest und einem externen Netzwerk-Penetrationstest besteht darin, dass bei einem externen Netzwerk-Pentest die Sicherheitslage eines Unternehmens aus der Perspektive eines Fremden bewertet wird, der Tausende von Kilometern vom Ziel entfernt sitzen könnte. Diese Perspektive hilft einem Unternehmen zu verstehen, wie effektiv seine äußere Sicherheitslage ist, während falsch konfigurierte Kontrollen oder Schwachstellen identifiziert werden, die von überall auf der Welt ausgenutzt werden könnten.

Was wird bei einem externen Netzwerktest geprüft?

  • Falsch konfigurierte Firewall-Regeln
  • Offene Ports
  • Unwirksames IDS
  • Schwache Passwortrichtlinien
  • Ungepatchte Systeme
  • Freigegebene Cloud-Ressourcen

Methodik des externen Netzwerktests

Die Bedeutung einer strukturierten und konsistenten Methodik bei externen Netzwerk-Penetrationstests darf nicht unterschätzt werden. Zwar unterscheidet sich jedes Projekt in Bezug auf Umfang, Ziele und benötigte Tools, doch eine einheitliche Methodik gewährleistet die gründliche Abdeckung jeder Angriffsfläche. Unser Team verwendet einen strukturierten Prozess, der die Qualität der Arbeit bei jeder Prüfung gewährleistet.

Schritt 1: Sammeln von Informationen und Auflistung

Der erste Schritt, den wir bei der Bewertung des externen Netzwerks eines Unternehmens unternehmen, ist das Sammeln und Auflisten von Informationen über das Ziel; dies wird auch als Aufklärungsphase bezeichnet. Dieser Schritt ist von entscheidender Bedeutung, da er eine solide Grundlage an Informationen schafft, die später zur Identifizierung von Schwachstellen und Angriffswegen genutzt werden können. Bei Penetrationstests gibt es 2 verschiedene Formen der Erkundung:

  • Passive Aufklärung ist der Prozess der Identifizierung von Informationen, ohne jemals direkt mit der Zielumgebung zu interagieren. Gute Beispiele für passive Aufklärung sind die Durchsicht von Datenbanken mit verletzten Zugangsdaten oder die Durchsicht von Stellenausschreibungen, um herauszufinden, welche Arten von Tools im Unternehmen verwendet werden.
  • Aktive Erkundung ist der Prozess der Aufklärung, bei dem die Zielanwendung direkt angegangen wird. Unsere Prüfer verwenden eine Reihe verschiedener Tools zum Scannen von IP-Blöcken und Systemen, um Informationen über die Hardware, Hosts und Firmware zu ermitteln.

Schritt 2: Modellierung der Bedrohung

Die Modellierung von Bedrohungen ist ein wesentlicher, aber oft übersehener Schritt für einen qualitativ hochwertigen Pentest. In dieser Phase verwenden die Prüfer die zuvor gelernten Informationen, um die Netzwerkarchitektur, die Betriebssysteme, die offenen Ports und die zugrunde liegenden Dienste zu erfassen. Ein weiterer wichtiger Teil der Bedrohungsmodellierung ist die Kategorisierung der verschiedenen Datentypen, die während eines Pentests gewonnen werden können, in einer Art und Weise, die den Schweregrad der verschiedenen Ergebnisse anzeigt. Die Modellierung von Bedrohungen hilft den Pentestern, mehr als nur die technischen Aspekte der Ergebnisse zu verstehen, und ermöglicht es ihnen, ihre Ergebnisse in einer Weise zu formulieren, die mit dem Unternehmen in Einklang steht.

Schritt 3: Schwachstellenanalyse

Sobald die Prüfer in die Phase der Schwachstellenanalyse eintreten, beginnen sie mit dem Einsatz von Tools, um potenzielle Schwachstellen in der Umgebung zu identifizieren. Automatisierte Tools helfen dabei, einfach zu entdeckende Schwachstellen zu identifizieren, bevor unser Team auf den Punkt übergeht, auf den wir die meiste Zeit verwenden: manuelle Analyse und Verwertung. Wir werden oft gefragt, welche Art von automatisierten Tools wir zum Scannen verwenden. Die Antwort variiert je nach Umfang, aber wir verlassen uns regelmäßig auf einige kommerzielle Tools, die wir selbst integriert haben, wie Burpsuite Pro, Metasploit und Nessus.

