4 Schritte zum erfolgreichen Durchführen eines Netzwerk-Penetrationstests

Netzwerk-Penetrationstests sind ein wesentlicher Bestandteil der heutigen Informationssicherheitsarchitektur. Ihre Bedeutung ist parallel zum zunehmenden Ausmaß und der Raffinesse von Datenschutzverletzungen gestiegen und unterstreicht die Notwendigkeit, Informationssicherheitssysteme zu stärken. Die Nationale Schwachstellendatenbank (NVD) des US-amerikanischen National Institute of Standards and Technology (NIST) verzeichnete allein im Jahr 2020 insgesamt 180.532 Schwachstellen.  

Penetrationstests helfen dabei, diese Sicherheitslücken in einem System aufzudecken. Dieser Sicherheitstest wird von der guten Art von Hackern durchgeführt, die als ethische Hacker bekannt sind. Diese Unterscheidung ist notwendig, da "Hacking" früher einen negativen, gegenkulturellen Beigeschmack hatte. Als Kind, das leicht zu beeindrucken war, war eines der Dinge, die mich in die IT zogen, die Faszination des Außenseiter-Hackers, wie er in Filmen und im Fernsehen dargestellt wurde.

Einer meiner Favoriten ist "Catch Me If You Can", vor allem, weil er auf den realen Abenteuern des geschickten Fälschers Frank Abagnale, Jr. basiert, der Berichten zufolge im Alter von 17 Jahren zum erfolgreichsten Bankräuber der Geschichte wurde.

Viel wichtiger ist jedoch, dass der Film die Bedeutung und die Lektionen aus unterschiedlichen Konzepten rund um Penetrationstests hervorhebt. 

Penetrationstests: Um einen Dieb zu fangen, muss man wie ein Dieb denken

Technisch gesehen war Frank kein Hacker, aber sein Talent, Schwachstellen in einem System zu erkennen und auszunutzen, entspricht der Herangehensweise sowohl von ethischen als auch von böswilligen Hackern. 

Darüber hinaus spiegelt das Katz-und-Maus-Spiel zwischen Frank und dem ihn jagenden FBI-Agenten Carl Hanratty das Aufeinandertreffen von Cyberkriminellen und den für die Verteidigung unserer digitalen Festungen zuständigen Sicherheitsexperten wider. 

Penetrationstests simulieren die Methoden und Vorgehensweisen, die ein Hacker anwenden würde, um ein System zu kompromittieren. Genauso wie Agent Hanratty müssen sich ethische Hacker in die Denkweise der "Bösewichte" hineinversetzen und ihre Herangehensweise antizipieren. 

Obwohl ethische Hacker eine entscheidende Rolle bei Netzwerk-Penetrationstests spielen, sind auch die Werkzeuge, die sie einsetzen, von immenser Bedeutung. Wenn Sie Jira für das Projektmanagement nutzen, könnte unser Leitfaden zum Thema Testmanagement-Tools für Jira dabei helfen, Ihre ethischen Hacking-Aktivitäten effizienter zu gestalten.

Penetrationstests: Die beste Offensive ist immer eine starke Verteidigung

Frank fand letztendlich Erlösung, indem er eine anerkannte Autorität für Cyberkriminalität, Betrug, Fälschungen und sichere Dokumente wurde. Er setzte seine früheren kriminellen Fähigkeiten zum Guten ein und half Banken, Schwachstellen in ihren Systemen zu identifizieren.

Netzwerk-Penetrationstests verfolgen das gleiche Ziel: Sicherheitslücken zu schließen, damit Organisationen ihre sensiblen Daten schützen können. Daher spielen ethische Hacker und das ethische Hacken heutzutage eine zentrale Rolle in der Cybersecurity-Landschaft.

Doch diejenigen, die unsere Informationen im digitalen Zeitalter schützen, sehen sich einem Umfeld gegenüber, in dem das Kräfteverhältnis bereits zu ihren Ungunsten verschoben ist.

