9 verschiedene Arten von Penetrationstests [im Jahr 2021 verwendet]
In der heutigen Unternehmenswelt ist Sicherheit zum häufigsten Thema geworden. Jeden Tag hören wir davon, wie Angreifer Computersysteme gehackt und alle wichtigen Informationen gestohlen haben.
Im Jahr 2019 wurden in den USA 1.473 Datenschutzverletzungen gemeldet, wobei mehr als 164 Millionen sensible Datensätze offengelegt wurden. Im ersten Halbjahr 2020 betrug die Zahl der Datenschutzverletzungen 540. — Statista-Bericht
Um Sicherheitslücken und Sicherheitslücken aufzudecken, führen viele große Unternehmen einen autorisierten simulierten Cyberangriff auf das eigene System durch. Das nennen wir Penetrationstests (kurz Pen Test). Grundsätzlich geht es darum, Sicherheitslücken und -schwächen noch vor dem Cyber-Hacker zu erkennen und schnellstmöglich zu beheben.
Genauer gesagt, beinhalten Penetrationstests die Simulation realer Angriffsszenarien, um Sicherheitslücken (auf sichere Weise) zu finden und auszunutzen, die letztendlich zu gestohlenen Informationen, kompromittierten Anmeldeinformationen oder anderen schädlichen Geschäftsergebnissen führen können.
Es kann entweder intern über ein Pen-Testing-Tool durchgeführt oder an einen Penetrationstest-Anbieter ausgelagert werden. Der Prozess beginnt normalerweise damit, dass ein Sicherheitsexperte das Zielnetzwerk aufzählt, um anfällige Geräte oder Konten zu erkennen. Dies bedeutet, dass jedes Gerät im Netzwerk nach offenen Ports gescannt wird, auf denen Dienste ausgeführt werden.
Der Grad des Eindringens hängt davon ab, welche Art von Operation der Sicherheitstester auf dem Zielsystem untersuchen möchte. Daher muss der Tester über gute Kenntnisse der relevantesten Art von Stifttests verfügen.
Penetrationstests können basierend auf ihrer Durchführung sowie den Zielobjekten und Komponenten klassifiziert werden. In diesem Übersichtsartikel haben wir verschiedene Arten von Penetrationstests erläutert, die intensiv und invasiv sind.
Penetrationstests basierend auf den verwendeten Methoden
1. Black-Box-Tests
- Testfälle können sofort entworfen werden
- Kann bestimmte Fehler erkennen
Beim Black-Box-Penetrationstest hat der Tester keinen Zugriff auf die Anwendung des Kunden, die Netzwerkkonfiguration oder andere interne Informationen. Er/sie führt alle Aufklärungen durch, um die erforderlichen Informationen zu extrahieren.
Diese Art des Testens ermittelt die Schwächen eines Systems, die von außerhalb des Netzwerks ausgenutzt werden können. Das Auffinden dieser Schwachstellen basiert auf einer dynamischen Überprüfung der derzeit ausgeführten Programme und Systeme innerhalb des Zielnetzwerks.
Der Tester sollte mit automatisierter Scansoftware und verschiedenen Techniken des manuellen Penetrationstests vertraut sein. Da keine Vorkenntnisse über die Systemkonfiguration oder den Anwendungsquellcode vorhanden sind, muss der Black-Box-Penetrationstester in der Lage sein, eine eigene Karte des Zielnetzwerks basierend auf persönlichen Beobachtungen zu erstellen.
Das begrenzte Wissen hindert den Tester daran, alle Schwachstellen im System zu finden. Dies ist der größte Nachteil dieser Art von Tests. Wenn Tester nicht alle Perimeter durchbrechen können, bleiben interne Schwachstellen unentdeckt.
Es kann jedoch bestimmte Arten von Fehlern aufdecken, wie z. B. Fehler bei der Serverkonfiguration und Fehler bei der Eingabe-/Ausgabevalidierung. Um erfolgreich zu sein (mehr Schwachstellen effizient zu erkennen und zu beheben), sollten Black-Box-Testmethoden mit anderen Testtools kombiniert werden.
Es gibt viele Tools auf dem Markt, um Black-Box-Penetrationstests durchzuführen. Wapiti analysiert beispielsweise Webanwendungen auf potenzielle Verbindlichkeiten, indem es temporäre Daten einfügt.
2. White-Box-Tests
- Umfassender
- Ermöglicht Code-Optimierung und Erkennung versteckter Sicherheitsprobleme
Wie der Name schon sagt, ist White-Box-Penetrationstest das Gegenteil von Black-Box-Tests. Der Tester hat vollständigen Zugriff auf Architekturdokumentation, Quellcode und andere Systeminformationen.
