Penetrationstests werden häufig als Ergänzung zu einer Web Application Firewall (WAF) im Kontext der Sicherheit von Webanwendungen eingesetzt. Ein Penetrationstest, auch Penetrationstest genannt, simuliert einen Cyberangriff auf Ihr Computersystem, um ausnutzbare Schwachstellen zu identifizieren. Die Ergebnisse des Penetrationstests können dann zur Feinabstimmung Ihrer WAF-Sicherheitsrichtlinien und zur Behebung gefundener Schwachstellen verwendet werden. Hier finden Sie alles, was Sie über einen Penetrationstest wissen müssen, einschließlich der verschiedenen Arten und Methoden.
Was ist ein Penetrationstest?
Ein Penetrationstest (Pen-Test) ist ein gesetzlich sanktionierter simulierter Angriff auf ein Computersystem zur Bewertung seiner Sicherheit. Penetrationstester verwenden dieselben Tools, Strategien und Prozesse wie Angreifer, um die kommerziellen Auswirkungen von Systemfehlern zu identifizieren und aufzuzeigen. Penetrationstests bilden typischerweise eine Reihe von Angriffen nach, die ein Unternehmen gefährden könnten. Sie können feststellen, ob ein System stark genug ist, um Angriffen sowohl von authentifizierten als auch von nicht authentifizierten Positionen sowie von einer Vielzahl von Systemrollen standzuhalten. Ein Pentest kann jeden Aspekt eines Systems mit dem richtigen Umfang untersuchen.
Welche Vorteile bieten Penetrationstests?
Idealerweise werden Software und Systeme von Anfang an mit dem Ziel entwickelt, potenziell gefährliche Sicherheitsprobleme zu beseitigen. Ein Pentest gibt Aufschluss darüber, wie gut dieses Ziel erreicht wurde. Hier erfahren Sie, wie Penetrationstests für ein Unternehmen von Vorteil sein können.
- Identifizieren Sie Systemfehler
- Bestimmen Sie die Robustheit des Steuerelements.
- Unterstützung bei der Einhaltung von Datenschutz- und Sicherheitsbestimmungen (z. B. PCI DSS, HIPAA und GDPR).
- Geben Sie dem Management qualitative und quantitative Nachweise über die bestehende Sicherheitslage und Budgetprioritäten.
Was sind die Phasen des Pen-Tests?
Pentester agieren als motivierte Gegner, um Angriffe nachzuahmen. Sie folgen normalerweise einem Plan, der die folgenden Schritte umfasst:
#1. Aufklärung.
Um den Angriffsansatz zu steuern, sammeln Sie so viele Informationen über das Ziel wie möglich aus öffentlichen und privaten Quellen. Internetsuchen, das Abrufen von Domänenregistrierungsinformationen, Social Engineering, nicht-intrusives Scannen von Netzwerken und gelegentliches Dumpster Diving sind alles Quellen. Diese Daten helfen Penetrationstestern dabei, die Angriffsfläche des Ziels und potenzielle Schwachstellen zu kartieren. Die Aufklärung variiert je nach Umfang und Ziel des Pentests; es kann so einfach sein wie einen Anruf zu tätigen, um die Fähigkeiten eines Systems durchzugehen.
# 2. Scannen
Penetrationstester verwenden Tools, um nach Fehlern in der Zielwebsite oder dem Zielsystem zu suchen, wie z. B. offene Dienste, Anwendungssicherheitsbedenken und Open-Source-Schwachstellen. Penetrationstester verwenden eine Reihe von Tools, die auf dem basieren, was sie während der Erkundung und des Testens entdecken.
#3. Eintritt erhalten.
Die Beweggründe von Angreifern können vom Stehlen, Modifizieren oder Vernichten von Daten bis hin zum Verschieben von Geldern oder einfach nur dem Ruf eines Unternehmens schaden. Pentester entscheiden, welche Tools und Taktiken verwendet werden, um Zugriff auf das System zu erhalten, sei es durch einen Fehler wie SQL-Injection oder durch Malware, Social Engineering oder etwas anderes.
#4. Zugang offen halten
Sobald Pentester Zugriff auf das Ziel erhalten haben, muss ihr simulierter Angriff lange genug verbunden bleiben, um ihre Ziele der Datenexfiltration, Änderung oder des Missbrauchs von Funktionen zu erreichen. Es ist notwendig, die möglichen Auswirkungen aufzuzeigen.
