Antwort

IT-Sicherheit: Wann und wie Sie Penetrationstests vornehmen sollten

Können Sie erläutern, was „Penetrationstests“ sind und wann man diese vornehmen sollte?

Diesen Artikel hier weiterlesen

Erhalten Sie diesen Artikel exklusiv sowie sämtliche Inhalte wie E-Guides, News, Tipps und mehr.
  • Um diesen Artikel vollständig zu lesen, melden Sie sich bitte kostenlos an. Falls Sie schon ein Mitlgied sind, loggen Sie sich einfach oben links auf der Webseite an.

Mit dem Einreichen Ihrer Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Sie sich außerhalb der Vereinigten Staaten befinden, stimmen Sie hiermit zu, dass Ihre persönlichen Daten in die Vereinigten Staaten übertragen und dort verarbeitet werden. Datenschutz

Penetrationstests sind die Kunst, eine Anwendung einem umfassenden Härtetest zu unterziehen. Dabei werden Schwachstellen aufgedeckt, die es einem böswilligen Benutzer ermöglichen können, die IT-Sicherheitsvorkehrungen dieser Anwendung zu überwinden. Zur Auffrischung: IT-Sicherheit kann in ihrer grundlegendsten Form mit Begriffen wie Vertraulichkeit, Verfügbarkeit und Integrität umschrieben werden. Angesichts der weltweiten Fälle von Datendiebstahl sind die meisten Organisationen jedoch tendenziell zu sehr auf den Aspekt Vertraulichkeit fokussiert. Dabei sind Integrität und Verfügbarkeit mindestens genauso unverzichtbare Puzzle-Teile.

Viele IT-Sicherheitsexperten tendieren dazu, den Fokus bei Penetrationstests nur auf die Netzwerk-Schichten zu legen. Aber das reicht nicht aus – weil Hacker sich im Stack weiter nach oben arbeiten, sind solche Tests inzwischen eine komplexe Angelegenheit geworden. Anstatt einfach nur nach offenen Ports für den Angriff auf ein Netzwerk zu suchen, sind Hacker inzwischen dazu übergegangen, ihre Angriffe zum Beispiel per Injektion in ansonsten validem Web-Traffic zu verpacken.

Dies hängt mit zwei Tatsachen zusammen: Erstens schotten die meisten Unternehmen ihre Netzwerke inzwischen ab und schließen Lücken, die traditionell zum Eindringen ausgenutzt wurden. Zweitens ist echtes Geld am ehesten mit dem Einsammeln und Weiterverkauf von Daten zu verdienen, und an die kommt man am besten über entsprechende Web-Anwendungen.

Deshalb passt das traditionelle Modell, nur ein Netzwerk zu „hacken“ heute nicht mehr. Als Penetrationstester müssen Sie das nötige Verständnis und Wissen entwickeln, wie Sie sowohl das Netzwerk als auch Anwendung testen können. Trotzdem sollten Sie auch den Netzwerk-Test selbst nicht unterschätzen. Ein offener Port wirkt wie eine offene Tür. Und selbst wenn sich diese Gelegenheit nur selten bietet, wird ein Hacker stets mit Grundlagen wie diesen beginnen. Also sollte Ihr Penetrationstest unbedingt auch Eindring-Versuche in die Netzwerk-Schicht umfassen.

Penetrationstests auf Anwendungsseite können am besten mit einer methodischen Herangehensweise vorgenommen werden – hierbei ist die OWASP Top Ten sehr hilfreich. Diese führt die jährliche Top Ten der Schwachstellen auf, basierend auf weltweiten Erfahrungen und Lücken. Eignen Sie sich die nötige Kompetenz zum Testen eben dieser wichtigsten zehn Schwachstellen an und prüfen Sie damit Ihre Anwendung. Arbeiten Sie dies in den manuellen Testabschnitt einer OWASP Application Security Verification-Analyse Ihrer Anwendung ein. So können Sie eine möglichst umfassende IT-Sicherheit erreichen.

Der beste Zeitpunkt für diesen Testvorgang kann von Team zu Team variieren. Zum Teil ist er vom Lebenszyklus des Teams abhängig, zum Teil von der Verfügbarkeit der Anwendung und  Ressourcen. Es gibt eine Reihe von wichtigen Pflichtübungen, die im Laufe des Lebenszyklus durchgeführt werden sollten. Erstellen Sie zum Beispiel während der Design-Phase ein Bedrohungsmodell. Identifizieren Sie die Komponenten der Anwendung. Ermitteln Sie, wann Daten Vertrauensgrenzen überschreiten und bewerten Sie die Bedingungen, unter denen die Daten bewegt werden (Authentifizierung, Berechtigung, Datenbereinigung, usw.). Einige der Penetrationstests bei Anwendungen können bereits in der Implementierungsphase stattfinden. Sobald eine Anwendungskomponente den Status „Code complete“ erreicht, kann das Test-Team mit einer OWASP-Evaluierung dieser Komponente beginnen. Weiter reichende Anwendungsanalysen müssen dann gegebenenfalls bis zur Abnahme durch den Kunden oder sogar bis zur Deployment-Phase des Projektes warten.

So oder so aber MUSS  Ihre Deployment-Phase mit einer Validierung enden, ob die Konfigurationseinstellungen korrekt sind. Es gibt kaum etwas Schlimmeres, als wenn in Ihrer Anwendung versehentlich eine Tür unverschlossen bleibt, weil ein Netzwerk-Techniker oder Entwickler es versäumt hat, bei einer eCommerce-Applikation SSL zu aktivieren.

Artikel wurde zuletzt im März 2011 aktualisiert

Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.