Tester sichten eine große Menge an verfügbaren Daten, um potenzielle Schwachstellen zu erkennen. Sie können für diese Art von Tests sowohl statische als auch dynamische Codeanalysatoren und Debugger verwenden.
Da die Tester über umfassende Systemkenntnisse verfügen, dauert es länger, zu entscheiden, welche Module zuerst getestet werden und welche spezielle Software für die Durchführung des Tests verwendet werden soll.
JUnit, PyUnit, Selenium sind einige der beliebtesten Open-Source-White-Box-Testtools. Selenium wird beispielsweise zur Validierung von Webanwendungen über verschiedene Browser und Plattformen hinweg verwendet.
3. Gray-Box-Test
- Identifiziert größere Schwachstellen mit weniger Kosten und Aufwand
- Tests werden aus der Sicht der Benutzer statt aus der Sicht des Designers durchgeführt
Dies ist die Kombination aus Black-Box- und White-Box-Penetrationstests. Der Gray-Box-Stiftester verfügt über einige Kenntnisse über die Interna des Systems, wie z. B. Datenbank- und Konstruktionsdokumente. Mit diesem begrenzten Wissen kann er/sie bessere Testdaten und Testfälle erstellen, während er einen Testplan erstellt.
Diese Art von Tests bietet eine effizientere und gezieltere Bewertung der Systemsicherheit im Vergleich zur Black-Box-Bewertung. Es kann Fehler aufgrund einer unsachgemäßen Verwendung von Anwendungen oder einer falschen Codestruktur identifizieren. Genauer gesagt deckt es die kontextspezifischen Fehler auf, indem es sich auf alle Ebenen komplexer Systeme konzentriert.
Gray-Box-Tests eignen sich eher für Funktionstests, Webanwendungen, Webdienste, Sicherheitsbewertungen und GUI. Burp Suite ist eines der beliebtesten Gray-Box-Testtools, das Anwendungsschwachstellen ausnutzt, indem es die versuchsweise unsicheren Stellen angreift.
Unterschied zwischen diesen drei Testtechniken
| Black-Box-Penetrationstests | Gray-Box-Penetrationstest | White-Box-Penetrationstest |
| Keine Kenntnisse der internen Funktionsweise des Systems erforderlich | Teilweise Kenntnisse der internen Arbeitsweise des Systems sind erforderlich | Vollständige Kenntnisse der internen Arbeitsweise des Systems sind erforderlich |
| Sehr schwer versteckte Fehler zu entdecken | Schwierig, versteckte Fehler zu entdecken | Einfach versteckte Fehler entdecken |
| Auch bekannt als Closed-Box-Testing oder datengesteuertes Testen | Auch bekannt als transluzentes Testen | Auch bekannt als Clear-Box-Test, Strukturtest oder codebasierter Test |
| Am wenigsten zeitaufwendig | Teilweise zeitaufwendig | Umfangreichste und zeitaufwendigste |
| Am besten zum Auffinden von Eingabe-/Ausgabevalidierungsfehlern | Am besten geeignet zum Testen von Datendomänen und Systemdesign | Am besten geeignet zum Testen von Algorithmen, Codestruktur und internen Grenzen |
| Tests werden von Endbenutzern, Entwicklern und Testern durchgeführt | Tests werden von unabhängigen Testern und Entwicklern durchgeführt | Tests werden von Testern und Entwicklern durchgeführt |
Penetrationstests basierend auf gezielten Komponenten
1. Testen von Netzwerkdiensten
- Verhindert Netzwerk- und Datenschutzverletzungen
- Gewährleistet die Netzwerk- und Systemsicherheit
Der Netzwerk-Penetrationstestprozess beinhaltet das Aufdecken von Sicherheitslücken in Anwendungen und Systemen, indem verschiedene bösartige Methoden verwendet werden, um die Sicherheit des Netzwerks zu untersuchen.
Normalerweise identifiziert der Tester ausnutzbare Netzwerke, Hosts, Systeme und Geräte (wie Switches und Router), um Schwachstellen aufzudecken. Da ein Netzwerk sowohl externe als auch interne Zugangspunkte hat, ist es zwingend erforderlich, Tests remote von der Außenwelt und lokal beim Kunden durchzuführen.