"Um die ihnen anvertraute IT-Infrastruktur abzusichern, müssen Cybersecurity-Expert:innen immer Recht behalten. Ein Hacker hingegen muss nur einmal erfolgreich sein."

Die Schwierigkeit, immer nur in der Defensive zu sein, wird durch einen Mangel an IT-Fachleuten mit der entsprechenden Fachkompetenz und Erfahrung zusätzlich erschwert. Laut Forbes gibt es allein in den Vereinigten Staaten 465.000 unbesetzte Stellen im Bereich Cybersecurity.

Netzwerk-Penetrationstests sind zumindest ein Schritt in die richtige Richtung. 

In diesem Artikel werden die folgenden Themen behandelt:

• Was ist ein Netzwerk-Penetrationstest?
• Arten von Netzwerk-Penetrationstests
• Wer ist typischerweise für die Durchführung eines Penetrationstests verantwortlich?
• 4-Schritte-Anleitung für einen erfolgreichen Penetrationstest
  • Schritt 1: Informationsbeschaffung und Definition des Umfangs
  • Schritt 2: Aufklärung und Erkundung
  • Schritt 3: Ausnutzung, Ausführung und Eskalation
  • Schritt 4: Berichterstattung und Behebung

Was ist ein Netzwerk-Penetrationstest?

Ein Netzwerk-Penetrationstest (auch Pen-Test genannt) hat das Ziel, Schwachstellen in einem Softwaresystem zu identifizieren, indem ein Cyberangriff simuliert wird. Dieser simulierte Angriff prüft zudem die Belastbarkeit der Informationssicherheit einer Organisation und bewertet, inwieweit sie einem Einbruch oder einer Kompromittierung standhalten kann.

Um dies zu erreichen, setzen White-Hat- oder ethische Hacker absichtlich die Methoden und Techniken ein, die von böswilligen Akteuren verwendet werden. In diesem Fall jedoch, um Schwachstellen oder Fehler im Sicherheitsprofil des Systems aufzudecken und anschließend zu beheben.

Obwohl das Ziel darin besteht, ein System zu kompromittieren, müssen ethische Hacker über einen rechtmäßigen und autorisierten Zugang verfügen. Ein Pentester benötigt daher ein dokumentiertes Mandat oder eine Autorisierung der Organisation, um die ethischen Hacking-Angriffe durchführen zu dürfen. 

Letztlich ermöglichen die Ergebnisse Netzwerksicherheits- und Cybersicherheitsfachleuten, Empfehlungen zu geben, welche die Netzwerksicherheit und die generelle Sicherheit der Organisation gegen zukünftige Angriffe verbessern.

Neben Bewertungen auf Netzwerkebene umfasst Penetration Testing auch Tests auf Anwendungsebene sowie Angriffsvektoren wie VPN-Zugänge. 

Der Penetrationstest verfolgt typischerweise zwei Hauptziele:

1. Festzustellen, ob böswillige Hacker unbefugten Zugriff auf ein System erlangen können, wie sie die Sicherheitsvorkehrungen zu diesem Zweck unterlaufen könnten und welche Auswirkungen diese Aktivitäten auf Systemprotokolle, Dateien, Kundendaten und/oder geistiges Eigentum haben.
2. Zu überprüfen, ob Sicherheitsmaßnahmen und Kontrollen wie das Schwachstellenmanagement zur Stärkung der Sicherheit der IT-Infrastruktur vorhanden sind. 

Ein Penetrationstest ist eine hervorragende Möglichkeit, um die Risikosituation eines Unternehmens kennenzulernen und zu verstehen. Er ermöglicht es einer Organisation festzustellen, ob ihre digitalen Werte kompromittiert werden können, und falls ja, anschließend die Risiken, die von diesen Bedrohungen für die gesamte Cybersicherheit ausgehen, zu klassifizieren. 

