Sicherheitsanalyse / Pentest

Penetrationstests sind ein effizientes Mittel, um die Sicherheit von IT Infrastrukturen, IT Lösungen oder eines einzelnen IT Systems zu überprüfen. Dabei greifen wir auf Mittel zurück, welche auch potenzielle Angreifer zur Verfügung haben. Wir simulieren einen Cyberangriff, in Ihrem Auftrag, und erkennen somit ob nach neuesten Erkenntnissen Handlungsbedarf besteht. Durch unsere sehr gute Vernetzung über den ganzen Planeten, haben wir Informationen über Angriffsmöglichkeiten welche noch nicht genutzt werden und können so auch präventiv tätig sein.

Vorgehensweise

Zur Erstellung eines Angebots werden die zu testenden Systeme und Dienste von uns erfasst und gemeinsam mit dem Kunden priorisiert. Dieser erste Schritt ist bei uns in der Regel kostenlos. Wir gehen von einem Arbeitstag pro IP-Nummer aus, wenn bis zu 10 Ports geöffnet sind. Sollten eine oder mehrere größere Webapplikationen vorhanden sein, so ist von 2 Arbeitstagen für eine IP-Nummer aus zu gehen. Wenn mehrere gleiche Server, wie z.B. in Load-Balancer Konfigurationen vorhanden sind, braucht jeweils nur ein Server exemplarisch getestet werden. Sicherheitsanalysen und Pentests werden auch in Übereinstimmung mit den BSI, ISO, OWASP Testing Guide, OSSTMM oder PCI DSS Standards durchgeführt.

 

Nach der Erfassung der zu testenden Systeme, wird gemeinsam die Invasivität des Pentest festgelegt. Je nach Art und Status der Systeme wird von ungefährlichen passiv-Scans bis hin zu Crash-Exploits eine Auswahl getroffen. Auch Denial of Service (DOS) Angriffe und der Schutz davor können dazu gehören. Hierfür kann bei aggressiveren Tests anstelle des Produktivsystems auch ein Klon erstellt und getestet werden.

Der gesamte Test wird in enger Abstimmung mit dem Kunden durchgeführt. Auf Wunsch senden wir Ihnen zu Beginn des Tests bei jeder IP-Nummer eine Nachricht, sodass die Tests gemeinsam überwacht werden können.

Der Pentest erfolgt in mehreren Stufen

  • Durchführung von automatisierten Scans zur Erfassung der Datenbasis im Report. Hier kommen Scanner wie Nessus, OpenVAS, Nmap, Nikto usw. zum Einsatz. Alle Ergebnisse werden dem elektronischen Report angehängt.

  • Manueller Abgleich der Dienste mit Vulnerability-Listen wie CVE, zur Verifikation der automatisierten Scanergebnisse. Zur Verifikation der Dienstbezeichnungen, werden Fingerprint-Programme wie Hmap, SinFP, BlindElephant usw. eingesetzt.

  • Manuelle Angriffe auf die Dienste, werden mit Exploits aus ExploitDB, selbst entwickelten Exploits oder Metasploit durchgeführt.

  • Webapplikationen werden mit Burpsuite/SOAP/REST, W3af/Owasp10 und Exploits aus ExploitDB getestet.

  • Ergebnisse werden in dem Report zusammengetragen und ggf. mit Anleitungen zur Reproduktion von Angriffen versehen.

  • Erfassung aller Ergebnisse. Es werden die Scores der Netzwerke, Hosts, Dienste und der Gesamtscore ermittelt und eingetragen.

  • Bei sich wiederholenden Test, werden in der Timeline die Graphen erweitert, um in der Timeline Vergleichbarkeit zu erreichen.

  • Testergebnisse können auch für Mitarbeiter ohne tiefes IT Sicherheitswissen zusammengefasst werden.

