Zurück

Penetration Testing

Technische Analyse durch Penetration Testing

Welche Schwachstellen haben Ihre IT-Systeme und wie können diese bei einem Angriff ausgenutzt werden? Gibt es Fehlkonfigurationen in einzelnen Systemen oder Diensten, die von einem Angreifer ausgenutzt werden können? Gibt es Fehlkonfigurationen im Active Directory (AD), die zu einer Übernahme des AD führen können? Gibt es ungepatchte oder (nicht segmentierte) Systeme mit veraltetem Betriebssystem? Gibt es extern erreichbare verwundbare Systeme, die für einen initialen Zugriff genutzt werden können? Antworten auf diese Fragen und noch mehr liefere ich Ihnen im Rahmen eines Penetrationstests (kurz: Pentest), bei dem ich die Angriffstechniken eines realen Hackerangriffs simuliere, um gezielt Bereiche Ihres Perimeters und/oder Ihrer internen IT-Infrastruktur auf Schwachstellen zu überprüfen.

Pen test bild 1 v1

Bei Pentests handelt es sich in erster Linie um eine technische Sicherheitsüberprüfung Ihrer Systeme, die die Grundlage für einen effektiven Härtungsprozess bildet. Dabei geht es nicht darum, leise und unbemerkt zu agieren, in der Regel sind Ihre internen IT-Verteidiger - das Blue Team bzw. Ihre Systemadministratoren - in den Pentest eingeweiht. Beim Penetration Testing liegt mein Fokus ganz klar darauf, in der zur Verfügung stehenden Zeit so viele Schwachstellen wie möglich zu finden bzw. so viele Schwachstellen wie ein durchschnittlich technisch versierter, böswilliger Hacker in der gleichen Zeit finden würde.

Pen test bild 2 v1

Mit RedOps vertrete ich das Konzept, dass Penetration Testing ein sehr wichtiger Aspekt eines ganzheitlichen Sicherheitskonzeptes ist, aber gleichzeitig nur ein Teil des offensiven IT-Sicherheitspuzzles. Es reicht nicht aus, technische Schwachstellen in der IT-Infrastruktur zu identifizieren, sondern es ist auch notwendig, die Verteidiger der IT-Infrastruktur regelmäßig zu sensibilisieren und zu schulen (z.B. durch einen Red Team Approach oder Red Teaming).

Wer braucht Penetration Tests?

Penetrationstests sind ein wichtiges Instrument zur Erhöhung des IT-Sicherheitsniveaus in Unternehmen. Sie bieten oft einen guten Einstieg in den Prozess der Erhöhung der IT-Sicherheit. Durch den Fokus auf die technische Analyse bilden Penetrationstests meist die Grundlage für die Umsetzung gezielter Härtungsmaßnahmen.

Die Anforderungen an einen Penetration Test sind von Kunde zu Kunde unterschiedlich. In einem ersten Gespräch versuche ich den IST-Zustand Ihres aktuellen IT-Sicherheitsniveaus zu erfassen. Darauf aufbauend ermitteln wir gemeinsam Ihre Bedürfnisse und Ziele und ich erstelle Ihnen ein maßgeschneidertes Angebot.

Externe Penetration Tests
Interne Penetration Tests

Bei einem externen Penetrationstest konzentriere ich mich auf die öffentlich zugänglichen Systeme Ihres Unternehmens (Perimeter). Ich suche nach möglichen Schwachstellen, die es mir erlauben, ein System zu übernehmen oder für einen ersten Zugang in Ihr internes Netzwerk (Initial Access) zu nutzen. Gibt es zum Beispiel extern zugängliche Systeme mit bekannten Sicherheitslücken oder veralteter Software?

Der Mehrwert eines externen Penetrationstests liegt in der Erhebung des IST-Zustandes des IT-Sicherheitsniveaus Ihrer extern zugänglichen Systeme. Der Pentestreport bildet die Grundlage für die Härtung Ihres Perimeters.

