Ein Penetrationstest, abgekürzt als PEN-Test bezeichnet, ist ein Test zur Bewertung der Sicherheit einer IT-Infrastruktur. Ein IT-Experte führt den Test durch indem er einen Angriff simuliert und damit die externen und internen Bedrohungen.
Ein PEN-Test beinhaltet eine aktive Analyse des Systems durch IT-Experten auf mögliche Sicherheitslücken. Sicherheitslücken in einer IT-Infrastruktur können durch eine falsche Systemkonfiguration, Hardware- oder Softwarefehler oder organisatorische Schwachstellen entstehen. Die im Laufe des Penetrationstests gefundenen Sicherheitsprobleme werden analysiert und im Hinblick auf mögliche Auswirkungen auf die gesamte Organisation bewertet. Auf Grundlage dieser Analyse und Bewertung können gegebenenfalls Maßnahmen zur Verbesserung der IT-Sicherheit vorgenommen werden.
Angriffe von außen verursachen schwerwiegende Schäden
Die Vorteile von Penetrationstest
Die wichtigsten Vorteile von Penetrationstests sind:
- Identifizierung von Fehlern, die mit einer Fehlererkennungssoftware nicht oder nur schwer identifiziert werden können
- Identifizieren von Fehlern mit einem hohen Risiko für das System, die sich aus einer Verkettung von Schwachstellen mit einem geringen Sicherheitsrisiko ergeben und von Angreifern in einer bestimmten Reihenfolge ausgenutzt werden können
- Beurteilung, welche geschäftlichen und betrieblichen Auswirkungen ein erfolgreicher Angriff auf die IT-Infrastruktur haben kann
- Testen der Fähigkeit von Netzwerkadministratoren und internen IT-Experten, Angriffe zu erkennen und auf diese Angriffe richtig zu reagieren
Wie wird ein Pentest durchgeführt?
Für die Durchführung eines PEN-Test werden drei verschiedene Testszenarien genutzt.
Der Black-Box Pen-Test
Bei einem Black-Box Test wird der Penetrationstester in die Rolle eines durchschnittlichen Hackers versetzt, dem das interne Zielsystem nicht bekannt ist. Die für den Test eingesetzten IT-Experten erhalten keine Architekturdiagramme, keine Systeminformationen oder Quellcodes, die nicht öffentlich verfügbar sind. Ein Black-Box Penetrationstest ermittelt die Schwachstellen in einem System, die von außerhalb des Netzwerks ausgenutzt werden können.
Dies bedeutet, dass ein Black-Box Penetrationstest auf einer dynamischen Analyse der aktuell ausgeführten Programme und Systeme innerhalb des Zielnetzwerks basiert. Black-Box Penetrationstester müssen mit automatisierten Scan-Tools und Methoden für manuelle Penetrationstests gleichermaßen vertraut sein. Zudem müssen sie als IT-Experten in der Lage sein, auf der Grundlage ihrer Beobachtungen eine eigene Karte eines Zielnetzwerks zu erstellen, da ihnen kein solches Diagramm zur Verfügung gestellt wird.
Der Hauptnachteil dieses Ansatzes besteht darin, dass alle Schwachstellen interner Services unentdeckt bleiben und nicht gepatcht werden, wenn die IT-Experten nicht in das System eindringen können.
Bei PEN-Tests werden Angriffe simuliert
Der Gray-Box Pen-Test
Bei dieser Testmethode kennt der Tester die Zugriffs- und Wissensebenen eines Benutzers, möglicherweise mit erhöhten Rechten auf einem System. Gray-Box Pentester haben normalerweise ein gewisses Wissen über die Interna eines Netzwerks, möglicherweise einschließlich der Design- und Architekturdokumentation und eines internen Accounts im Netzwerk.
Der Zweck des Gray-Box-Pentesting besteht darin, die Sicherheit eines Netzwerks gezielter und effizienter zu bewerten als bei einem Black-Box-Test möglich ist. Die IT-Experten können sich auf Grundlage der Vorkenntnisse von Anfang an auf die Systeme mit dem größten Risiko und dem größten Wert konzentrieren, anstatt diese Informationen selbst ermitteln zu müssen.
Der White-Box Pen-Test
White-Box-Tests werden unter verschiedenen Namen wie „Clear-Box„, „Open-Box„, „Auxiliary“ und „Logic-Driven“ durchgeführt. Die Penetration Tester erhalten bei dieser Methode vollen Zugriff auf Quellcodes, Architektur-Dokumentation, Anwendungssoftware, Hardwarespezifikationen und mehr. Die größte Herausforderung bei White-Box-Tests besteht darin, die große Menge an verfügbaren Daten zu durchforsten, um potenzielle Schwachstellen zu identifizieren. Whitebox-Pen-Test ist die zeitaufwendigste Art von Penetrationstests.
