Führung zu Penetrationstests T.2: Fifty Shades of Grey Box
DE
EN PL
Kontakt
Leitfaden für moderne Penetrationstests [Teil 2]: Fifty Shades of Grey Box - Banner
Zurück

Leitfaden für moderne Penetrationstests [Teil 2]: Fifty Shades of Grey Box

Ursprünglich publiziert: August 15, 2018 Aktualisiert: January 10, 2023 Dauer 7 Min.
Die Farbe der Wahrheit ist grau.– André Gide
Sie brauchen also einen Pentest-Service und fragen sich jetzt: Soll ich mit einem Black-Box-Test fortfahren? Moment, gibt es da etwa noch andere “Farben”? Die Auswahl der geeigneten Methode für Sicherheitstests kann zu einer lästigen Pflicht werden, wenn Sie den Unterschied nicht kennen.

Der Ausführungsstandard für Penetrationstests Penetration Testing Execution Standard (PTES) kann dabei hilfreich sein, er ist ein Leuchtturm für alle, die sich ihren Weg durch die Pentest-Planung als Service suchen. Der PTES führt die Geschäftsanforderungen der Kunden und mit den Talenten der Pentester zusammen und liefert ausreichend detaillierte Empfehlungen zur Vorbereitung von Pentest-Projekten.

Infopulse führt seine Reihe der Blog-Artikel fort die sich der Kunst und Wissenschaft der Penetrationstests widmen. In diesem Teil werden drei Hauptarten von Penetrationstests und ihre Unterschiede beschrieben. Dabei hilft uns auch der oben genannte PTES.

Was ist in einer schwarzen / grauen / weißen Box?

Laut PTES sollte eine Reihe von Schritten, Parametern und Optionen während der Vorbereitungsphase berücksichtigt werden. Insbesondere müssen wir die Kommunikationskanäle, Interaktions- und Kontrollregeln, die spezifischen Möglichkeiten zur Überwachung von Vorfällen und zur Reaktion darauf usw. untersuchen. Dann erstellen die Pentester die Beschreibung der Informationssammlung, der Bedrohungsmodellierung, der Methoden der Schwachstellenanalyse, der Ausnutzung von Sicherheitslücken. In der Beschreibung werden so die beste Art des Angriffs, der Nachbearbeitung, der Infrastrukturanalyse, die anschließende Durchdringung der Infrastruktur des Kunden, ihre Reinigung und Robustheit erforscht. Außerdem spezifiziert der PTES-Standard die Struktur der Berichte, die aus den Testergebnissen zusammengestellt werden.

Leitfaden für moderne Penetrationstests [Teil 2]: Fifty Shades of Grey Box - Infopulse - 1

Natürlich ist noch einer der am wichtigsten zu diskutierenden Parameter die Auswahl eines Pentest-Modus: Black Box, White Box oder Grey Box. Nachfolgend ist ein kurzer Überblick über die drei Pentest-Hauptmodi dargestellt:

Leitfaden für moderne Penetrationstests [Teil 2]: Fifty Shades of Grey Box - Infopulse - 2

Aber sind sie wirklich unterschiedlich? Lassen Sie es uns herausfinden!

Es gibt kein Weiß ohne Schwarz

Der Black-Box-Modus wird üblicherweise von den Kunden angefordert, die zum ersten Mal Pentests durchführen lassen oder aus anderen Gründen zögerlich sind. Die Black-Box-Tests sind eine perfekte Prüfung, wenn ein Kunde seinen neuen Pentest-Anbieter erstmal evaluieren möchte. Wenn das Vertrauensniveau des Kunden steigt und er eine vertrauensvolle Beziehung zu dem Pentest-Anbieter aufbaut, kann der Kunde von der “dunklen Seite” zu der “hellen Seite” wechseln und Grey-Box- oder White-Box-Tests bestellen. Diese “helleren” Szenarien liefern mehr Informationen über das Zielobjekt, weil die Angriffsfläche erweitert und die Pentest-Wirksamkeit im Vergleich zu den fundamentalen Black-Box-Tests erhöht wird.

Einige Kunden sind bei der Planung von Pentests sehr skeptisch und bitten darum, im Rahmen eines Projekts mehrere Arten von Tests durchzuführen: zuerst einen Black-Box-Test, dann einen Light-Grey-Box-Test und danach einen Dark-Gray-Box-Test.

Die “allmähliche Aufhellung” von Pentest-Modi innerhalb eines Projekts ist ein übliches Verfahren, das in Sicherheitsbewertungsstandards, z. B. im NIST 800-115beschrieben ist.

Die Schönheit von Grau

Der Service für Grey-Box-Pentests ist sehr beliebt bei Unternehmen, weil er hervorragende Ergebnisse zeigt, insbesondere wenn das Zielobjekt eine Anwendung ist. In der Tat können die Informationen, die während eines Grey-Box-Tests gewonnen werden, so wertvoll sein, dass die Graufärbung des Black-Box-Projekts mitten im Pentest-Prozess stattfinden kann.

Angenommen, ein Unternehmen benötigt einen Black-Box-Penetrationstest. Während diese Art von Test nur die Preisgabe der Zielobjektadresse vorsieht, erkennen Kunden im Verlauf des Projekts, dass die Bereitstellung zusätzlicher Informationen die Arbeit der Sicherheitsexperten erleichtern und die Projektergebnisse verbessern wird. Deswegen erhalten die Sicherheitsspezialisten von ihnen mehr Informationen, als für den ursprünglich geplanten Black-Box-Test benötigt werden. Durch das Vorzeigen von Zwischenergebnissen während des Projekts können Pentest-Experten die Vorteile des Erhalts zusätzlicher Informationen, des direkten Zugriffs oder der zeitweiligen Aussetzung von Sicherheitsschutz rechtfertigen. Damit können sie eine Bestätigung der vorherigen Ergebnisse erzielen, eine gründlichere Bewertung vornehmen, tiefere Sicherheitsschichten prüfen und zusätzliche Ergebnisse erhalten, während Projektzeit eingespart wird.