Im Folgenden sind einige zusätzliche Vorteile aufgeführt, die eine Durchführung von Penetrationstests mit sich bringt:

• Verhinderung von Netzwerk- und Datenpannen
• Verständnis und Festlegung der Netzwerkbasislinie
• Testen von Sicherheitskontrollen und -komponenten
• Schutz von System- und Netzwerksicherheit

A WEEKLY 5 MINUTE READ

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Phone

This field is for validation purposes and should be left unchanged.

Your email*

By submitting you agree to receive occasional emails and acknowledge our Privacy Policy. You can unsubscribe at anytime.

Arten von Netzwerksicherheits-Penetrationstests

Es gibt verschiedene Möglichkeiten, Penetrationstests anzugehen. Beim Testen der gesamten Sicherheitsinfrastruktur einer Organisation kann dies aus zwei Perspektiven geschehen: intern oder extern. 

1. Interne Netzwerksicherheits-Penetrationstests: Dieser Test hilft dabei, den Schaden zu bewerten, den Angreifer anrichten können, wenn sie erstmalig Zugang zum Netzwerk erhalten. Ziel interner Tests ist es, sowohl interne Bedrohungen innerhalb des Unternehmens zu spiegeln als auch das Ausmaß böswilliger oder unbeabsichtigter Handlungen abzuschätzen, die zur Kompromittierung von Informationswerten führen können.
2. Externe Netzwerksicherheits-Penetrationstests: Diese Tests überprüfen die Wirksamkeit der Schutzmechanismen an der Netzwerkperipherie. Es wird getestet, wie gut externe Sicherheitskontrollen Angriffe erkennen und verhindern können. 

Eine weitere Möglichkeit, Penetrationstests zu kategorisieren, basiert auf dem Grad der bereitgestellten Informationen und dem Kenntnisstand des Testers. 

• White-Box-Testing: Dies ist der detaillierteste Testansatz, da die Tester die innersten Funktionsweisen eines Systems überprüfen und einsehen können. White-Box-Hackern werden daher möglichst viele Kenntnisse über das System zur Verfügung gestellt.   
• Black-Box-Testing: Hier startet der ethische Hacker mit minimalen Vorkenntnissen. Diese Art von Test wird eingesetzt, um Brute-Force-Angriffe zu simulieren, da der Hacker die Komplexität der internen Infrastruktur nicht kennt.
• Gray-Box-Testing: Dies stellt einen Mittelweg zwischen den beiden anderen Testansätzen dar. Das Testteam erhält also nur teilweise Informationen über das System. 

Penetrationstests können auch anhand ihrer Komponenten und Angriffsvektoren klassifiziert werden.

• Social Engineering: Dies ist menschenbezogen und stellt daher eines der schwächsten Glieder in der Cybersicherheit eines Unternehmens dar. Häufig wird diese Methode mittels E-Mail-Phishing ausgeführt. 
• Netzwerkinfrastruktur-Tests: Dabei wird das Netzwerk nach Lücken und Schwachstellen untersucht, die über interne und externe Zugangspunkte ausgenutzt werden könnten. Zielbereiche sind typischerweise Firewall-Umgehungstests, Täuschung des Intrusion Prevention Systems (IPS) und Angriffe auf DNS-Ebene.
• Tests von drahtlosen Netzwerken: Hierbei werden ungeschützte drahtlose Netzwerke ausgenutzt, um Schwachstellen aufzudecken und das potenzielle Schadensausmaß zu bewerten. 
• Sicherheitstests für Webanwendungen: Diese konzentrieren sich auf Schwächen in der Logik von Anwendungen und im Sitzungsmanagement, um Angriffe wie SQL-Injection zu ermöglichen.

Wer ist typischerweise für die Durchführung eines Penetrationstests verantwortlich?

Penetrationstests werden von ethischen Hackern durchgeführt, die die Befugnis erhalten haben, simulierte Angriffe auf die Webanwendungen oder die Netzwerksicherheit einer Organisation vorzunehmen. Eine rechtliche Genehmigung ist erforderlich, da Penetrationstests oft von Dritten durchgeführt werden, die Penetrationstest-Dienstleistungen anbieten.