Arten von Penetrationstests
Bevor Sie sich für einen Anbieter entscheiden, ist es wichtig, die vielen verfügbaren Arten von Penetrationstests zu verstehen, da sich Engagements in Fokus, Tiefe und Dauer unterscheiden. Im Folgenden finden Sie Beispiele für gängige ethische Hacking-Engagements:
#1. Penetrationstests der internen und externen Infrastruktur
Eine Bewertung der lokalen und Cloud-Netzwerkinfrastruktur, einschließlich Firewalls, Systemhosts und Geräten wie Routern und Switches. Interne Penetrationstests, die sich auf Assets innerhalb des Unternehmensnetzwerks konzentrieren, oder externe Penetrationstests, die sich auf die mit dem Internet verbundene Infrastruktur konzentrieren, können verwendet werden. Um einen Test durchzuführen, müssen Sie die Anzahl der zu untersuchenden internen und externen IPs, die Größe des Netzwerksubnetzes und die Anzahl der Standorte kennen.
#2. Drahtlose Penetrationsprüfung
Ein WLAN-Test (Wireless Local Area Network), der explizit auf das WLAN einer Organisation sowie auf drahtlose Protokolle wie Bluetooth, ZigBee und Z-Wave abzielt. Hilft bei der Erkennung von Rogue Access Points, Verschlüsselungsfehlern und WPA-Schwachstellen. Tester müssen die Anzahl der drahtlosen und Gastnetzwerke, Standorte und eindeutigen SSIDs kennen, die bewertet werden müssen, um einen Einsatz zu bestimmen.
#3. Testen von Webanwendungen
Eine Untersuchung von Websites und benutzerdefinierten Programmen, die über das Internet verbreitet werden, um Codierungs-, Design- und Entwicklungsfehler zu identifizieren, die böswillig ausgenutzt werden könnten. Bevor Sie sich an einen Testanbieter wenden, bestimmen Sie die Anzahl der Apps, die getestet werden müssen, sowie die Anzahl der statischen Seiten, dynamischen Websites und Eingabefelder, die bewertet werden müssen.
#4. Testen von mobilen Anwendungen
Testen mobiler Anwendungen auf Plattformen wie Android und iOS, um Schwachstellen in Bezug auf Authentifizierung, Autorisierung, Datenlecks und Sitzungsverarbeitung aufzudecken. Um einen Test durchzuführen, müssen Anbieter die Betriebssysteme und Versionen kennen, auf denen eine App bewertet werden soll, die Anzahl der API-Aufrufe und die Voraussetzungen für Jailbreaking und Root-Erkennung.
#5. Überprüfung des Builds und der Konfiguration
Untersuchen Sie Netzwerk-Builds und -Konfigurationen auf Fehler auf Web- und App-Servern, Routern und Firewalls. Die Anzahl der zu testenden Builds, Betriebssysteme und Anwendungsserver ist eine wichtige Information für die Festlegung des Umfangs dieser Art von Engagement.
#6. Soziale Entwicklung
Eine Bewertung der Fähigkeit Ihrer Systeme und Mitarbeiter, E-Mail-Phishing-Versuche zu erkennen und darauf zu reagieren. Maßgeschneiderte Phishing-, Spear-Phishing- und BEC-Angriffe (Business Email Compromise) bieten detaillierte Einblicke in potenzielle Gefahren.
#7. Prüfung auf Cloud-Penetration
Benutzerdefinierte Cloud-Sicherheitsbewertungen können Ihr Unternehmen dabei unterstützen, Schwierigkeiten bei der gemeinsamen Verantwortung zu überwinden, indem Schwachstellen in Cloud- und Hybridumgebungen identifiziert und behoben werden, die wichtige Ressourcen offenlegen können.
#8. Penetrationstests in einer agilen Umgebung
Kontinuierliche, entwicklerzentrierte Sicherheitsbewertungen zielen darauf ab, Sicherheitslücken während des Entwicklungszyklus zu erkennen und zu beheben. Diese agile Methodik trägt dazu bei sicherzustellen, dass jede Produktveröffentlichung, sei es eine einfache Fehlerbehebung oder ein umfangreiches Feature, gründlich auf Sicherheit getestet wurde.