Bewertung

Neben den Standard Vulnerability-Stufen nach BSI oder OSSTM, beinhalten unsere Berichte 2 Benotungssysteme, die unterschiedliche Bereiche abdecken:

1. AVI Score
Der AVI-Score belegt die Stufen Low, Medium, High und Critical mit einer Benotung von 0 bis 12. Ein Dienst mit maximaler Verwundbarkeit bekommt die Note 12 und ein nicht verwundbarer Dienst bekommt die Note 0.

Der AVI Score hat folgende Aufgaben
• Die Unterteilung innerhalb einzelner Vulnerability-Stufen.
Sowohl ein Webserver der seine Intranet IP anzeigt, als auch eine unsichere Verschlüsselung, werden von BSI/OSSTM kompatiblen Scannern als Medium Schwachstelle eingestuft. Hierdurch ist ersichtlich, dass nicht alle Ergebnisse innerhalb einer Stufe, auch die gleiche Gefahr darstellen. Aus diesem Grund sind die einzelnen Vulnerability-Stufen, bei uns jeweils noch in 3 Stufen unterteilt.

• Die Berechnung der durchschnittlichen Verwundbarkeit von Diensten, Servern, Netzwerken, Standorten sowie die Gesamtbewertung. Die Berechnung erfolgt wie beim Notendurchschnitt in Zeugnissen. So ergeben die addierten Scores, geteilt durch die Anzahl der Dienste, den Gesamtscore eines Servers. Die Gesamtscores der Server wiederum ergeben das Scoring von Netzwerken usw. Hierdurch wird die Verwundbarkeit quantifizierbar und eine gute Vergleichbarkeit von Standorten oder Netzwerken wird erreicht.

• Timeline und Sicherheitswerdegang
Bei wiederholten Pentests werden die Scores in Graphen erfasst und somit die Entwicklung von Standorten bis hin zu einzelnen Diensten leicht erkennbar dargestellt.

2. PCI Score
Einige Pentestwerkzeuge wie z.B. der Nessus Scanner, stellen seit einiger Zeit auch die Benotung nach dem Standard der Kreditkarten-Industrie bereit. Hierdurch bietet sich eine gute Vergleichsbasis mit einem offiziellen Standard.

Unsere Reports bzw. Berichte bleiben zum BSI/OSSTM Standard kompatibel, somit ist die Vergleichbarkeit auch zu einem späteren Zeitpunkt immer gegeben. Die Verwundbarkeitsstufen werden beim AVI Score jedoch granularer dargestellt und bieten so einen schnellen und tieferen Einblick in den Zustand der gesamten IT Landschaft.

Reporting

(2 Varianten stehen zur Auswahl)

1. Klassischer Bericht

Der Bericht wird auf Papierbasis und/oder als PDF ausgehändigt. Diese Berichtsform beinhalten folgende Punkte:

• Zielsetzung
• Executive Summary
• Die verwendeten Werkzeuge
• Top Schwachstellen
• Ergebnisse Host-basiert
• Vorschläge und Beispielkonfigurationen um Sicherheitslücken zu beheben

2. Elektronischer Bericht

Der Bericht wird als Webserver ausgeliefert. Der elektronische Bericht basiert auf einem Drupal Content Management System und bietet sich bei umfangreicheren Pentests an. Diese Berichtsform beinhalten folgende Punkte:

• Suchfunktion für schnellen Zugriff
• Inhalte können mit Kommentaren versehen werden
• Screenshots und Topologiebilder sind verlinkt
• Beschreibung von verwendeten Exploits und Angriffen werden eingetragen
• Mehrere Mitarbeiter können simultan zugreifen
• Executive Summary ist als PDF Download angehängt
• Druckfreundliche Darstellung

Der Bericht steht in verschiedenen Varianten zur Auswahl

• Auf einem Server Ihrer Wahl
• Als LiveCD (Der Bericht kann nicht bearbeitet werden)
• Auf einem PC oder Laptop
• Als VM-Image

Bei allen Berichtsformen werden soweit jeweils möglich und gewünscht, die Ausgaben aller eingesetzten Werkzeuge mitgeliefert.