Die Penetrationstester, die versuchen, ein System zu kompromittieren, gehören zum sogenannten Red Team. Die Mitglieder des Red Teams sind offensive Sicherheitsexperten, die für das Testen der Verteidigungsmechanismen einer Organisation verantwortlich sind. Das Red Team identifiziert Angriffswege, die genutzt werden können, um die Sicherheit zu kompromittieren und Schwachstellen aufzudecken, indem es Techniken aus realen Angriffsszenarien anwendet.

Das Blue Team hingegen besteht aus Cyber-Experten, die sich auf Sicherheits- und Verteidigungsmechanismen konzentrieren. In der Praxis verteidigen sie sich gegen das Red Team und erhalten interne Sicherheitsmaßnahmen gegen Cyberangriffe aufrecht. 

4-Schritte-Anleitung für einen erfolgreichen Penetrationstest

Ein Penetrationstest als systematische Übung erfordert standardisierte Methoden und Rahmenwerke, um effektiv durchgeführt werden zu können. Penetrationstests folgen in der Regel bewährten Vorgehensweisen, um echte oder potenzielle Schwachstellen in Anwendungssystemen zu adressieren.

Für die Durchführung eines erfolgreichen Netzwerk-Penetrationstests sind in der Regel vier Hauptschritte erforderlich. 

Schritt 1: Informationsbeschaffung und Festlegung des Umfangs

Die Informationsbeschaffungsphase findet normalerweise zu Beginn des Sicherheitstests statt. Sie kann jedoch auch ein iterativer und sich selbst verstärkender Prozess sein, der während des gesamten Netzwerk-Penetrationstests auftritt, da erfolgreiche Eindringversuche weitere Informationen über das Ziel liefern. 

In diesem Schritt arbeiten Sicherheitsexperten und Tester mit der Organisation zusammen, um alle Netzwerkinfrastrukturen wie Firewalls und andere Geräte zu identifizieren und zu erfassen.  

Der Prozess der Informationsbeschaffung umfasst auch die Definition und Klärung der Erwartungen des Kunden.

Penetrationstest-Umfang

Um erfolgreich zu sein, muss Penetrationstesting eine disziplinierte und fokussierte Aktivität sein. Das liegt daran, dass es praktisch oder finanziell nicht möglich sein kann, den gesamten Umfang einer IT-Infrastruktur zu überprüfen. Ein wichtiger Teil der Informationsbeschaffungsphase ist daher die Festlegung des Umfangs des Penetrationstests. 

Die Festlegung des Umfangs ist die Zusammenfassung aller Grenzen und Bereiche, die das Sicherheitsteam während des Tests untersucht. Der Umfang des Tests bestimmt somit das Maß der erlaubten Intrusion, und bei der Definition des Umfangs werden die Grenzen des Penetrationstests festgelegt.

Aus Zeitgründen und anderen praktischen Überlegungen können bestimmte Bereiche des Systems, wie beispielsweise angeschlossene Geräte, vom Test ausgeschlossen werden. 

Schritt 2: Aufklärung und Entdeckung

Um zu verstehen, wie Schwachstellen beseitigt werden können, müssen ethische Hacker eine detaillierte Aufklärung durchführen. Dies ist besonders bei Black-Box-Penetrationstests notwendig, bei denen der ethische Hacker die benötigten Informationen zur Ausnutzung von Schwachstellen selbstständig herausfinden muss. 

Aufklärung und Entdeckung sind explorative Methoden, um die allgemeine Sicherheitsinfrastruktur einer Organisation zu untersuchen. In dieser Phase können sich Sicherheitsexperten verdeckt einen Überblick über Ressourcen und die Sicherheitslage ihres Ziels verschaffen.

Aktive Aufklärungstools

Aktive Aufklärung umfasst das direkte Testen und Interagieren mit dem Zielsystem, um verwertbare Rückmeldungen zu erhalten.