Methoden des Penetrationstests
#1. Externe Bewertung
Externe Penetrationstests zielen auf die im Internet sichtbaren Vermögenswerte eines Unternehmens ab, wie z. B. die Webanwendung selbst, die Unternehmenswebsite, E-Mail und Domain Name Server (DNS). Ziel ist es, Zugang zu erhalten und nützliche Informationen zu extrahieren.
#2. Interne Auswertung
In einem internen Test imitiert ein Tester, der Zugriff auf eine Anwendung hinter der Firewall des Unternehmens hat, einen böswilligen Insider-Angriff. Dies eifert nicht immer einem abtrünnigen Mitarbeiter nach. Ein üblicher Ausgangspunkt ist ein Mitarbeiter, dessen Anmeldeinformationen als Ergebnis eines Phishing-Versuchs erlangt wurden.
#3. Blindtest
Bei einem Blindtest wird einem Tester lediglich der Name der Zielorganisation mitgeteilt. Dadurch erhält das Sicherheitspersonal in Echtzeit einen Überblick darüber, wie ein tatsächlicher Anwendungsangriff ablaufen könnte.
#4. Doppelblindtest
Sicherheitsmitarbeiter in einem Doppelblindtest haben keine Vorabinformationen über den simulierten Angriff. Sie werden keine Zeit haben, ihre Befestigungen vor einem versuchten Durchbruch zu verstärken, ähnlich wie in der realen Welt.
#5. Gezieltes Testen
In diesem Szenario arbeiten der Tester und das Sicherheitspersonal zusammen und halten sich gegenseitig über ihre Bewegungen auf dem Laufenden. Dies ist eine hervorragende Trainingsübung, die einem Sicherheitsteam Echtzeit-Feedback aus der Perspektive eines Hackers bietet.
Was ist die Rolle eines Penetrationstesters?
Ein Penetrationstester konzentriert sich im Gegensatz zu anderen Informatikexperten auf einen bestimmten Aspekt der Cybersicherheit. Sie tragen zum Schutz der digitalen Informationen ihres Unternehmens bei, indem sie Systemfehler erkennen, bevor ein Angriff erfolgt, ein Prozess, der als Schwachstellentest bezeichnet wird.
Penetrationstester können ihre Organisationen vor dem finanziellen und öffentlichen Vertrauensschaden bewahren, der mit erheblichen Datenschutzverletzungen einhergeht. Um potenzielle Schwachstellen aufzudecken und zukünftige Angriffe zu vermeiden, denken diese Profis wie gefährliche Hacker.
Penetrationstester werden häufig von Teams für Cybersicherheit oder Informationstechnologie (IT) eingesetzt. Erfahrung mit Hacking-Tools, Codierung und Skripterstellung sowie ein umfassendes Verständnis von Schwachstellen und Betriebssystemen sind wichtige Fähigkeiten für Penetrationstests.
Penetrationstester profitieren von starken Kommunikationsfähigkeiten, zwischenmenschlichen Fähigkeiten und Fähigkeiten zum Verfassen von Berichten.
Wie viel kann ein Pentester verdienen?
Pentester können viel Geld verdienen. Laut Payscale beträgt das durchschnittliche Gehalt eines Penetrationstesters im September 2021 87,440 $. Dieser Betrag ist viel höher als der nationale Medianlohn der BLS vom Mai 2020 für alle Jobs von 41,950 USD.
Penetrationstester der Einstiegsklasse verdienen weniger als erfahrene Profis. Die Bezahlung variiert je nach Ausbildung, wobei Penetrationstester auf höherer Ebene oft mehr verdienen. Standort, Branche und Fachgebiet sind alles Faktoren, die die Vergütung beeinflussen können.
Gehalt eines Penetrationstesters nach Erfahrung
Die Gehaltsspannen für Penetrationstester variieren je nach Erfahrungsstufe. Penetrationstester mit 20 Jahren Erfahrung verdienen durchschnittlich 124,610 US-Dollar pro Jahr, was ungefähr 57,000 US-Dollar mehr ist als die durchschnittliche Vergütung für Berufseinsteiger.
Nur 1-4 Jahre Erfahrung können das Einkommen eines Penetrationstesters dramatisch steigern, von 67,950 $ für einen Einsteiger-Penetrationstester auf 81,230 $ für einen Experten am Anfang der Karriere.