Schritt 4: Verwertung

In dieser Phase des Penetrationstests beginnen wir damit, ermittelte Schwachstellen und Fehlkonfigurationen auf sichere Weise auszunutzen, um festzustellen, welche Auswirkungen die verschiedenen Ergebnisse auf das Unternehmen haben können. Unser Team wird versuchen, sich Zugang zu den Geräten und Systemen zu verschaffen, um in das interne Netzwerk einzudringen. In der Exploitation-Phase können die Prüfer besser verstehen, wie sich die verschiedenen Schwachstellen auf das Unternehmen auswirken und dem Kunden helfen, Prioritäten für die Behebung zu setzen. Dies spielt eine wichtige Rolle bei der Erstellung eines Berichts, der dem Kunden umsetzbare nächste Schritte bietet. Im Folgenden finden Sie einige Beispiele für Schwachstellen, die wir in einem externen Netzwerk-Pentest auszunutzen versuchen.

  • Externe Remote-Dienste kompromittieren: Mit der Einführung von Fernarbeit verlassen sich immer mehr Unternehmen auf Dienste, die es Mitarbeitern ermöglichen, von externen Standorten aus auf interne Unternehmensnetzwerkressourcen zuzugreifen. Unsere Prüfer versuchen, sich Zugang zu diesen Remote-Service-Gateways zu verschaffen, um in der Umgebung Fuß zu fassen.
  • Öffentlich zugängliche Anwendungen ausnutzen: Anwendungen, Datenbanken sowie Verwaltungs- und Managementprotokolle für Netzwerkgeräte verfügen häufig über Programme, die auf das Internet ausgerichtet sind und von böswilligen Akteuren ausgenutzt werden könnten. Wir helfen bei der Bewertung dieser Systeme und Portale.
  • Standard- und Mitarbeiterkonten: Software, Betriebssysteme und Geräte haben Standardkonten eingerichtet, die möglicherweise noch verwendet werden. Angreifer werden versuchen, Anmeldedaten zu missbrauchen, um sich Zugang zu einer Umgebung zu verschaffen. Darüber hinaus können Mitarbeiter Anmeldedaten wiederverwenden, die bereits bei anderen Angriffen kompromittiert wurden (z. B. Google-Email/Passwort), so dass unser Team eine proprietäre Datenbank mit verletzten Anmeldedaten nutzt, um diese Art von Angriffspfad zu untersuchen.

Schritt 5: Dokumentation und Berichterstattung

Am Ende eines jeden Penetrationstests erhalten die Kunden einen Bericht, der die Ergebnisse dokumentiert und umsetzbare Schritte zur Verbesserung der Sicherheit ihrer Netzwerkumgebung enthält. In dieser Phase fassen wir alle Ergebnisse des Pentest zusammen und stellen sie in einem Bericht zusammen Was Sie mit dem Bericht erhalten, wird im Folgenden beschrieben:

  • Zusammenfassung und strategische Empfehlungen
  • Stärken und Schwächen
  • Technische Dokumentation: Testverfahren & Screenshots
  • Umsetzbare Schritte zur Behebung
  • Zusammenfassendes Dokument (Weitergabe an Dritte, ohne hochsensible Informationen preiszugeben)

Es ist wichtig, den Wert eines guten Pentestberichts hervorzuheben – er hilft bei strategischen Entscheidungen und Budgets,  er wird Wirtschaftsprüfern zur Einhaltung von Vorschriften und Bestimmungen zur Verfügung gestellt und er kann Unternehmenskunden zur Verfügung gestellt werden, die von ihren Lieferanten  jährliche Pentests verlangen.

Schritt 6: Tests zur Behebung der Mängel und Aktualisierung der Berichte

Nachdem sie als Kunde die im Bericht beschriebenen Sanierungsschritte umgesetzt haben, führen unsere Tester einen Sanierungstest durch, um sicherzustellen, dass nicht nur alle zuvor identifizierten Schwachstellen beseitigt wurden, sondern auch, dass während des Sanierungsprozesses keine neuen Schwachstellen entstanden sind. Wir werden den Bericht aktualisieren und ein zusammenfassendes Dokument erstellen, welche den behobenen Zustand widerspiegeln.