Um einen erfolgreichen Netzwerk-Penetrationstest durchzuführen, ist es entscheidend, die wichtigsten Techniken und Penetrationstest-Tools für Unternehmen zu kennen, die für solche Aufklärungen notwendig sind. Hier sind einige der Tools, die für die Durchführung von Penetrationstests verwendet werden:

• Port-Scans: Dies ist eine beliebte Aufklärungsmethode, um die offenen Ports auf einem System zu ermitteln. Port-Scans ermöglichen es einem Penetrationstester, die Stärke der Netzwerksicherheit und die auf einer Maschine laufenden Dienste zu bestimmen. Dieses Tool zeigt, welche Ports offen sind und Informationen empfangen ("lauschen"), und erleichtert zudem die Erstellung von Fingerabdrücken. Das Fingerprinting eines Netzwerks erlaubt es dem Benutzer, Sicherheitsgeräte wie Firewalls zwischen dem Absender und dem Ziel zu entdecken. "Stealth"-Port-Scans, die in den Protokolldateien eines Systems unentdeckt bleiben können, sind für Hacker von besonderem Interesse.
  • Beispiele für Port-Scanning-Tools sind Nmap oder Network Mapper, TCP Port Scanner, Port Authority, NetScanTools und andere.
• Paketmitschnitt (Packet Sniffing): Mit diesen Tools können Sie die über ein Netzwerk laufenden Datenpakete erkennen und beobachten. Packet-Sniffing-Tools werden auch als Paket- oder Netzwerkprotokoll-Analysatoren bezeichnet. Netzwerkadministratoren verwenden diese Werkzeuge zur Überwachung ihrer Netzwerke, um gefälschte Pakete, abweichende IP-Adressen und verdächtige Paketgenerierung von einer einzigen IP-Adresse aus zu erkennen. Hacker nutzen sie jedoch, um verwundbare Netzwerkdienste wie Ports und Protokolle zu suchen und "Man-in-the-Middle"-Angriffe umzusetzen.
  • Beispiele für Packet-Sniffing-Tools sind Wireshark, Nmap oder Network Mapper,  
• Ping Sweeping: Ping Sweeps werden verwendet, um eine Reihe von IP-Adressen zu identifizieren, die mit aktiven Hosts übereinstimmen. Diese Netzwerkscanning-Technik kann mehrere Netzwerkadressen gleichzeitig anpingen. Ein Hacker nutzt diese Netzwerkuntersuchung, um eine Reihe von ICMP ECHO-Paketen an Server zu senden, um zu sehen, welche antworten. So kann er feststellen, welche Systeme aktiv sind.
  • Beispiele für Ping-Sweep-Tools sind SolarWinds IP Address Manager (IPAM), ManageEngine OpManager und PingPlotter Pro.
• Schwachstellen-Scanning: Hierbei handelt es sich um Tools, die zur Identifizierung von Konfigurationsproblemen und anderen bekannten Schwachstellen in Netzwerken und Netzwerk-Hosts wie das Vorhandensein von Malware eingesetzt werden. Allerdings sollten Sie die Unterschiede zwischen Penetrationstests und Schwachstellen-Scanning verstehen.
  • Beispiele sind Nessus, Acunetix, Nexpose und viele weitere.
• Webanwendungssicherheitstests: Diese Tools sind unverzichtbar, um die Sicherheit von Webanwendungen in jeder Phase zu prüfen und Schwachstellen in deren Konfiguration zu entdecken. Methoden wie statische und dynamische Analyse werden eingesetzt, um Schwachstellen im Anwendungscode aufzuspüren.
  • Integrierte Plattformen wie Burp Suite bündeln mehrere Anwendungen zur Prüfung und Absicherung von Webanwendungen, darunter leistungsfähige Webanwendungsscanner, einen Intercepting-Proxy, Intruder-Tool und Sequencer-Tool. 
• Social Engineering und Internet-Informationsabfragen: Social-Engineering-Angriffe werden hauptsächlich eingesetzt, um sich heimlich Zugang zu Informationssystemen zu verschaffen, indem Benutzer dazu verleitet werden, ihre Zugangsdaten preiszugeben. 