Gehalt eines Penetrationstesters nach Ausbildung
Die Gehälter für Penetrationstester steigen oft mit der Höhe des Abschlusses. Der Wechsel von einem Bachelor-Abschluss in Informationssicherheit zu einem Master-Abschluss kann beispielsweise den Durchschnittslohn um 19,000 US-Dollar pro Jahr erhöhen.
Berücksichtigen Sie die Vor- und Nachteile einer zusätzlichen Ausbildung, indem Sie mögliche bessere Löhne gegen die Zeit und das Geld abwägen, die für den Erwerb eines weiteren Abschlusses erforderlich sind. Zertifizierungen und Bootcamps sind kostengünstigere Möglichkeiten.
Akademische Programme für Penetrationstests bieten häufig Abschlüsse in Informatik, Cybersicherheit oder Informationssicherheit.
Gehalt eines Penetrationstesters nach Standort
Abgesehen von Bildung und Erfahrung kann sich Ihr Wohnort auf Ihre Vergütung auswirken. Das Einkommen eines Penetrationstesters kann durch Faktoren wie Beschäftigungsnachfrage, Lebenshaltungskosten und Bevölkerungsdichte beeinflusst werden. Erwägen Sie Berufe in besser bezahlten Gebieten mit unterdurchschnittlichen Lebenshaltungskosten, um das Verdienstpotenzial zu optimieren.
Wie viel Zugriff haben Pentester?
Abhängig von den Zielen des Pen-Tests werden den Testern unterschiedliche Informationen über das Zielsystem oder der Zugriff darauf bereitgestellt. Unter Umständen beginnt das Pen-Testing-Team mit einer Strategie und bleibt dabei. Manchmal entwickelt sich die Strategie des Testteams, wenn sein Verständnis des Systems während des Penetrationstests wächst. Der Zugang zum Pentest ist in drei Stufen unterteilt.
- Die undurchsichtige Kiste. Das Team hat keine Kenntnis über die interne Struktur des Zielsystems. Es verhält sich ähnlich wie ein Hacker und sucht nach extern ausnutzbaren Schwachstellen.
- Halbtransparente Box. Das Personal ist mit einem oder mehreren Sätzen von Anmeldeinformationen vertraut. Es versteht auch die Kerndatenstrukturen, den Code und die Algorithmen des Ziels. Pentester können Testfälle aus umfangreicher Designdokumentation erstellen, wie z. B. Architekturdiagramme des Zielsystems.
- Transparente Schachtel. Pentester haben Zugriff auf Systeme und Systemartefakte wie Quellcode, Binärdateien, Container und in einigen Fällen auf die Server, auf denen das System ausgeführt wird. Diese Methode liefert in kürzester Zeit das höchste Maß an Sicherheit.
Was sind Penetrationstest-Tools?
Penetrationstest-Tools werden als Teil eines Penetrationstests (Pen-Test) verwendet, um bestimmte Prozesse zu automatisieren, die Testgeschwindigkeit zu verbessern und Schwachstellen aufzudecken, die nur mit manuellen Analysetechniken schwer zu erkennen wären. Statische Analysewerkzeuge und dynamische Analysewerkzeuge sind zwei Arten von Penetrationstestwerkzeugen.
Welche Arten von Pen-Testing-Tools gibt es?
Es gibt kein einheitliches Pentest-Tool. Stattdessen erfordern unterschiedliche Ziele unterschiedliche Toolsets für Port-Scanning, Anwendungs-Scanning, Wi-Fi-Einbrüche und direkte Netzwerkdurchdringung. Pen-Testing-Tools werden grob in fünf Gruppen eingeteilt.
- Aufklärungssoftware zum Auffinden von Netzwerkhosts und offenen Ports
- Scanner für Schwachstellen in Netzwerkdiensten, Webanwendungen und APIs
- Proxy-Tools wie spezialisierte Web-Proxys oder generische Man-in-the-Middle-Proxys sind verfügbar.
- Exploitation-Tools werden verwendet, um System-Standbeine oder Zugriff auf Assets zu erlangen.
- Post-Exploitation-Tools für die Interaktion mit Systemen, die Beibehaltung und Erweiterung des Zugriffs und das Erreichen von Angriffszielen
Was unterscheidet Pen-Tests von automatisierten Tests?
Penetrationstester verwenden automatisierte Scan- und Testwerkzeuge, obwohl Penetrationstests größtenteils ein manuelles Unterfangen sind. Sie gehen auch über die Tools hinaus, um eingehendere Tests als eine Schwachstellenbewertung (dh automatisierte Tests) bereitzustellen, indem sie ihr Verständnis der aktuellen Angriffsstrategien nutzen.