Interner Netzwerk-Penetrationstest

Gründliche Verteidigung

Interne Netzwerktests sind eine Bewertung aller Systeme im (internen) Unternehmensnetz. Bei der Durchführung eines internen Netzwerktests wird untersucht, was passieren würde, wenn jemand in Ihrer Umgebung Fuß fassen würde; dies könnte durch die Ausnutzung des externen Netzes, durch die Verwendung der Anmeldedaten eines Mitarbeiters oder durch eine böswillige Aktion eines Mitarbeiters geschehen. Traditionell sind Unternehmen davon ausgegangen, dass sie sicher sind, wenn sie einen gehärteten Perimeter haben, aber die Zeit hat gezeigt, dass man viel mehr als das braucht. Ein Ei ist eine gängige Analogie, wenn es um ein schlecht gesichertes Netzwerk geht: Sie wollen kein hartes Äußeres (Eierschale) und dann ein weiches Inneres mit wenig bis gar keiner Sicherheit.

Was wird bei einem internen Netzwerktest geprüft?

  • Unzureichende Netzsegmentierung
  • Offene Ports
  • Unzureichende Kontrollen für die Benutzerverwaltung 
  • Ungepatchte Systeme
  • Schwache Passwortrichtlinien
  • Verwendung von unsicheren Protokollen

Interne Netzwerk-Pentest-Methodik

Die Bedeutung einer strukturierten und konsistenten Methodik bei internen Netzwerk-Penetrationstests kann nicht unterschätzt werden. Zwar unterscheidet sich jedes Projekt in Bezug auf Umfang, Ziele und benötigte Tools, doch eine einheitliche Methodik gewährleistet die gründliche Abdeckung jeder Angriffsfläche. Unser Team verwendet einen strukturierten Prozess, der die Qualität der Arbeit bei jeder Prüfung gewährleistet.

Schritt 1: Sammeln von Informationen und Aufzählung

Der erste Schritt, den unsere Prüfer bei der Bewertung des internen Netzwerks eines Unternehmens unternimmt, ist das Sammeln und Aufzählen von Informationen über das Ziel; dies wird auch als Aufklärungsphase bezeichnet. Dieser Schritt ist von entscheidender Bedeutung, da er eine solide Grundlage an Informationen schafft, die später zur Identifizierung von Schwachstellen und Angriffswegen genutzt werden können. Bei Penetrationstests gibt es 2 verschiedene Formen der Erkundung:

  • Passive Aufklärung ist der Prozess der Identifizierung von Informationen, ohne jemals direkt mit der Zielumgebung zu interagieren. Gute Beispiele für passive Aufklärung sind die Durchsicht von Datenbanken mit verletzten Zugangsdaten oder die Durchsicht von Stellenausschreibungen, um herauszufinden, welche Arten von Tools im Unternehmen verwendet werden.
  • Aktive Erkundung ist der Prozess der Aufklärung, bei dem die Zielumgebung direkt untersucht wird. Unsere Prüfer verwenden eine Reihe verschiedener Tools zum Scannen von IP-Blöcken und Systemen, um Informationen über Hardware, Hosts und Firmware zu ermitteln.

Schritt 2: Modellierung der Bedrohung

Die Modellierung von Bedrohungen ist ein wichtiger, aber oft übersehener Schritt für einen qualitativ hochwertigen Pentest. In dieser Phase verwenden die Prüfer die zuvor gelernten Informationen, um die Netzwerkarchitektur, die Betriebssysteme, die offenen Ports und die zugrunde liegenden Dienste zu erfassen. Ein weiterer wichtiger Teil der Bedrohungsmodellierung ist die Kategorisierung der verschiedenen Datentypen, die während eines Pentests gewonnen werden können, in einer Art und Weise, die den Schweregrad der verschiedenen Ergebnisse anzeigt. Die Modellierung von Bedrohungen hilft den Pentestern, mehr als nur die technischen Aspekte der Ergebnisse zu verstehen, und ermöglicht es ihnen, ihre Ergebnisse in einer Weise zu formulieren, die mit dem Unternehmen in Einklang steht.