Dies hilft den Testern, das Risikoniveau zu verstehen, mit dem die Organisation zu tun hat, und wie sie Sicherheitslücken beheben und beheben können. Je nach Risiko können sie bei ihren Tests unterschiedliche Netzbereiche anvisieren. Sie können beispielsweise durchführen:
- Stateful-Analysetests
- Firewall-Konfigurationstests
- Firewall-Bypass-Test
- DNS-Angriffe
Die am häufigsten in diesen Tests untersuchten Protokolle sind:
- Simple Mail Transfer Protocol (SMTP)
- Dateiübertragungsprotokoll (FTP)
- Secure Shell (SSH)
- MySQL und SQL Server
Je nach Systemgröße und -komplexität kann es zwischen einer und vier Wochen dauern, bis ein Netzwerk-Penetrationstest abgeschlossen ist. Tester können erst nach Prüfung des Projektumfangs eine detaillierte Schätzung abgeben.
2. Testen des Webanwendungsstifts
Schritte zum Durchführen eines Web-App-Stifttests
- Identifiziert Schwachstellen in Design und Konfiguration
Lokalisiert Eindringlinge und blockiert sie
Da viele Webanwendungen sensible Informationen enthalten, müssen diese jederzeit sicher aufbewahrt werden. Eine Möglichkeit, dies zu tun, besteht darin, Web-App-Penetrationstests in den Software Development Life Cycle (SDLC) aufzunehmen.
Pen-Tests machen es einfach, Schwachstellen der gesamten Webanwendungen und ihrer Komponenten, einschließlich der Datenbank, des Backend-Netzwerks und des Quellcodes, zu ermitteln. Dies hilft Entwicklern, Schwachstellen und Fehler zu lokalisieren und zu priorisieren und Wege zu finden, diese zu mindern.
Diese Art von Tests umfasst das Sammeln von Daten über die Zielwebanwendung, das Abbilden des Hostnetzwerks und das Untersuchen aller möglichen Angriffspunkte oder Manipulationsangriffe. Die häufigsten Gründe für die Durchführung von Web-App-Stifttests sind:
- Unbekannte Sicherheitslücken erkennen
- Überprüfen Sie öffentlich zugängliche Komponenten wie Router und Firewalls
- Finden Sie den anfälligsten Weg für einen möglichen Angriff
- Suchen Sie nach Schlupflöchern, die zu Informationsdiebstahl führen könnten
- Überprüfen Sie die Wirksamkeit bestehender Sicherheitsrichtlinien
Es gibt viele Tools auf dem Markt, um (sowohl manuelle als auch automatisierte) Web-App-Penetrationstests durchzuführen. Vega, Veracode und Zap sind einige der gebräuchlichsten für die Durchführung von Schnelltests.
3. Drahtlose Stiftprüfung
- Bestimmt den realistischen Sicherheitsstatus von drahtlosen Netzwerken
- Behebt Schwachstellen und Sicherheitsrichtlinien/-verfahren
Drahtlose Penetrationstests umfassen das Erkennen und Analysieren der Verbindungen zwischen allen Geräten, die mit dem WLAN des Unternehmens verbunden sind. Dazu gehören Laptops, Smartphones, Tablets, Drucker und andere Internet of Things (IoT)-Geräte.
Um Sicherheitslücken zu entdecken, werden verschiedene Wireless-Protokolle und Wireless Access Points getestet. Normalerweise werden diese Tests beim Kunden durchgeführt, da sich der Tester in der Reichweite der drahtlosen Signale befinden muss, um auf das Gerät zuzugreifen.
In den meisten Fällen werden Schwachstellen in WLAN-Zugangspunkten aufgrund fehlender MAC-Filterung und unzureichender Netzwerkzugriffskontrollen gefunden. Um diese Probleme zu beheben, bevor sie wirklich auftreten, ist es wichtig, die Wirksamkeit der Sicherheitsmaßnahmen zu testen, um unbeabsichtigte Schwachstellen aufzudecken.
Es ist auch wichtig zu bedenken, dass WLAN nicht die einzige drahtlose Technologie ist, die Angreifer ausnutzen können. Es gibt verschiedene Bluetooth-Geräte, Bluetooth-Low-Energy-Geräte und andere weniger beliebte Technologien, wie Z-Wave und DECT (schnurloses Telefon), die in der Öffentlichkeit zu finden sind.
4. Clientseitige Penetrationstests
- Erkennt Sicherheitsfehlkonfigurationen in clientseitiger Software
- Ermöglicht die ordnungsgemäße Kontrolle des ein- und ausgehenden Netzwerkverkehrs
Dies ist ein interner Stifttest, bei dem Tester Schwachstellen in clientseitigen Anwendungsprogrammen wie Webbrowsern, Adobe Acrobat, E-Mail-Clients, Macromedia Flash usw. ausnutzen.