Die Änderungen, die während des Projekts stattfinden, bilden formell die On-Demand- “Aufhellung” der Pentest-Modi – den Übergang von der reinen Black Box zu der einen oder anderen “Schattierung” der Grey-Box-Penetrationstests.

It’s Bigger On The Inside

Neben der Auswahl des geeigneten Pentest-Modus gibt es einige Dutzend anderer Parameter, die bei der Vorbereitung jeder Pentest-Spezifikation (üblicherweise bei Grey Box) und Umfangsbeschreibung berücksichtigt werden müssen. Normalerweise werden solche Pentest-Spezifikationen als “Einsatzregeln” bezeichnet, in denen Pentester aufgefordert werden, Folgendes herauszufinden und zu beschreiben:

  • Motivation des Kunden, seine Treiber und Geschäftsanforderungen, regulatorische Dokumentation;
  • Systeme und Komponenten innerhalb und außerhalb des Projektumfangs;
  • Angriffsvektoren und Angreiferprofile;
  • erlaubte Zugangskanäle zum Zielobjekt;
  • Einschränkungen in Bezug auf die produktiven Zielobjekte, falls vorhanden;
  • zulässige Arbeitszeit, das Verfahren bei der Reaktion auf Notsituationen;
  • akzeptable und inakzeptable Methoden und Mittel, z. B. Zulässigkeit und Notwendigkeit von Methoden für soziotechnische Angriffe (“Social Engineering”), DoS-Attacken, Brute-Force-Attacken usw.;
  • Prüfung der Erkennung von Penetrationsversuchen seitens des Cybersicherheitspersonals des Kunden und seiner Reaktion darauf;
  • Möglichkeit von ungeplanten Änderungen während des Projekts, dem Kunden bekannte Einschränkungen und Abhängigkeiten sowie Ausnahmen (z. B. Ausschluss vom Test aller Faktoren, die dem Kunden bereits bekannt sind) usw.

A posteriori

Eine sorgfältige Untersuchung der Bedürfnisse und Erwartungen der Kunden, ihre Formalisierung und Dokumentation in den Einsatzregeln ist der entscheidende Unterschied in der Vorgehensweise von Infopulse bei den Penetrationstests. Zusätzlich zu den bereits erwähnten Frameworks OWASP, EC-Council, PTES und NIST 800-115, setzen wir auf die von Offensive Security bereitgestellten Methoden zur Planung und Durchführung von Penetrationstests. Diese Standards, Richtlinien und Methoden verhelfen bei der richtigen Implementierung letztendlich zu den besseren Testergebnissen.

Im letzten Teil unseres Artikels werden wir dann nur noch diskutieren, warum das ausschließliche Befolgen dieser Regeln und Standards auch keine gute Idee ist.
 

Weitere Artikel

Artikel
Defender for IoT [thumbnail]
Sicherheit für IoT und OT mit Microsoft Defender für IoT
February 22, 2024 8 min. read
Artikel
Cryptojacking and how to prevent it [thumbnail]
Was ist Cryptojacking und wie können Sie Ihr Vermögen davor schützen?
March 14, 2023 6 min. read
Artikel
DevSecOps on Azure vs on AWS [thumbnail]
Absicherung von CI/CD-Pipelines mit Azure, AWS und DevSecOps vor Ort
December 02, 2022 8 min. read
Artikel
SOC Use Cases [thumbnail]
SOC-Anwendungsfälle: Wie optimale Cyber-Response-Szenarien definiert und implementiert werden können
October 27, 2022 7 min. read
Artikel
What Is ITAM [thumbnail]
Was ist IT-Asset-Management und wie bauen Sie einen starken Prozess für Ihr Unternehmen auf?
October 13, 2022 8 min. read
Artikel
Infopulse BCP im Detail [thumbnail]
Geschäftskontinuität in Zeiten des Krieges: Infopulse Zeitachse und Erfahrungen
August 19, 2022 9 min. read
Artikel
Was ist SOC? Arten, Benefits und Sicherheitsprobleme, die damit gelöst werden können - Thumbnail
Was ist SOC? Arten, Benefits und Sicherheitsprobleme, die damit gelöst werden können
March 31, 2021 7 min. read
Artikel
Seien Sie einen Schritt voraus: Was macht ein umfassendes Threat Prevention System aus? - Thumbnail
Seien Sie einen Schritt voraus: Was macht ein umfassendes Threat Prevention System aus?
December 08, 2020 7 min. read
Artikel
How to Create Secure Identity Infrastructure in Azure Cloud - Thumbnail
Wie man eine sichere Identitätsinfrastruktur in der Azure Cloud erstellt
November 26, 2020 7 min. read
Artikel
SIP Hacking: Ways to Protect Your VoIP Services - Thumbnail
SIP-Hacking: Möglichkeiten zum Schutz Ihrer VoIP-Dienste
August 11, 2020 8 min. read
Weiterlesen

Wir haben eine Lösung für Ihre Anforderungen. Senden Sie uns einfach eine Nachricht, und unsere Experten werden sich so schnell wie möglich mit Ihnen in Verbindung setzen.

Bitte spezifizieren Sie Ihre Anfrage

Vielen Dank!

Wir haben Ihre Anfrage erhalten und werden Sie in Kürze kontaktieren.