Schritt 3: Schwachstellenanalyse

Sobald die Prüfer in die Phase der Schwachstellenanalyse eintreten, beginnen sie mit dem Einsatz von Tools, um potenzielle Schwachstellen in der Umgebung zu identifizieren. Automatisierte Tools helfen dabei, eher einfach zu entdeckende Schwachstellen zu identifizieren, bevor unser Team auf den Punkt übergeht, auf den wir die meiste Zeit verwenden: manuelle Analyse und Verwertung. Wir werden oft gefragt, welche Art von automatisierten Tools wir zum Scannen verwenden. Die Antwort variiert zwar je nach Umfang, aber wir verlassen uns regelmäßig auf einige kommerzielle Tools, die wir selbst integriert haben, wie Burpsuite Pro, Metasploit und Nessus.

Schritt 4: Verwertung

In dieser Phase des Penetrationstests beginnen wir damit, ermittelte Schwachstellen und Fehlkonfigurationen auf sichere Weise auszunutzen, um festzustellen, welche Auswirkungen die verschiedenen Ergebnisse auf das Unternehmen haben können. Unser Team wird versuchen, sich Zugang zu den Geräten und Systemen zu verschaffen, um in das interne Netzwerk einzudringen. In der Exploitation-Phase können die Prüfer besser verstehen, wie sich die verschiedenen Schwachstellen auf das Unternehmen auswirken können, und dem Kunden helfen, Prioritäten für die Behebung zu setzen. Dies spielt eine wichtige Rolle bei der Erstellung eines Berichts, der dem Kunden umsetzbare nächste Schritte bietet. Im Folgenden finden Sie einige Beispiele für Schwachstellen, die unsere Prüfer bei einem internen Netzwerktest auszunutzen versuchen.

  • Man-in-the-Middle-Angriffe: Angreifer, die im internen Netzwerk Fuß gefasst haben, können so genannte MITM-Angriffe durchführen, bei denen Netzwerkprotokolle wie LLMNR missbraucht werden können. Durch einen MITM-Angriff kann ein Angreifer den Benutzern vorgaukeln, dass es sich um ein legitimes System handelt, und Informationen wie Anmeldedaten abfangen.
  • Seitliche Verschiebung: Der Grund, warum laterale Bewegungen so große Auswirkungen haben können, liegt darin, dass, wenn ein Angreifer zum ersten Mal Zugang zum internen Netzwerk erhält, die Wahrscheinlichkeit, dass er den richtigen Zugang zu den wichtigsten Daten hat, (wahrscheinlich) gering ist. Ein Angreifer wird Aktivitäten wie den Missbrauch von Protokollen (z. B. RDP) durchführen, um sich seitlich zu bewegen und seinen Zugriff zu erweitern. Erfolgreiche laterale Bewegungen können schwerwiegende Schäden verursachen, wenn das interne Netzwerk nicht ordnungsgemäß gehärtet und segmentiert ist. Erfolgreiche seitliche Bewegungen spielen auch eine große Rolle bei der Vereitelung von Ransomware-Kampagnen.
  • Häufige und kritische Sicherheitslücken: Wenn eine Umgebung nicht kontinuierlich ordnungsgemäß gepatcht wird, können Angreifer einige bekannte und schädliche CVEs wie EternalBlue (CVE-2017-0144), Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754) ausnutzen.

Schritt 5: Dokumentation und Berichterstattung

Am Ende eines jeden Penetrationstests erhalten die Kunden einen Bericht, der die Ergebnisse dokumentiert und umsetzbare Schritte zur Verbesserung der Sicherheit ihrer Netzwerkumgebung enthält. In dieser Phase fassen wir alle Ergebnisse des Pentest zusammen und stellen sie in einem Bericht für unsere Kunden zusammen. Was Sie mit dem Bericht erhalten, wird im Folgenden beschrieben:

  • Zusammenfassung und strategische Empfehlungen
  • Stärken und Schwächen
  • Technische Dokumentation: Testverfahren & Screenshots
  • Umsetzbare Schritte zur Behebung
  • Zusammenfassendes Dokument (Weitergabe an Dritte, ohne hochsensible Informationen preiszugeben)

Es ist wichtig, den Wert eines guten Pentestberichts hervorzuheben – er hilft bei strategischen Entscheidungen und Budgets, er wird Wirtschaftsprüfern zur Einhaltung von Vorschriften und Bestimmungen zur Verfügung gestellt und er kann Unternehmenskunden zur Verfügung gestellt werden, die von ihren Drittanbietern jährliche Pentests verlangen. 

