Führung zu Penetrationstests T.2: Fifty Shades of Grey Box
Leitfaden für moderne Penetrationstests [Teil 2]: Fifty Shades of Grey Box - Banner
Zurück

Leitfaden für moderne Penetrationstests [Teil 2]: Fifty Shades of Grey Box

Die Farbe der Wahrheit ist grau.– André Gide
Sie brauchen also einen Pentest-Service und fragen sich jetzt: Soll ich mit einem Black-Box-Test fortfahren? Moment, gibt es da etwa noch andere “Farben”? Die Auswahl der geeigneten Methode für Sicherheitstests kann zu einer lästigen Pflicht werden, wenn Sie den Unterschied nicht kennen.

Der Ausführungsstandard für Penetrationstests Penetration Testing Execution Standard (PTES) kann dabei hilfreich sein, er ist ein Leuchtturm für alle, die sich ihren Weg durch die Pentest-Planung als Service suchen. Der PTES führt die Geschäftsanforderungen der Kunden und mit den Talenten der Pentester zusammen und liefert ausreichend detaillierte Empfehlungen zur Vorbereitung von Pentest-Projekten.

Infopulse führt seine Reihe der Blog-Artikel fort die sich der Kunst und Wissenschaft der Penetrationstests widmen. In diesem Teil werden drei Hauptarten von Penetrationstests und ihre Unterschiede beschrieben. Dabei hilft uns auch der oben genannte PTES.

Was ist in einer schwarzen / grauen / weißen Box?

Laut PTES sollte eine Reihe von Schritten, Parametern und Optionen während der Vorbereitungsphase berücksichtigt werden. Insbesondere müssen wir die Kommunikationskanäle, Interaktions- und Kontrollregeln, die spezifischen Möglichkeiten zur Überwachung von Vorfällen und zur Reaktion darauf usw. untersuchen. Dann erstellen die Pentester die Beschreibung der Informationssammlung, der Bedrohungsmodellierung, der Methoden der Schwachstellenanalyse, der Ausnutzung von Sicherheitslücken. In der Beschreibung werden so die beste Art des Angriffs, der Nachbearbeitung, der Infrastrukturanalyse, die anschließende Durchdringung der Infrastruktur des Kunden, ihre Reinigung und Robustheit erforscht. Außerdem spezifiziert der PTES-Standard die Struktur der Berichte, die aus den Testergebnissen zusammengestellt werden.

Leitfaden für moderne Penetrationstests [Teil 2]: Fifty Shades of Grey Box - Infopulse - 1

Natürlich ist noch einer der am wichtigsten zu diskutierenden Parameter die Auswahl eines Pentest-Modus: Black Box, White Box oder Grey Box. Nachfolgend ist ein kurzer Überblick über die drei Pentest-Hauptmodi dargestellt:

Leitfaden für moderne Penetrationstests [Teil 2]: Fifty Shades of Grey Box - Infopulse - 2

Aber sind sie wirklich unterschiedlich? Lassen Sie es uns herausfinden!

Es gibt kein Weiß ohne Schwarz

Der Black-Box-Modus wird üblicherweise von den Kunden angefordert, die zum ersten Mal Pentests durchführen lassen oder aus anderen Gründen zögerlich sind. Die Black-Box-Tests sind eine perfekte Prüfung, wenn ein Kunde seinen neuen Pentest-Anbieter erstmal evaluieren möchte. Wenn das Vertrauensniveau des Kunden steigt und er eine vertrauensvolle Beziehung zu dem Pentest-Anbieter aufbaut, kann der Kunde von der “dunklen Seite” zu der “hellen Seite” wechseln und Grey-Box- oder White-Box-Tests bestellen. Diese “helleren” Szenarien liefern mehr Informationen über das Zielobjekt, weil die Angriffsfläche erweitert und die Pentest-Wirksamkeit im Vergleich zu den fundamentalen Black-Box-Tests erhöht wird.

Einige Kunden sind bei der Planung von Pentests sehr skeptisch und bitten darum, im Rahmen eines Projekts mehrere Arten von Tests durchzuführen: zuerst einen Black-Box-Test, dann einen Light-Grey-Box-Test und danach einen Dark-Gray-Box-Test.

Die “allmähliche Aufhellung” von Pentest-Modi innerhalb eines Projekts ist ein übliches Verfahren, das in Sicherheitsbewertungsstandards, z. B. im NIST 800-115beschrieben ist.