Manuelle Pen-Tests
Manuelle Penetrationstests identifizieren Verwundbarkeiten und Schwächen, die nicht in gängigen Listen (z. B. die OWASP Top 10) enthalten sind, und bewerten die Geschäftslogik, die automatisierte Tests möglicherweise ignorieren (z. B. Datenvalidierung, Integritätsprüfungen). Ein manueller Pen-Test kann auch bei der Identifizierung falsch positiver Ergebnisse von automatisierten Tests helfen. Penetrationstester können Daten untersuchen, um ihre Angriffe zu zielen und Systeme und Websites auf eine Weise zu testen, die automatisierte Testlösungen nach einer vordefinierten Routine nicht können, da sie Profis sind, die wie Gegner denken.
Automatisiertes Testen
Im Vergleich zu einem vollständig manuellen Pen-Testing-Ansatz liefern automatisierte Tests schneller Ergebnisse und erfordern weniger qualifizierte Personen. Automatisierte Testprogramme verfolgen Ergebnisse automatisch und können sie manchmal an eine zentrale Berichtsplattform exportieren. Darüber hinaus können die Ergebnisse manueller Pen-Tests von Test zu Test variieren, aber automatisierte Tests auf demselben System führen immer wieder zu denselben Ergebnissen.
Was sind die Vor- und Nachteile von Pen-Tests?
Da die Anzahl und Schwere von Sicherheitsverletzungen Jahr für Jahr zunimmt, war es für Unternehmen noch nie so wichtig, einen Überblick darüber zu haben, wie sie Angriffen standhalten können. Vorschriften wie PCI DSS und HIPAA erfordern regelmäßige Pen-Tests, um die Einhaltung sicherzustellen. Unter Berücksichtigung dieser Einschränkungen werden im Folgenden einige Vor- und Nachteile dieser Art von Fehlererkennungstechnik aufgeführt.
Vorteile von Pen-Tests
- Vorgelagerte Sicherheitsansätze wie automatisierte Tools, Konfigurations- und Codierungsstandards, Architekturanalysen und andere einfachere Schwachstellenbewertungsaufgaben weisen Mängel auf.
- Findet sowohl bekannte als auch unbekannte Softwarefehler und Sicherheitslücken, einschließlich geringfügiger Probleme, die für sich genommen vielleicht nicht viel Anlass zur Sorge geben, aber als Teil eines größeren Angriffsmusters ernsthaften Schaden anrichten können.
- Kann jedes System angreifen, indem er das Verhalten der meisten feindlichen Hacker nachahmt und einen realen Feind so genau wie möglich simuliert.
Die Nachteile von Pen-Tests
- Ist arbeitsintensiv und teuer
- Verhindert nicht vollständig, dass Fehler und Fehler in die Produktionsumgebung gelangen.
Was sind die zwei häufig verwendeten Penetrationstests?
Die beiden am weitesten verbreiteten Arten von Penetrationstests sind automatisierte und manuelle.
Warum verwenden wir Penetrationstests?
Das Ziel von Penetrationstests besteht darin, Unternehmen dabei zu unterstützen, festzustellen, wo sie am anfälligsten für Angriffe sind, und diese Schwachstellen proaktiv anzugehen, bevor Hacker sie ausnutzen.
Zusammenfassen,
Ein Penetrationstest (Pen-Test) ist ein gesetzlich sanktionierter simulierter Angriff auf ein Computersystem zur Bewertung seiner Sicherheit. Pen-Tests liefern umfassende Informationen zu realen Sicherheitsbedrohungen, die ausgenutzt werden können. Durch einen Penetrationstest können Sie feststellen, welche Sicherheitslücken kritisch, welche geringfügig und welche falsch positiv sind.
Ähnliche Artikel
- BESTE PRODUKTTEST-WEBSITES UND -UNTERNEHMEN IM JAHR 2023
- GAME TESTER: Bedeutung, Jobs, Gehalt und kostenlose Tipps
- VIDEOSPIELTESTER: Bedeutung, Gehalt, wie man eins wird & Remote-Jobs
- MARKTPENNETRATIONSSTRATEGIE: Ein Leitfaden zur Marktdurchdringung (+Gratis-Tipps)
Bibliographie