Schritt 6: Tests zur Behebung der Mängel und Aktualisierung der Berichte

Nachdem ein Kunde die im Bericht beschriebenen Sanierungsschritte befolgt hat, führen unsere Prüfer einen Sanierungstest durch, um sicherzustellen, dass nicht nur alle zuvor identifizierten Schwachstellen beseitigt wurden, sondern auch, dass während des Sanierungsprozesses keine neuen Schwachstellen entstanden sind. Wir werden auch einen aktualisierten Bericht und ein zusammenfassendes Dokument herausgeben, welche den behobenen Zustand widerspiegeln.

Penetrationstests für Anwendungen

Ausbau von Webapps, mobilen Anwendungen und APIs

Anwendungen und die Art und Weise, wie wir mit ihnen interagieren, haben sich im Laufe der Jahre weiterentwickelt und sind nicht mehr nur statische Broschüren, die online gehostet werden. Anwendungen sind aufgrund ihrer Abhängigkeit von Benutzereingaben, Bibliotheken von Drittanbietern, APIs, Containern und mehr immer komplexer geworden.

Anwendungen haben sowohl die Unternehmens- als auch die Verbraucherlandschaft verändert. Ganze Unternehmen verkaufen komplexe Anwendungen, die alltägliche Geschäftsprobleme lösen, während Otto Normalverbraucher den Anwendungen einige seiner sensibelsten Daten anvertraut: Fotoausweise, Kreditkartennummern und Sozialversicherungsnummern.

Die Bedeutung von Anwendungen wird mit der Zeit immer mehr zunehmen – und damit auch die Aufmerksamkeit, die sie bei Cyber-Kriminellen finden.

Application Pentests – OWASP Top 10

Unser Team zur Bewertung von Anwendungen besteht aus Mitgliedern, die sowohl ein tiefes Verständnis für Anwendungen als auch für die Taktiken, Techniken und Prozesse haben, die von den heutigen Cyber-Kriminellen üblicherweise eingesetzt werden. Erfahrene Softwareentwickler haben die so genannten OWASP Top 10 übernommen, die als Leitfaden für die Identifizierung der häufigsten Sicherheitsschwachstellen von Anwendungen dienen. Die OWASP Top 10 bietet zwar einen guten Ausgangspunkt, enthält aber keine fortgeschrittenen Schwachstellen und Fehler in der Geschäftslogik. Schwachstellen-Scanner und weniger erfahrene Pentester, die sich ausschließlich auf die OWASP Top 10 verlassen, übersehen möglicherweise subtilere und schwerwiegendere Erkenntnisse, die ausgenutzt werden können. Dennoch sind Softwareentwickler, die Prüfungen für die OWASP Top 10 einbauen, denen, die dies nicht tun, einen Schritt voraus. Im Folgenden finden Sie einen Überblick über die OWASP Top 10 für 2021.

1. Defekte Zugangskontrolle

Wenn die Zugriffskontrollen richtig konfiguriert sind, setzt eine Anwendung Richtlinien durch, um sicherzustellen, dass Benutzer nicht außerhalb der ihnen zugewiesenen Berechtigungen handeln können. Mit anderen Worten: Die Anwendung erlaubt einigen Benutzern den Zugriff auf bestimmte Inhalte und Funktionen, während sie anderen diesen Zugriff verweigert. Defekte Zugriffskontrollen können zur unbeabsichtigten Offenlegung von Informationen, zur Zerstörung oder Änderung von Daten und zu unbeabsichtigten Funktionen führen, die von einem Benutzer missbraucht werden können.

2. Kryptographische Ausfälle

Kryptografische Fehler treten auf, wenn sensible Daten nicht sicher gespeichert sind. Dabei geht es darum, dass Ihre wichtigsten Daten bei Bedarf verschlüsselt werden und dass die Schlüssel ordnungsgemäß verwaltet werden.

3. Injektion

Die verschiedenen Formen der Injektion, die von 2010 bis 2020 auf Platz 1 lagen, treten auf, wenn ein Angreifer versucht, bösartigen Code in eine Anwendung einzugeben, der dann von der Anwendung interpretiert oder ausgeführt wird. Dies kann es Angreifern ermöglichen, mit dem Inhalt Ihrer Datenbank zu tun, was sie wollen, Back-End-Systeme zu kompromittieren oder andere Benutzer böswillig anzugreifen.