Im Gegensatz zu Black-Box– und Gray-Box-Tests sind Whitebox-Penetration-Tester in der Lage, statische Code-Analysen durchzuführen und sich mit Quellcode-Analysatoren, Debuggern und ähnlichen Tools vertraut zu machen, die für diese Art von Tests wichtig sind. Dynamische Analysewerkzeuge und –techniken sind jedoch auch für White-Box-Tester wichtig, da die statische Analyse Schwachstellen ausschließen kann, die durch Fehlkonfigurationen von Zielsystemen entstehen. Ein White-Box Penetrationstest ermöglicht eine umfassende Bewertung interner und externer Schwachstellen.
Die Vor- und Nachteile der verschiedenen Testmethoden
Die wichtigsten Unterschiede zwischen einem Blackbox-, Gray-Box– und White-Box–PEN-Test bestehen in der Genauigkeit des Tests sowie in seiner Geschwindigkeit, Effizienz und Abdeckung.
PEN-Tests sollen Schwachstellen aufzeigen
Der Zweck eines Penetrationstests besteht darin, Schwachstellen zu identifizieren und zu patchen, die von einem Angreifer ausgenutzt werden können. Daher wäre die ideale Form des Penetrationstests eine Blackbox, da die Mehrheit der Angreifer vor Beginn ihres Angriffs keine Kenntnis über die internen Abläufe ihres Zielnetzwerks hat. Der durchschnittliche Angreifer hat jedoch viel mehr Zeit für seinen Prozess als der durchschnittliche Pentester. Die anderen Arten von Penetrationstests wurden daher entwickelt, um die Eingriffszeit zu verkürzen, indem das dem Tester zur Verfügung gestellte Informationsniveau erhöht wird.
Das Gegenteil zum Black-Box-Test ist der White-Box-Test, bei dem die IT-Experten vollständige Informationen über das Zielsystem erhalten. Die Befürchtung bei dieser Art von PEN-Test besteht darin, dass die erhöhten Informationen dazu führen, dass die Tester sich anders verhalten als Blackbox-Hacker. Dies könnte dazu führen, dass sie Sicherheitslücken übersehen, die ein weniger informierter Angreifer ausnutzen würde.
Gray-Box-Tests sind ein Kompromiss zwischen White-Box– und Black-Box-Tests. Durch die Bereitstellung eines Testers mit begrenzten Informationen über das Zielsystem simulieren Gray-Box-Tests den Wissensstand, den ein Hacker mit langfristigem Zugriff auf ein System durch Forschung und System-Footprint erreichen könnte.
Geschwindigkeit, Effizienz und Reichweite von Penetartionstests
Die drei Penetrationstests stellen einen Kompromiss zwischen Geschwindigkeit, Effizienz und Reichweite her. Im Allgemeinen ist der Blackbox-Penetrationstest der schnellste Penetrationstest. Die begrenzten Informationen, die den Testern zur Verfügung stehen, erhöhen jedoch die Wahrscheinlichkeit, dass Verwundbarkeiten übersehen werden, und verringern die Effizienz des Tests. Die Tester verfügen nicht über die Informationen, die notwendig sind, um ihre Angriffe auf die wertvollsten oder wahrscheinlich verletzlichsten Ziele zu richten.
Beim Grey-Box-Test kommt es im Vergleich zu Black-Box Penetrationstest zu einem leichten Kompromiss im Hinblick auf höhere Effizienz und Abdeckung. Der Zugriff auf die Design-Dokumentation ermöglicht es den IT-Experten, ihre Bemühungen besser zu fokussieren und der interne Zugriff auf das Netzwerk erhöht die Abdeckung der Analyse. Dies gilt insbesondere im Vergleich zu Black-Box-Tests, bei denen Tester keine Schwachstelle finden, die ihnen den Zugriff innerhalb des Netzwerk-Perimeters ermöglicht.
White-Box-Tests sind die langsamste und umfassendste Form des PEN-Test. Die große Menge an Daten, die den IT-Experten zur Verfügung stehen, benötigt Zeit für die Verarbeitung und Analyse. Das hohe Zugriffsniveau verbessert jedoch die Wahrscheinlichkeit, dass sowohl interne als auch nach außen gerichtete Schwachstellen identifiziert und behoben werden können.
