Zurück

Penetration Tests

Technische Analyse durch Penetration Testing

Welche Schwachstellen haben Ihre IT-Systeme und wie können diese bei einem Angriff ausgenutzt werden? Gibt es Fehlkonfigurationen in einzelnen Systemen oder Diensten, die von einem Angreifer ausgenutzt werden können? Gibt es Fehlkonfigurationen im Active Directory (AD), die zu einer Übernahme des AD führen können? Gibt es ungepatchte oder (nicht segmentierte) Systeme mit veraltetem Betriebssystem? Gibt es extern erreichbare verwundbare Systeme, die für einen initialen Zugriff genutzt werden können? Antworten auf diese Fragen und noch mehr liefern wir Ihnen im Rahmen eines Penetrationstests (kurz: Pentest), bei dem wir die Angriffstechniken eines realen Hackerangriffs simuliere, um gezielt Bereiche Ihres Perimeters und/oder Ihrer internen IT-Infrastruktur auf Schwachstellen zu überprüfen.

Bei Pentests handelt es sich in erster Linie um eine technische Sicherheitsüberprüfung Ihrer Systeme, die die Grundlage für einen effektiven Härtungsprozess bildet. Dabei geht es nicht darum, leise und unbemerkt zu agieren, in der Regel sind Ihre internen IT-Verteidiger - das Blue Team bzw. Ihre Systemadministratoren - in den Pentest eingeweiht. Beim Penetration Testing liegt mein Fokus ganz klar darauf, in der zur Verfügung stehenden Zeit so viele Schwachstellen wie möglich zu finden bzw. so viele Schwachstellen wie ein durchschnittlich technisch versierter, böswilliger Hacker in der gleichen Zeit finden würde.

Mit RedOps vertreten wir das Konzept, dass Penetration Testing ein sehr wichtiger Aspekt eines ganzheitlichen Sicherheitskonzeptes ist. Wir sind aber auch davon überzeugt, dass es neben dem Penetration Testing und der Identifizierung von technischen Schwachstellen in der IT-Infrastruktur auch notwendig ist, Unternehmen regelmäßig durch Red Team Engagement oder Assumed Breach auf die Probe zu stellen.

Wer braucht Penetration Tests?

Penetrationstests sind ein wichtiges Instrument zur Erhöhung des IT-Sicherheitsniveaus in Unternehmen. Sie bieten oft einen guten Einstieg in den Prozess der Erhöhung der IT-Sicherheit. Durch den Fokus auf die technische Analyse bilden Penetrationstests meist die Grundlage für die Umsetzung gezielter Härtungsmaßnahmen.

Die Anforderungen an einen Penetrationstest sind von Kunde zu Kunde unterschiedlich. In einem ersten Gespräch versuchen wir den IST-Zustand Ihres aktuellen IT-Sicherheitsniveaus zu erfassen. Darauf aufbauend ermitteln wir gemeinsam Ihre Bedürfnisse und Ziele und wir erstellen Ihnen ein maßgeschneidertes Angebot.

Externe Penetration Tests

Interne Penetration Tests

Bei einem externen Penetrationstest konzentrieren wir uns auf die öffentlich zugänglichen Systeme Ihres Unternehmens (Perimeter). Wir suchen nach möglichen Schwachstellen, die es uns erlauben, ein System zu übernehmen oder für einen ersten Zugang in Ihr internes Netzwerk zu nutzen (Initial Access). Gibt es beispielsweise extern zugängliche Systeme mit bekannten Sicherheitslücken oder veralteter Software?

Der Mehrwert eines externen Penetrationstests liegt in der Erhebung des IST-Zustandes des IT-Sicherheitsniveaus Ihrer extern zugänglichen Systeme. Der Pentestreport bildet die Grundlage für die Härtung Ihres Perimeters.

Bei einem internen Penetration Test betrachten wir nicht die extern erreichbaren Systeme, sondern legen den Fokus auf den IST-Zustand Ihrer internen Systeme bzw. Ihrer internen IT-Infrastruktur. Je nach Kundenwunsch fokussieren wir uns dabei auf das Testen einzelner Systeme (z.B. Clients/Golden Image), eines definierten Bereichs (Scope) oder auch auf die gezielte Überprüfung bereits umgesetzter Härtungsmaßnahmen.

Ein häufiges Einsatzgebiet für interne Pentests ist die Erhebung des Ist-Zustandes des Microsoft Active Directory, in dem wir Schwachstellen oder Fehlkonfigurationen identifizieren, die zu einer Kompromittierung oder Übernahme Ihres Active Directory führen können. Der Pentestreport bildet die Grundlage für die Härtung Ihrer internen IT-Infrastruktur.

Unterkategorien der Verfahren

Jeder Pentest muss an die Ziele und den Kontext des jeweiligen Unternehmens angepasst werden. Daraus ergeben sich unterschiedliche Vorgehensweisen. Eine wichtige Unterscheidung ist die Menge an Informationen, die dem Tester zur Verfügung gestellt wird.