4. Unsicheres Design

Die im Jahr 2021 neu hinzugekommene Kategorie „Unsicheres Design“ ist eher vage, verlagert aber den Schwerpunkt auf Design- und Architekturfehler, die bereits zu einem früheren Zeitpunkt im Entwicklungsprozess erkannt werden sollten. OWASP übernimmt die „shift-left“-Mentalität und fordert mehr Bedrohungsmodellierung, sichere Designmuster und Referenzarchitekturen.

5. Fehlkonfiguration der Sicherheit

Sicherheitsfehlkonfigurationen beziehen sich auf unsachgemäße Server- oder Anwendungskonfigurationen, die zu einer Reihe von Schwachstellen führen. Dazu können falsche Berechtigungen für exponierte Verzeichnisse oder Verwaltungskonsolen, die Verwendung von Standard-Anmeldedaten oder falsch konfigurierte Cloud-Umgebungen gehören.

6. Anfällige und überholte Komponenten

Bei der Erstellung einer Anwendung können anfällige und veraltete Komponenten verwendet werden. Beispiele hierfür sind die Verwendung ungepatchter Server oder anfälliger Bibliotheken von Drittanbietern.

7. Fehler bei der Identifizierung und Authentifizierung

Wenn die Identität eines Benutzers, die Authentifizierung und die Sitzungsdetails nicht ordnungsgemäß gehandhabt werden, können bestimmte Sicherheitsrisiken bestehen, die ausgenutzt werden können. Authentifizierung und Identifizierung bedeutet, dass Sie derjenige sind, für den Sie sich ausgeben. Angriffe, die auf Passwörter, Schlüssel oder Sitzungs-Token abzielen, die es einem Angreifer ermöglichen, die Identität eines Nutzers anzunehmen, fallen daher in diese Kategorie.

8. Software- und Datenintegritätsmängel

Diese im Jahr 2021 neu eingeführte Kategorie bezieht sich auf Code und Infrastruktur, die nicht vor Integritätsverletzungen schützen. Ein Beispiel hierfür wäre ein automatisches Software-Update, das ohne Überprüfung der Sicherheit des neuen Codes eingespielt wird.

9. Sicherheitsprotokollierung und Überwachung von Fehlern

Diese Kategorie umfasst Probleme im Zusammenhang mit der Erkennung, Eskalation und Reaktion auf aktive Vorfälle. Unzureichende Protokollierung, Erkennung und Überwachung können verhindern, dass Sicherheitsvorfälle erkannt und entschärft werden.

10. Server-seitige Anforderungsfälschung (SSRF)

SSRF-Angriffe erfolgen, wenn ein böswilliger Akteur Funktionen des Servers missbraucht, um interne Ressourcen zu lesen oder zu aktualisieren. Diese Angriffe können den Zugriff auf Server ermöglichen, die nicht über das Internet zugänglich sein sollten.

Pentest-Methodik für Webanwendungen

Die Bedeutung einer strukturierten und konsistenten Methodik für Penetrationstests von Webanwendungen kann nicht unterschätzt werden. Zwar unterscheidet sich jedes Projekt in Bezug auf Umfang, Ziele und die erforderlichen Tools, doch eine einheitliche Methodik gewährleistet die gründliche Abdeckung jeder Angriffsfläche. Unser Team verwendet einen strukturierten Prozess, der sicherstellt, dass bei jeder Prüfung Qualitätsarbeit geleistet wird.

Schritt 1: Sammeln von Informationen und Aufzählung

Der erste Schritt, den X Security beim Pentest von Webanwendungen unternimmt, ist das Sammeln und Aufzählen von Informationen über das Ziel; dies wird auch allgemein als Erkundungsphase bezeichnet. Dieser Schritt ist von entscheidender Bedeutung, da er eine solide Grundlage an Informationen schafft, die später zur Identifizierung von Schwachstellen und Angriffswegen verwendet werden können. Bei Penetrationstests gibt es 2 verschiedene Formen der Erkundung:

  • Passive Reconnaissance ist der Prozess der Identifizierung von Informationen, ohne jemals direkt mit der Zielanwendung zu interagieren. Gute Beispiele für passive Aufklärung sind die Verwendung von Google-Fu zum Aufzählen interessanter Subdomains oder die Überprüfung von Github-Repos auf
  • Aktive Erkundung ist der Prozess der Aufklärung, bei dem die Zielanwendung direkt untersucht wird. Beispiele für aktive Aufklärung sind das Erstellen von Fingerabdrücken der Anwendung, das Erzeugen und Analysieren von Fehlercodes und das Scannen nach offenen Ports.