Die Schönheit von Grau

Der Service für Grey-Box-Pentests ist sehr beliebt bei Unternehmen, weil er hervorragende Ergebnisse zeigt, insbesondere wenn das Zielobjekt eine Anwendung ist. In der Tat können die Informationen, die während eines Grey-Box-Tests gewonnen werden, so wertvoll sein, dass die Graufärbung des Black-Box-Projekts mitten im Pentest-Prozess stattfinden kann.

Angenommen, ein Unternehmen benötigt einen Black-Box-Penetrationstest. Während diese Art von Test nur die Preisgabe der Zielobjektadresse vorsieht, erkennen Kunden im Verlauf des Projekts, dass die Bereitstellung zusätzlicher Informationen die Arbeit der Sicherheitsexperten erleichtern und die Projektergebnisse verbessern wird. Deswegen erhalten die Sicherheitsspezialisten von ihnen mehr Informationen, als für den ursprünglich geplanten Black-Box-Test benötigt werden. Durch das Vorzeigen von Zwischenergebnissen während des Projekts können Pentest-Experten die Vorteile des Erhalts zusätzlicher Informationen, des direkten Zugriffs oder der zeitweiligen Aussetzung von Sicherheitsschutz rechtfertigen. Damit können sie eine Bestätigung der vorherigen Ergebnisse erzielen, eine gründlichere Bewertung vornehmen, tiefere Sicherheitsschichten prüfen und zusätzliche Ergebnisse erhalten, während Projektzeit eingespart wird.

Die Änderungen, die während des Projekts stattfinden, bilden formell die On-Demand- “Aufhellung” der Pentest-Modi – den Übergang von der reinen Black Box zu der einen oder anderen “Schattierung” der Grey-Box-Penetrationstests.

It’s Bigger On The Inside

Neben der Auswahl des geeigneten Pentest-Modus gibt es einige Dutzend anderer Parameter, die bei der Vorbereitung jeder Pentest-Spezifikation (üblicherweise bei Grey Box) und Umfangsbeschreibung berücksichtigt werden müssen. Normalerweise werden solche Pentest-Spezifikationen als “Einsatzregeln” bezeichnet, in denen Pentester aufgefordert werden, Folgendes herauszufinden und zu beschreiben:

  • Motivation des Kunden, seine Treiber und Geschäftsanforderungen, regulatorische Dokumentation;
  • Systeme und Komponenten innerhalb und außerhalb des Projektumfangs;
  • Angriffsvektoren und Angreiferprofile;
  • erlaubte Zugangskanäle zum Zielobjekt;
  • Einschränkungen in Bezug auf die produktiven Zielobjekte, falls vorhanden;
  • zulässige Arbeitszeit, das Verfahren bei der Reaktion auf Notsituationen;
  • akzeptable und inakzeptable Methoden und Mittel, z. B. Zulässigkeit und Notwendigkeit von Methoden für soziotechnische Angriffe (“Social Engineering”), DoS-Attacken, Brute-Force-Attacken usw.;
  • Prüfung der Erkennung von Penetrationsversuchen seitens des Cybersicherheitspersonals des Kunden und seiner Reaktion darauf;
  • Möglichkeit von ungeplanten Änderungen während des Projekts, dem Kunden bekannte Einschränkungen und Abhängigkeiten sowie Ausnahmen (z. B. Ausschluss vom Test aller Faktoren, die dem Kunden bereits bekannt sind) usw.

A posteriori

Eine sorgfältige Untersuchung der Bedürfnisse und Erwartungen der Kunden, ihre Formalisierung und Dokumentation in den Einsatzregeln ist der entscheidende Unterschied in der Vorgehensweise von Infopulse bei den Penetrationstests. Zusätzlich zu den bereits erwähnten Frameworks OWASP, EC-Council, PTES und NIST 800-115, setzen wir auf die von Offensive Security bereitgestellten Methoden zur Planung und Durchführung von Penetrationstests. Diese Standards, Richtlinien und Methoden verhelfen bei der richtigen Implementierung letztendlich zu den besseren Testergebnissen.

Im letzten Teil unseres Artikels werden wir dann nur noch diskutieren, warum das ausschließliche Befolgen dieser Regeln und Standards auch keine gute Idee ist.
 

Weitere Artikel

Wir haben eine Lösung für Ihre Anforderungen. Senden Sie uns einfach eine Nachricht, und unsere Experten werden sich so schnell wie möglich mit Ihnen in Verbindung setzen.

Vielen Dank!

Wir haben Ihre Anfrage erhalten und werden Sie in Kürze kontaktieren.