Bei einem internen Penetration Test betrachte ich nicht die extern erreichbaren Systeme, sondern lege den Fokus auf den IST-Zustand Ihrer internen Systeme bzw. Ihrer internen IT-Infrastruktur. Je nach Kundenwunsch konzentriere ich mich dabei auf das Testen einzelner Systeme (z.B. Clients/Golden Image), eines definierten Bereichs (Scope) oder auch auf die gezielte Überprüfung bereits umgesetzter Härtungsmaßnahmen. 

Ein häufiges Einsatzgebiet für interne Pentests ist die Erhebung des Ist-Zustandes des Microsoft Active Directory, in dem ich Schwachstellen oder Fehlkonfigurationen identifiziere, die zu einer Kompromittierung oder Übernahme Ihres Active Directory führen können. Der Pentestreport bildet die Grundlage für die Härtung Ihrer internen IT-Infrastruktur.

Unterkategorien der Verfahren

Jeder Pentest muss an die Ziele und den Kontext des jeweiligen Unternehmens angepasst werden. Daraus ergeben sich unterschiedliche Vorgehensweisen. Eine wichtige Unterscheidung ist die Menge an Informationen, die dem Tester zur Verfügung gestellt wird.

  • Black-Box Testing
    Black-Box Testing

    Bei Black-Box-Tests schlüpft der Penetrationstester in die Rolle eines durchschnittlichen Hackers ohne Insiderwissen über das Zielsystem bzw. den Zielbereich.

    Der Blackbox Pentest hat von der Methodik her gewisse Ähnlichkeiten mit dem Red Team Approach, mit den großen Unterschieden, dass der Tester nicht im Verborgenen agieren muss, dass das IT-Team in den Test eingeweiht wird und dass der Fokus auf der technischen Analyse des Perimeters und, je nach Erfolg des Testers, nach erfolgreicher Überwindung des Perimeters auf der internen IT-Infrastruktur des Kunden liegt.

  • Grey-Box Testing
    Grey-Box Testing

    Bei einem Grey-Box-Penetrationstest, werden nur wenige Informationen an den Tester weitergegeben. In der Regel handelt es sich dabei um die Anmeldedaten. Grey-Box-Tests sind nützlich, um den Grad des Zugriffs, den ein privilegierter Benutzer erlangen könnte, und den potenziellen Schaden, den er anrichten könnte, zu verstehen. Grey-Box-Tests schaffen ein Gleichgewicht zwischen Tiefe und Effizienz und können verwendet werden, um entweder eine interne Bedrohung oder einen Angriff von außerhalb des Netzwerks zu simulieren.

  • White-Box Testing
    White-Box Testing

    Der Tester erhält vom Kunden im Vorfeld so viele Informationen wie möglich, z.B. über die Aufgabenbereiche der zu testenden Systeme innerhalb des Scopes. Im Vergleich zu anderen Methoden kann die gebuchte Zeit vollständig für die Überprüfung der internen IT-Infrastruktur genutzt werden. Die größte Herausforderung beim Whitebox Pentest besteht darin, die Datenmenge in der gebuchten Zeit effizient zu verarbeiten, richtig zu interpretieren, Schwachstellen in einzelnen Systemen/Diensten und Fehlkonfigurationen im Microsoft Active Directory zu identifizieren und kontrolliert auszunutzen.

Wie ich bei Penetration Tests vorgehe
  • 01
  • 02
  • 03
  • Vorbereitung | Scoping

    Im ersten Schritt versuche ich gemeinsam mit Ihnen herauszufinden, welche Ziele Sie verfolgen, was der gewünschte Mehrwert ist, welche Systeme bzw. welcher Bereich überprüft werden soll. Darauf aufbauend definieren wir das Ziel, die Penetration Test Methodik, den Scope und die benötigte Zeit für den Test. Wenn Sie beispielsweise daran interessiert sind, möglichst viele Schwachstellen oder Fehlkonfigurationen in Ihrem Active Directory zu finden, empfehle ich Ihnen, einen internen Whitebox Penetration Test.