Schritt 2: Bedrohungsmodellierung

Die Modellierung von Bedrohungen ist ein wesentlicher, aber oft übersehener Schritt für einen qualitativ hochwertigen Pentest. In dieser Phase nutzen die Prüfer die zuvor gelernten Informationen, um sensible Daten, Bereiche von Interesse und Geschäftslogik, die weiter untersucht werden sollen, zu bestimmen. Ein weiterer wichtiger Teil der Bedrohungsmodellierung ist die Kategorisierung verschiedener Datentypen, die während eines Pentests gewonnen werden können, in einer Art und Weise, die den Schweregrad der verschiedenen Ergebnisse anzeigt. Die Modellierung von Bedrohungen hilft den Pentestern, mehr als nur die technischen Aspekte der Ergebnisse zu verstehen, und ermöglicht es ihnen, ihre Ergebnisse in einer Weise zu formulieren, die mit dem Unternehmen in Einklang steht.

Schritt 3: Schwachstellenanalyse

Sobald die Prüfer in die Phase der Schwachstellenanalyse eintreten, setzen sie Tools ein, um Schwachstellen in der Anwendung sorgfältig zu identifizieren. Automatisierte Tools helfen dabei, niedrig hängende Schwachstellen zu identifizieren, bevor unser Team zu dem Punkt übergeht, auf den wir die meiste Zeit verwenden: manuelle Analyse und Ausnutzung. Wir werden oft gefragt, welche Art von automatisierten Tools wir zum Scannen verwenden. Die Antwort variiert zwar je nach Umfang, aber wir verlassen uns regelmäßig auf einige kommerzielle Tools, die wir selbst integriert haben, wie Burpsuite Pro, Metasploit und Nessus.

Schritt 4: Verwertung

In dieser Phase des Penetrationstests beginnen wir damit, die identifizierten Schwachstellen und Fehlkonfigurationen sicher auszunutzen, um festzustellen, welche Auswirkungen die verschiedenen Ergebnisse auf das Unternehmen haben würden. Die Verwertungsphase ermöglicht es den Prüfern, besser zu verstehen, wie sich die verschiedenen Schwachstellen auf das Unternehmen auswirken würden, und hilft dem Kunden letztendlich dabei, die Prioritäten für seine Abhilfemaßnahmen zu setzen. Nachfolgend sind einige der Probleme aufgeführt, die unsere Prüfer in einem Pentest für Webanwendungen auszunutzen versuchen.

  • Cross-Site Scripting (XSS): Ein ruchloser Akteur kann bösartigen Code einschleusen, der bei einem ahnungslosen Benutzer ausgeführt wird. Dies kann dem Angreifer ermöglichen, sich als das Opfer auszugeben, seine Anmeldedaten abzufangen oder ihn sogar von einer legitimen Website auf eine bösartige Website umzuleiten.
  • SQL-Einschleusung: Angreifer können Abfragen der Anwendung an ihre Datenbank stören. Dies kann es jemandem ermöglichen, sensible Daten aus der Datenbank einzusehen, Änderungen an der Datenbank vorzunehmen oder sogar die Datenbank zu löschen.
  • Fehler in der Geschäftslogik: Wenn Design-/Entwicklungsteams falsche Annahmen darüber treffen, wie Benutzer mit der Anwendung interagieren können, eröffnet dies Möglichkeiten, die von einem Angreifer missbraucht werden können. Ein gängiges Beispiel ist die Umgehung des Geschäftsablaufs, bei der davon ausgegangen wird, dass alle Benutzer einen bestimmten Prozess durchlaufen werden. (Ein böswilliger Akteur könnte in der Lage sein, diesen Prozess zu überspringen, was zu Fehlern führen könnte, die sensible Informationen preisgeben.