Black-Box Testing

Bei Black Box Tests schlüpft der Penetrationstester in die Rolle eines durchschnittlichen Hackers ohne Insiderwissen über das Zielsystem oder den Zielbereich.

Der Black Box Pentest hat methodische Ähnlichkeiten mit einem Red Team Engagement, mit den wesentlichen Unterschieden, dass der Tester nicht im Verborgenen agieren muss, dass das IT-Team in den Test einbezogen wird und dass der Fokus auf der technischen Analyse des Perimeters und, je nach Erfolg des Testers, nach erfolgreicher Überwindung des Perimeters, auf der internen IT-Infrastruktur des Kunden liegt.
Grey-Box Testing

Bei einem Grey-Box-Penetrationstest, werden nur wenige Informationen an den Tester weitergegeben. In der Regel handelt es sich dabei um die Anmeldedaten. Grey-Box-Tests sind nützlich, um den Grad des Zugriffs, den ein privilegierter Benutzer erlangen könnte, und den potenziellen Schaden, den er anrichten könnte, zu verstehen. Grey-Box-Tests schaffen ein Gleichgewicht zwischen Tiefe und Effizienz und können verwendet werden, um entweder eine interne Bedrohung oder einen Angriff von außerhalb des Netzwerks zu simulieren.
White-Box Testing

Der Tester erhält vom Kunden im Vorfeld so viele Informationen wie möglich, z.B. über die Aufgaben der zu testenden Systeme innerhalb des Scopes. Im Vergleich zu anderen Methoden kann die gebuchte Zeit vollständig für die Überprüfung der internen IT-Infrastruktur genutzt werden. Die größte Herausforderung beim Whitebox Pentest besteht darin, die Datenmenge in der gebuchten Zeit effizient zu verarbeiten, richtig zu interpretieren, Schwachstellen in einzelnen Systemen/Diensten und Fehlkonfigurationen im Microsoft Active Directory zu identifizieren und kontrolliert auszunutzen.

Wie wir bei Penetrationstests vorgehen

Vorbereitung | Scoping

In einem ersten Schritt definieren wir gemeinsam Ihre Ziele, den gewünschten Mehrwert und die zu testenden Systeme bzw. Bereiche. Darauf aufbauend definieren wir das Ziel, die Penetration Test Methodik, den Scope und die benötigte Zeit für den Test. Wenn Sie beispielsweise daran interessiert sind, möglichst viele Schwachstellen oder Fehlkonfigurationen in Ihrem Active Directory zu finden, empfehle ich Ihnen einen internen Whitebox Penetration Test.
Methodik | Umsetzung

Nach dem offiziellen Kickoff beginnen wir mit der Durchführung des Penetration Tests. Beispielsweise sammeln wir bei einem internen Whitebox Penetration Test zunächst Informationen über mögliche Schwachstellen und Fehlkonfigurationen (Internal Discovery) in Systemen/Services, Active Directory etc. des zuvor definierten Scopes. Wir versuchen innerhalb der vereinbarten Zeit möglichst viele Schwachstellen und Fehlkonfigurationen zu finden und kontrolliert auszunutzen. Während des Pentests handeln wir stets verantwortungsvoll und stehen in regelmäßigem Austausch mit Ihnen, um sensible Schritte abzustimmen oder Sie über kritische Funde zu informieren.
Report | Weiterentwicklung

Am Ende des Tages erhalten sie einen technischen Bericht mit den Ergebnissen des Penetrationstests. Dieser technisch sehr detaillierte Bericht bildet in der Regel die Grundlage für die Einleitung des Härtungsprozesses der Infrastruktur und das anschließende Re-Testing. Zusätzlich erhalten Sie ein Management Summary zur Vorlage bei Ihrem Management. In einer gemeinsamen Abschlusspräsentation diskutieren wir die Ergebnisse des Penetrationstests und werfen einen genaueren Blick auf Ihre aktuellen Stärken und Schwächen.

Penetration Testing

Bei einem Penetration Test liegt der Fokus klar darauf, innerhalb des definierten Scopes möglichst viele Schwachstellen zu finden und diese kontrolliert auszunutzen. Auch bei einem Penetration Test orientieren wir uns am Mitre ATT&CK Framework, jedoch liegt der Fokus nicht darauf, möglichst unauffällig und unentdeckt zu agieren.

Zum einen gibt es einen klar definierten Scope und zum anderen werden Rahmenbedingungen mittels Rules of Engagement festgelegt. Das IT-Team ist in den Pentest involviert.

Es besteht kein Bedarf möglichst leise und unbemerkt zu agieren. Strukturierte eher statisches Vorgehen mit dynamischen Elementen.

Die Rahmenbedingungen werden durch "Rules of Engagement" festgelegt.

Der Zeitraum ist sehr flexibel, je nach Wunsch kann der Kunde mehr oder weniger Manntage buchen. Es empfiehlt, sich den Zeitraum auf den definierten Scope abzustimmen.