Obwohl es keine Regel für die Durchführung solcher Tests in bestimmten Intervallen gibt, sollten Unternehmen Pen-Tests durchführen, wenn neue IT-Infrastrukturen oder clientseitige Anwendungen hinzugefügt oder bestehende Infrastrukturen geändert werden.
Die meisten clientseitigen Sicherheitslücken treten aufgrund der nicht gepatchten Software auf, die auf Laptops oder Desktops installiert ist. Einige Angreifer fangen sogar den Aktualisierungsprozess ab und senden bösartigen Code zusammen mit dem ursprünglichen Update.
USB-Geräte sind auch mit schädlichen Dateien oder ausführbarem Code infiziert. Diese Dateien werden automatisch ausgeführt, sobald das Opfer den USB an seinen Computer anschließt. Cross-Site-Scripting, Form-Hijacking, Clickjacking, HTML-Injection und Open Redirection sind einige der häufigsten clientseitigen Sicherheitsangriffe.
Aus diesem Grund ist es wichtig, die Anfälligkeit der Mitarbeiter und die Fähigkeit der Netzwerke zu testen, clientseitige Angriffe zu erkennen und darauf zu reagieren.
5. Externer Stifttest
- Eine Sicherheitsbewertung der Perimetersysteme eines Unternehmens
- Umfasst sowohl Bewertungen auf Anwendungsebene als auch auf Netzwerkebene
Externe Penetrationstests testen in der Regel aus der Sicht des Angreifers ohne vorherigen Zugriff auf das Zielsystem oder Netzwerk. Dies unterscheidet sich von internen Pen-Tests, bei denen der Angreifer bereits auf dem kompromittierten Computer Fuß gefasst hat.
Beim externen Pen-Test versucht der Tester, sich Zugang zum internen Netzwerk zu verschaffen, indem er Schwachstellen ausnutzt, die in den externen Assets gefunden wurden. Er/sie führt Erkundungen der in den Geltungsbereich fallenden Vermögenswerte durch und sammelt Daten zu allen Vermögenswerten im Geltungsbereich.
Diese Daten können offene Ports, Schwachstellen oder Mitarbeiterinformationen für Passwortangriffe umfassen. Sobald der Perimeter durchbrochen ist, ist das Ziel des externen Penetrationstests erreicht und der Tester fährt mit dem internen Pen-Test fort.
Lesen Sie: 30 nützliche Bug-Tracking-Tools für Entwickler
6. Soziales Engineering
- Betrügen ahnungslose Mitarbeiter dazu, die Sicherheit des Unternehmens zu gefährden
- Nutzen Sie die menschliche Psychologie, um vertrauliche Daten zu erhalten
Der Begriff Social Engineering wird für eine Vielzahl von bösartigen Aktivitäten verwendet, die über menschliche Interaktionen ausgeführt werden. Da es auf menschlichem Versagen beruht (anstelle von Schwachstellen in Anwendungen oder Netzwerken), ist es weniger vorhersehbar und schwerer zu erkennen als Malware-basierte Angriffe.
Bei dieser Art von Tests wird versucht, an vertrauliche Daten zu gelangen, indem die Mitarbeiter des Unternehmens dazu gebracht werden, sensible Informationen preiszugeben. Dies kann entweder durch Ferntests oder physische Tests erreicht werden.
Lesen Sie: Die 15 besten Tools zur Generierung von Testdaten
Bei Remote-Tests werden Phishing-E-Mails an Mitarbeiter gesendet oder ihre Geräte mit Fehlalarmen oder fiktiven Bedrohungen bombardiert. Im Gegensatz dazu umfassen physische Tests Tailgating, Identitätswechsel, Müllcontainertauchen, physische Bedrohungen usw.
Industrietechnik
- 14 verschiedene Arten von Computerviren [Ab 2021]
- 5 verschiedene Arten von Rechenzentren [mit Beispielen]
- 8 verschiedene Arten von Cloud Computing im Jahr 2021
- 9 verschiedene Arten von Penetrationstests [im Jahr 2021 verwendet]
- Was ist Anti-Aliasing? 6 verschiedene Typen und Methoden
- 5 verschiedene Arten von Schweißverbindungen | Schweißverbindungen
- 15 verschiedene Arten von Fräsmaschinen
- 10 verschiedene Arten von Mustern beim Gießen
- Die verschiedenen Arten der Wartung in der Fertigung
- 5 verschiedene Arten von Tests zur Durchführung Ihrer Geräte