Schritt 5: Dokumentation und Berichterstattung

Am Ende eines jeden Penetrationstests erhalten die Kunden einen Bericht, der die Ergebnisse dokumentiert und umsetzbare Schritte zur Verbesserung der Sicherheit ihrer Webanwendung enthält. In dieser Phase fassen wir alle Ergebnisse des Pentest zusammen und stellen sie in einem Bericht zusammen. Was Sie mit dem Bericht erhalten, wird im Folgenden beschrieben:

  • Zusammenfassung und strategische Empfehlungen
  •  Stärken und Schwächen
  • Technische Dokumentation: Testverfahren & Screenshots
  • Umsetzbare Schritte zur Behebung
  • Zusammenfassendes Dokument (Weitergabe an Dritte, ohne hochsensible Informationen preiszugeben)

Es ist wichtig, den Wert eines guten Pentestberichts hervorzuheben –  er hilft bei strategischen Entscheidungen und Budgets, er wird Wirtschaftsprüfern zur Einhaltung von Vorschriften und Bestimmungen zur Verfügung gestellt und er kann Unternehmenskunden zur Verfügung gestellt werden, die von ihren Drittanbietern jährliche Pentests verlangen. 

Schritt 6: Tests zur Behebung der Mängel und Aktualisierung der Berichte

Nachdem ein Kunde die im Bericht beschriebenen Sanierungsschritte befolgt hat, führen unsere Prüfer einen Sanierungstest durch, um sicherzustellen, dass nicht nur alle zuvor identifizierten Schwachstellen beseitigt wurden, sondern auch, dass während des Sanierungsprozesses keine neuen Schwachstellen entstanden sind. Wir werden auch einen aktualisierten Bericht und ein zusammenfassendes Dokument herausgeben, welche den behobenen Zustand widerspiegeln.

Bewertung der Bereitschaft für Ransomware

Wir helfen unseren Kunden zu verstehen, wie sie gegen eine umfassende Liste von Ransomware-Stämmen vorgehen können. Wir überprüfen die notwendigen Kontrollen und Richtlinien, die die Auswirkungen neuer Ransomware-Stämme abschwächen können. Unser Ransomware Preparedness Assessment ist ein proaktiver Ansatz zur Bewältigung der Ransomware-Probleme, über die sich alle Unternehmen Sorgen machen.

Umsetzbarer Pentest-Bericht

Unsere Berichte dokumentieren jeden Schritt des Auftrags in klarer und prägnanter Form. Die Berichte enthalten eine Zusammenfassung, die hochtechnische Ergebnisse in Informationen für die Geschäftsleitung umsetzt. Sie werden auch feststellen, dass unsere Berichte detaillierte Angaben zu den technischen Erkenntnissen, ihrer Reproduzierbarkeit und den Möglichkeiten zu ihrer Behebung enthalten. Zusammen mit diesen Erkenntnissen erhalten Sie Hinweise auf bewährte Verfahren zur weiteren Stärkung Ihrer Sicherheitslage.

Warum sie mit uns arbeiten sollten?

Erfahrung.

Wir haben ein kleines Team, das sich ausschließlich auf Penetrationstests konzentriert. Unsere Erfahrung stammt aus jahrelanger Arbeit in den renommiertesten Penetrationstest-Firmen mit einigen der größten Kunden auf der ganzen Welt. Jedes Teammitglied hat einen offensiven Sicherheitshintergrund und verfügt über jahrelange Erfahrung in der Durchführung von Pentests. 

Zweck.

Zugegeben, Unternehmen mit einer Mission oder einem Zweck sind heutzutage ein Klischee. Dennoch ist die zunehmende Fokussierung von Cyber-Kriminellen auf KMUs ein Grund zur Sorge. Wir sind der Meinung, dass der Mangel an Pentesting-Unternehmen, die für den KMU-Markt positioniert sind, eine der Hauptursachen dafür ist – wenn der KMU-Markt nicht weiß, wo seine kritischsten Schwachstellen liegen, wie kann er dann die richtigen Investitionen zur Stärkung seiner Sicherheitslage tätigen?

Das ist also unser Ziel. Wir wollen den KMU-Markt dabei unterstützen, ihre Sicherheitslage zu verbessern.

Dieser Beitrag ist auch verfügbar auf: EN FR IT