Discovery ist die logische Folge eines erfolgreichen Reconnaissance. Wenn Sie einen Weg identifizieren, das Netzwerk zu kompromittieren, beginnen Sie damit, diese Sicherheitslücken auszunutzen. 

Schritt 3: Ausnutzung, Ausführung und Eskalation

Der nächste Schritt beim Penetrationstest ist die tatsächliche Ausnutzung der während der Erkundung identifizierten Schwachstellen in den Informationssicherheitssystemen. Ziel dieser Phase ist es, herauszufinden, wie weit der ethische Hacker unbemerkt in das System eindringen kann. 

Diese simulierten Angriffe erfolgen in einer kontrollierten Umgebung, in der der Tester entweder den einfachsten Angriffsvektor oder den kritischsten Exploit wählt, basierend auf den in der Voruntersuchung gesammelten Informationen. Zu den Angriffen gehören etwa SQL-Injection, Cross-Site Scripting, Buffer Overflow, Eskalation von Berechtigungen und weitere.

Das am häufigsten eingesetzte Framework zur gezielten Auswahl des Exploits und der Verwendung der Payload ist in dieser Phase Metasploit. 

Sobald sich der Angreifer einen Zugang im System verschafft hat, kann er sich weiter darin bewegen und andere Ressourcen kompromittieren, wie zum Beispiel anfällige Linux- oder Windows-Betriebssysteme. 

Schritt 4: Berichterstellung und Behebung

Nachdem der Penetrationstest abgeschlossen ist, sollten die Tester einen Bericht mit den Ergebnissen für die Organisation erstellen. Der Bericht sollte Einzelheiten zum Ablauf, den entdeckten Schwachstellen, gesammelten Beweisen und Empfehlungen zur Behebung enthalten.

Die Behebung umfasst den wichtigen Prozess, die während des Tests aufgedeckten Sicherheitslücken zu schließen. Dies sollte eine engagierte Diskussion darüber anstoßen, welche Maßnahmen zur Behebung am besten geeignet sind, um jede einzelne der entdeckten Schwachstellen effektiv zu mitigieren.

Die Behebung kann eine Vielzahl von Maßnahmen umfassen, wie zum Beispiel:

• Einspielen von Software-Patches und Updates
• Durchführung von Konfigurations- oder betrieblichen Änderungen
• Entwicklung und Einführung neuer Sicherheitsmaßnahmen, Verfahren und Werkzeuge

Stärken Sie Ihr Netzwerk mit Penetrationstests

Das Ziel von Penetrationstests ist es, Ihr Netzwerk- und Informationssicherheitssystem sicherer zu machen, indem Sicherheitsberater deren Wirksamkeit prüfen und bewerten. Sobald diese Schwachstellen aufgedeckt sind, liegt es an der Organisation, die identifizierten Risiken zu beseitigen. 

Abonnieren Sie den The QA Lead Newsletter, um mehr über End-to-End-Tests zu erfahren, die für Skalierbarkeit entwickelt wurden.

Verwandte Artikel:

• 5 HAUPTPHASEN DES SCHWACHSTELLENMANAGEMENT-PROZESSES
• WAS IST ZEPHYR SCALE?

Ebenfalls einen Blick wert:

• MODERNE QUALITÄTSSICHERUNG: WIE SIE IHRE QUALITÄTSSTRATEGIE FÜR AGILE FRAMEWORKS NEU DEFINIEREN
• WAS IST TESTGEAR? ÜBERBLICK & FUNKTIONSÜBERSICHT

Verwandte Tool-Listen:

• TOP SQL-EDITOR UND WIE SIE DEN RICHTIGEN AUSWÄHLEN
• SCHWACHSTELLEN-SCANNER, DIE QA-EXPERTEN VERWENDEN
• WIE MOBILE APP-TESTS AUTOMATISIERT WERDEN
• TOOLS FÜR PENETRATIONSTESTS VON WEBANWENDUNGEN
• PENETRATIONSTEST-TOOLS FÜR QA