Dienstleistungen: Penetration Test
Ziel
Identifikation von ausnutzbaren Sicherheitslücken sowie der Tragweite erfolgreicher Attacken gegen Netze und Applikationen durch Angreifer.
Ausgangslage
Der Kunde hat ein abgesichertes System vorliegen, das er mittels Ethical Hacking bezüglich bestehender Restrisiken untersucht haben möchte. Um eine wissenschaftliche und wirtschaftliche Optimierung des Auftrags erreichen zu können, wird eine Whitebox-Analyse empfohlen: Der Kunde legt nach Möglichkeiten sämtliche Details zum Zielobjekt offen (z.B. IP-Adressen und exponierte Dienste). Dadurch kann durch unser Tiger Team auf eine langwierige Datensammlung verzichtet und stattdessen das Expertenwissen auf die Fachgebiete fokussiert werden.
Vorgehen
Das Umsetzen von Penetration Tests basiert zu grossen Teilen auf der systematischen Vorgehensweise, wie sie im Buch Die Kunst des Penetration Testing von Marc Ruef dokumentiert wurde.
- Scanning: Identifizieren von möglichen Angriffsflächen mittels automatisierten und manuellen Methoden.
- Auswertung: Eingrenzen potentieller Angriffsvektoren, die sich im Rahmen eines konkreten Angriffsszenarios angehen lassen.
- Exploiting: Zielgerichtetes Ausnutzen ausgemachter Sicherheitslücken zum Beweis derer Existenz und der Determinierung der Tragweite (Proof-of-Concept).
Resultat
Der Kunde erhält in einem Dokument alle gefundenen Schwachstellen der Zielumgebung. In der tabellarischen Auflistung werden die jeweiligen Mängel dargelegt. Sie sind den einzelnen Netzwerkbereichen, Systemen, Diensten und Applikationen zugeordnet. Ein jeder Eintrag enthält eine individuelle Risikoeinstufung, eine technische Beschreibung, Details zur Ausnutzung der Schwachstelle sowie Empfehlungen bezüglich Gegenmassnahmen.
Vor-/Nachteile
Ein Penetration Test lässt eine konkrete und verlässliche Aussage bezüglich der existenten Sicherheit eines Systems zu. Im Gegensatz zu einem breitflächigen Vulnerability Assessment (z.B. Netzwerkscan) wird sich vorwiegend auf die ausnutzbaren Sicherheitslücken fokussiert. Die Ausnutzbarkeit von Schwachstellen sowie die Tragweite erfolgreicher Attacken können exakt bestimmt werden, wodurch sich weitere Schritte planen lassen (Risiken akzeptieren oder Gegenmassnahmen einleiten).
Beispielreferenz
Penetration Test Citrix: KMUs und grössere Firmen haben die Vorteile von Citrix für sich entdeckt. Durch uns werden die zentralen Citrix-Systeme auf ihre konkrete Sicherheit hin untersucht. Mit einem einfachen Netzwerkscan wird zuerst die allgemeine Angriffsfläche für externe Angreifer ermittelt. Kunden stellen uns in einem weiteren Schritt legitime Benutzerkonten zur Verfügung, um den Penetration Test im Rahmen von Citrix durchzuführen. Dabei geht es darum zu erkennen, ob erweiterte Prozesse gestartet, eigener Code ausgeführt und die lokalen Rechte auf dem System erweitert werden können. Mit der Veröffentlichung des Fachartikels Citrix under Attack, der in mehrere Sprachen übersetzt wurde, haben wir als eines der ersten Sicherheitsunternehmen weltweit die konkreten Risiken von Citrix-Installationen aufgezeigt.