    Scope v2
  • Methodik | Umsetzung

    Nach dem offiziellen Kickoff beginne ich mit der Durchführung des Penetration Tests. Beispielsweise sammle ich bei einem internen Whitebox Penetration Test zunächst Informationen über mögliche Schwachstellen und Fehlkonfigurationen (Internal Discovery) in Systemen/Diensten, Active Directory etc. des zuvor definierten Scopes. Ich versuche innerhalb der vereinbarten Zeit möglichst viele Schwachstellen und Fehlkonfigurationen zu finden und kontrolliert auszunutzen. Während des Pentests handle ich stets verantwortungsvoll und stehe in regelmäßigem Austausch mit Ihnen, um sensible Schritte abzustimmen oder Sie über kritische Funde zu informieren.

    Umsetzung v2
  • Report | Weiterentwicklung

    Am Ende des Tages erhalten sie einen technischen Bericht mit den Ergebnissen des Penetrationstests. Dieser technisch sehr detaillierte Bericht bildet in der Regel die Grundlage für die Einleitung des Härtungsprozesses der Infrastruktur und das anschließende Re-Testing. Zusätzlich erhalten Sie ein Management Summary zur Vorlage bei Ihrem Management. In einer gemeinsamen Abschlusspräsentation diskutieren wir die Ergebnisse des Penetrationstests und werfen einen genaueren Blick auf Ihre aktuellen Stärken und Schwächen.

    Weiterentwicklung v1
Penetration Test

Bei einem Penetration Test liegt der Fokus klar darauf, in einem mit dem Kunden definierten Scope möglichst viele Schwachstellen zu finden und diese kontrolliert auszunutzen. Auch bei einem Penetration Test orientiere ich mich stark am Mitre ATT&CK Framework, jedoch liegt der Fokus nicht darauf, möglichst unauffällig und unentdeckt zu agieren.

Zum einen gibt es einen klar definierten Scope und zum anderen werden Rahmenbedingungen mittels Rules of Engagement festgelegt. Das IT-Team ist in den Pentest involviert.

Es besteht kein Bedarf möglichst leise und unbemerkt zu agieren. Strukturierte eher statisches Vorgehen mit dynamischen Elementen.

Die Rahmenbedingungen werden durch "Rules of Engagement" festgelegt.

Der Zeitraum ist sehr flexibel, je nach Wunsch kann der Kunde mehr oder weniger Manntage buchen. Es empfiehlt, sich den Zeitraum auf den definierten Scope abzustimmen.

Penetrationstests stehen und fallen mit der angewandten Methodik. Penetration Testing enthält viele statische Elemente, die regelmäßig durch dynamische Elemente ergänzt werden. Es geht nicht um OPSEC, d.h. die IT-Abteilung ist informiert und es besteht keine Notwendigkeit für den Tester, im Stillen zu agieren.

Mit dem Penetration Test erhalten Sie wichtige Informationen über das technische Niveau Ihrer IT-Sicherheit. Ein Pentest bietet Unternehmen einen guten Einstieg in das Thema Cyber Security. Der Pentest Report kann als Grundlage für die Einleitung einer effektiven Härtung Ihrer IT-Infrastruktur verwendet werden.

Red Team Approach

Mit dem Werkzeug Red Team Approach simuliere ich für kleine und mittlere Unternehmen (KMUs) reale Cyberangriffe, bei denen ich strategisch, dynamisch und möglichst leise agiere. Angelehnt an aktuellen Advanced Persistent Threats (ATPs) und dem Mitre Attack Framework stelle ich Ihr Unternehmen auf die Probe.

Grundsätzlich gibt es keine Regeln und keinen Scope. Primär gilt es für das Red Team das definierte Ziel zu erreichen. Für ein möglichst realistisches Szenario sollten nur die notwendigsten Personen (White Team) involviert sein.