Penetrationstests stehen und fallen mit der angewandten Methodik. Penetration Testing enthält viele statische Elemente, die regelmäßig durch dynamische Elemente ergänzt werden. Es geht nicht um OPSEC, d.h. die IT-Abteilung ist informiert und es besteht keine Notwendigkeit für den Tester, im Stillen zu agieren.

Mit einem Penetrationstest erhalten Sie wichtige Informationen über das technische Niveau Ihrer IT-Sicherheit. Ein Pentest bietet Unternehmen einen guten Einstieg in das Thema Cyber Security. Der Pentest Report kann als Grundlage für die Einleitung einer effektiven Härtung Ihrer IT-Infrastruktur verwendet werden.

Red Teaming

Mit Red Teaming simulieren wir reale Cyber-Angriffe, bei denen wir strategisch, dynamisch und möglichst bedacht vorgehen. Basierend auf aktuellen Advanced Persistent Threats (ATPs) und dem Mitre Attack Framework stellen wir Ihr Unternehmen auf die Probe.

Auf Basis der Threat Intelligence werden mögliche Angriffsszenarien erarbeitet. Primäres Ziel des Red Teams ist es, das definierte Ziel zu erreichen. Für ein möglichst realistisches Szenario sollten nur die notwendigsten Personen (White Team) involviert sein.

Wir simulieren einen realen Cyber-Angriff und agiere strategisch und möglichst unauffällig. Erkennungen durch technische Komponenten wie EDR und SIEM sowie durch menschliche Komponenten wie das Blue Team (SOC) sollen möglichst vermieden werden.

Grundsätzlich gibt es keine Regeln, trotzdem mach es Sinn, mittels "Rules of Engagement" zu definieren, was ich als Angreifer darf und was nicht.

Ein Red Teaming erstreckt sich über mehrere Wochen bis Monate. Der hohe strategische Anteil erfordert viel Zeit und Vorbereitung, ca. 50% werden für den Initial Access benötigt.

Red Teaming lebt von vielen dynamischen Elementen, dennoch gibt es auch hier ein strukturiertes Vorgehen. Für die Simulation realer Cyber-Angriffe wird jeder Schritt gut überlegt und möglichst geräuschlos durchgeführt (OPSEC). Ihre technische IT-Sicherheit und Ihre Verteidiger werden auf eine harte Probe gestellt.

Durch die Angriffssimulation erhalten Unternehmen am Ende des Tages ein unverzerrtes Bild, wie sie auf einen realen Cyber-Angriff reagieren bzw. wie gut sie vorbereitet sind. Sie erhalten einerseits wichtige Erkenntnisse über das technische Niveau Ihrer IT-Sicherheit und andererseits über die Reaktionszeiten und die Sichtbarkeit Ihrer internen Verteidiger.

Ein Red Team Assessment und ein klassischer Penetration Test haben einige Gemeinsamkeiten, dennoch gibt es wesentliche Unterschiede zwischen den beiden Verfahren.

Allgemeines

Planung / Ablauf

Vorgehensweise

Regeln

Zeitraum

Methodik

Mehrwert

Warum Penetration Tests bei RedOps?

Bei RedOps legen wir großen Wert darauf, auch im Bereich der offensiven Sicherheit Aufklärungsarbeit zu leisten. In der Praxis kommt es nicht selten vor, dass Unternehmen falsch beraten werden und aufgrund mangelnder Kommunikation am Ende des Tages etwas ganz anderes bekommen, als sie brauchen oder erwartet haben. Beim Pentesting ist es entscheidend, den Kontext, die Ziele und den gewünschten Mehrwert des Unternehmens zu berücksichtigen. Ein guter Penetrationstest steht und fällt mit der (richtigen) Methodik.

In einem ersten Gespräch nehmen wir uns gerne Zeit, um mit Ihnen Ihre aktuelle Situation zu besprechen und zu klären, welche Art von Pentest für Sie derzeit den größten Mehrwert bietet.

Wer Offensive Security Services in Anspruch nimmt und sich bewusst einem ethischen Hackerangriff aussetzt, sollte dies mit einem Partner tun, auf den er sich absolut verlassen kann. Wir behandeln alle Informationen streng vertraulich und sind zu 100% integer in dem, was wir tun.
IT-Security ist kein Produkt, sondern ein ständiger Lernprozess. Deshalb investieren wir viel Zeit in Weiterbildung und Forschung. Unsere Ergebnisse im Bereich Endpoint Security konnte wir bereits auf mehreren internationalen IT-Security Konferenzen präsentieren.
Mit der Offensive Security haben wir unsere Leidenschaft zu unserer Kernkompetenz gemacht. Wir verkaufen keine Produkte oder Lizenzen, sondern leben ausschließlich von unserer Expertise im Bereich der IT-Sicherheit. Qualität geht bei uns klar vor Quantität.

Making sense of IT:Security