Vor allem wenn Sie in Ihrem Unternehmen eine eigene Software programmieren oder programmieren lassen, lohnt es sich oft einen regelmäßigen manuellen Penetrationstest durchführen zu lassen. Hierbei schauen wir uns nur das definierte Ziel genau an - das kann eine Ihrer Softwarelösungen sein, das kann aber auch eine Website oder ein Server sein. Das Ziel ist das Auffinden von Schwachstellen.
Penetrationstests kommen in diversen Variationen und Mischformen. Die bekanntesten sind der Whitebox-Test, der Greybox-Test sowie der Blackbox-Test. Im Grunde beschreiben die Wörter den Wissensstand mit dem wir als Tester an das Projekt herangehen. Zielgerichtete Penetrationstests gegen neu entwickelte Softwaremodule können kosteneffizient Sicherheitslücken verhindern.

Unser Vorgehen

  • Vorgehen nach BSI-Leitfaden: In den meisten Fällen nutzen wir - mit kleineren Variationen - den Praxis Leitfaden des BSI zur Durchführung von Penetrationstests.
  • Kostenlose Besprechung: Im Vorfeld schauen wir uns gemeinsam an, was getestet werden soll, besprechen alle Details - die wichtigsten Punkte sind hier:
  • Informationen: Je nach Ausgangsbasis (Whitebox Test, Blackbox Test, Infrastuktur Test, interner Test, ...) liefert der Kunde die benötigten Informationen (Quellcodes, VPN, Dokumentationen, Server, IPs, ...).
  • Dos und Don'ts: In der Regel hat ein normaler Penetrationstest genau definierte Regeln, was die Aggresivität sowie den Umfang/Scope angeht.
  • Vorgehen: Wir besprechen, wie wir genau vorgehen, wann der Test stattfindet und wie lange er dauern wird. Außerdem spielt eine Rolle, ob wir gegen eine Software im Produktiveinsatz testen oder gegen eine speziell für den Test aufgesetzte Umgebung. Auch der technische Ansprechpartner in Ihrem Unternehmen sollte dann zur Verfügung stehen.
  • Reporting: Nach dem Test brauchen Sie eine solide Basis, um die Funde zu Beseitigen. Wir schreiben einen ausführlichen Bericht und lassen Ihnen diesen zukommen - im besten Fall verschlüsselt via PGP oder persönlich.

Ihre Learnings

  • Sicherheitslücken: Das Ziel des Tests ist es Sicherheitslücken im Ziel zu finden. Im besten Fall gelingt das und Sie können den Bericht an Ihre Entwickler weitergeben, so dass diese die Lücken schließen (oder die Systeme aktualiseren).
  • Qualität der Softwareprodukte: Oft genug zeigen Penetrationstests, dass die Entwickler in bestimmten Bereichen Schwächen haben, die zu immer den gleichen Schwachstellen führen. Für Sie kann das eine gute Ausgangsbasis für Schulungen und Fortbildungen Ihres Personals sein.
  • Strukturelle Schwächen/Verbesserungspotential: Nicht alles, was ein Penetrationstester findet, ist zum Zeitpunkt des Tests, gefährlich - das kann sich aber im Laufe der Zeit ändern. Beispiele hierfür sind Softwareprodukte, die interne eingesetzt werden, aber von extern erreichbar sind, offene Ports, bestimmte vorhandene/fehlende HTTP Header, nicht aktualisierte Produkte, ...
  • Aussichten: Mit der Zeit können Penetrationstests in Red Teaming übergehen - das empfiehlt sich allerdings erst, wenn die Infrastruktur dermaßen gewachsen ist, dass es finanziell oder personell nur noch schwer machbar ist, alle Systeme zu testen. Die Legacy Technologies GmbH bietet hier Service Pakete, die das Beste aus Red Teaming, Penetrationstest und automatisierter Überwachung vereinen. Interessant könnte hier NEO CMaS sein.

Werkzeuge & Automatisierung

Neben den klassischen Werkzeugen, wie etwa Burp Suite, Kali Linux, SQLMap oder NMAP, verwenden wir eine große Anzahl privater hocheffektiver Softwarepakete, Tools und Scripte. Der Sinn ist zum Großteil natürlich bestimmte Tests zu automatisieren.

Was wir allerdings nicht machen - wir verwenden keine automatischen Vulnerability Scanner, wie Nessus, Acunetix oder Qualys und verkaufen sie als Penetrationstests. Diese Tools sind durchaus sinnvoll, um schnell eine solide Übersicht zu haben, sie werden allerdings eine große Anzahl von Schwachstellen nicht finden.

Burp
nmap
sqlmap
kali

Wollen Sie wissen, wie sicher Ihre Software ist?

Gehen Sie davon aus, dass auch Software, die Sie verwenden Sicherheitslücken hat. Keiner Ihrer Mitarbeiter ist perfekt, in den meisten Fällen sind Sicherheitslücken keine Absicht - nur die Folge von Stress, Unerfahrenheit und hoher Komplextität. Wir können Ihnen helfen Sicherheitslücken in Ihrer Software zu finden.

Kontakt aufnehmen