Ich simuliere einen realen Cyber-Angriff und agiere strategisch und möglichst unauffällig. Erkennungen durch technische Komponenten wie EDR und SIEM sowie durch menschliche Komponenten wie das Blue Team (SOC) sollen möglichst vermieden werden.

Grundsätzlich gibt es keine Regeln, trotzdem mach es Sinn, mittels "Rules of Engagement" zu definieren, was ich als Angreifer darf und was nicht.

Der Red Team Approach erstreckt sich über mehrere Wochen bzw. ein Red Team Engagement bis zu mehreren Monaten. Der hohe strategische Anteil verlangt sehr viel Zeit, ca. 50% werden für den Initial Access benötigt.

Red Teaming bzw. der Red Team Approach lebt von vielen dynamischen Elementen, dennoch gibt es auch hier ein strukturiertes Vorgehen. Für die Simulation realer, fortgeschrittener Cyber-Angriffe wird jeder Schritt gut überlegt und möglichst geräuschlos durchgeführt (OPSEC). Ihre technische IT-Sicherheit und Ihre Verteidiger werden auf eine harte Probe gestellt.

Durch die Angriffssimulation erhalten Unternehmen am Ende des Tages ein unverzerrtes Bilde darüber, wie sie auf einen realen Cyber-Angriff reagieren bzw. wie gut sie vorbereitet sind. Zum einen erhalten Sie wichtige Erkenntisse über den technischen Level Ihrer IT-Sicherheit und zum anderen über die Reaktionszeiten und Visibilität Ihrer internen Verteidiger.

Der Red Team Approach und der klassische Penetration Test haben einige Gemeinsamkeiten, dennoch gibt es wesentliche Unterschiede zwischen den beiden Verfahren.

Allgemeines
Planung / Ablauf
Vorgehensweise
Regeln
Zeitraum
Methodik
Mehrwert
Warum Penetration Tests bei RedOps?

Mit meiner Firma RedOps lege ich Wert darauf, auch ein wenig Aufklärungsarbeit im Bereich der offensiven Sicherheit zu leisten. In der Praxis kommt es nicht selten vor, dass Unternehmen falsch beraten werden und aufgrund mangelnder Kommunikation am Ende des Tages etwas ganz anderes bekommen, als sie brauchen oder erwartet haben. Beim Pentesting ist es entscheidend, den Kontext, die Ziele und den gewünschten Mehrwert des Unternehmens zu berücksichtigen. Ein guter Penetrationstest steht und fällt mit der (richtigen) Methodik.

In einem ersten Gespräch nehme ich mir gerne Zeit, um mit Ihnen Ihre aktuelle Situation zu besprechen und abzustimmen, welche Art von Pentest für Sie derzeit den größten Mehrwert bietet.

Responsibility Research Quality

  • Verantwortung und Integrität

    Wer Offensive Security Services in Anspruch nimmt und sich bewusst einem ethischen Hackerangriff aussetzt, sollte dies mit einem Partner tun, auf den er sich absolut verlassen kann. Ich behandle alle Informationen streng vertraulich und bin 100% integer in dem, was ich tue.

  • Forschungsorientierung

    IT-Security ist kein Produkt, sondern ein ständiger Lernprozess. Deshalb investiere ich viel Zeit in Weiterbildung und Forschung. Meine Ergebnisse im Bereich Endpoint Security konnte ich bereits auf mehreren internationalen IT-Security Konferenzen präsentieren.

  • Qualität statt Quantität

    Mit der Offensive Security habe ich meine Leidenschaft zu meiner Kernkompetenz gemacht. Ich verkaufe keine Produkte oder Lizenzen, sondern lebe rein von meiner Expertise im Bereich der IT-Security. Qualität geht bei mir klar vor Quantität.

Making sense of IT:Security