- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Penetrationstest ist nicht gleich Penetrationstest


Die fünf Stufen und Differenzierungsmerkmale von Penetrationstests
Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status-quo der IT-Sicherheit im Unternehmen festzustellen

- Anzeigen -





Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Blue Frost Security zeigt, was einen echten Penetrationstest ausmacht und was das so genannte "Redteam-Testing" bedeutet. Je nach Anwendungsfall sind entweder Teile oder der gesamte Umfang des Testszenarios erforderlich.

Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status-quo der IT-Sicherheit im Unternehmen festzustellen. Ziel ist die Identifizierung von Schwachstellen bzw. Sicherheitslücken und die Optimierung der IT/TK-Infrastruktur. Ein automatisierter Sicherheitsscan wird oft als Penetrationstest deklariert, ist aber keiner. Blue Frost Security hat die fünf Stufen eines professionellen Penetrationstests zusammengefasst:

Die Aufklärungsphase
In Phase 1 werden regelmäßig automatisiert die eingesetzten Technologien gescannt. Hier geht es in erster Linie um eine Bestandsaufnahme. Es werden noch keine Schwachstellen untersucht, sondern nur offene Dienste oder Systeme eruiert.

Automatische Schwachstellenanalyse
Phase 2 umfasst verschiedene automatisierte Maßnahmen – mit dem Ziel, große und automatisch erkennbare Einfallstore zu identifizieren. Hier werden Tools zum Einsatz gebracht, die die Systeme automatisiert auf Schwachstellen überprüfen. Dabei zeigen sich viele False Positive-Ergebnisse (Fehlalarme): nicht jede scheinbare Bedrohung erweist sich auch als eine solche.

Penetrationstests
Ein klassischer Penetrationstest kombiniert automatisierte Maßnahmen mit manuellen. Denn nicht alle Sicherheitslücken werden mittels automatisierter Tools gefunden. Mit Hilfe der manuellen Analyse kann die Umgebung in der Tiefe untersucht werden. Ergebnisse, die von der automatischen Schwachstellenanalyse nicht erkannt werden, werden ermittelt und False Positive-Ergebnisse entfernt.

Penetrationstest Plus
Anders als beim klassischen Penetrationstest, bei dem der Fokus auf der umfassenden Verifizierung möglichst vieler Schwachstellen liegt, geht es beim Pentest Plus um konkrete Testziele und das weitere Eindringen. Hier wird nicht die Breite der Sicherheitslücken analysiert, sondern es wird eruiert, wie weit in bestimmte Ziele eingedrungen werden kann. Beispielsweise kompromittieren die Experten ein System, es soll ins interne Netzwerk gelangt werden und Ähnliches.

Redteam-Testing
Beim Redteam-Testing versetzen sich die Sicherheitsexperten in die Perspektive eines tatsächlichen Angreifers, der aus dem Internet versucht, an sensible Daten oder Ähnliches zu gelangen. Dabei wird ganzheitlich überprüft: z.B. welche Systeme gibt es? Wie kann ich mit Social Engineering-Maßnahmen oder Ähnlichem eindringen? Wie verhält sich der Mitarbeiter bei manipulierten Links, klickt er darauf? Diese und weitere Faktoren überprüft das Redteam. Es nimmt zudem das Blueteam – das Team, das Angriffe im Unternehmen abwehren soll – unter die Lupe. Dabei wird verifiziert, ob das Blueteam Attacken erkennt, sie abwehren kann, interne Prozesse einhält und vieles mehr.

"Das Redteam-Testing ist mehrstufig und zielorientiert aufgebaut, es werden nacheinander verschiedene Methoden angewandt. Ob Mitarbeiterverhalten, Prozesse oder Technologien überprüft werden – die hochentwickelten Tests tragen dazu bei, echte Bedrohungen zu identifizieren", erklärt Ferhat Orta, Regional Sales Manager bei der Blue Frost Security GmbH. Er fährt fort: "Exploits für die eruierten Schwachstellen werden von professionellen Testern in der Regel selbst entwickelt – das unterscheidet einen echten Penetrationstest von den automatisierten Sicherheitsscans." (Blue Frost Security: ra)

eingetragen: 15.01.18
Home & Newsletterlauf: 19.02.18

Blue Frost Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Für welche Unternehmen gilt die XRechnungspflicht?

    Zulieferer öffentlicher Behörden auf Bundesebene sowie in Bremen müssen ihre Rechnungen ab 27. November 2020 elektronisch ausstellen: PDF-Dokumente ohne strukturierte Zusatzinformationen gelten dann nicht mehr als elektronische Rechnung. Unternehmen, welche diese Verpflichtung unmittelbar betrifft, haben bereits vorgesorgt oder rüsten jetzt ihr Unternehmen rechtssicher - mit der XRechnung. Um die Kriterien zu erfüllen müssen E-Rechnungen zwingend als strukturierter Datensatz ausgetauscht und ausgelesen werden können. Dazu wird hierzulande das Format XRechnung als Standard etabliert - die XRechnung ist ein XML-basiertes semantisches Datenmodell, mit dem Deutschland die Vorgaben des Europäischen Komitees für Normung (CEN) für die in einer elektronischen Rechnung enthaltenen Daten realisiert. Von Seiten des Bundes wurden bereits mit Stichtag 18. April die Weichen für die Umstellung auf die digitale Rechnung gestellt.

  • Die E-Rechnung in Wirtschaft und Verwaltung

    Die öffentliche Verwaltung treibt den Abschied vom Papier voran: Ab dem 27. November 2020 wird die elektronische Rechnungsstellung und -übermittlung für alle Unternehmer, die im Auftrag des Bundes tätig werden, Pflicht. Länder und Kommunen müssen bereits seit April elektronische Rechnungen annehmen. Für viele Unternehmen ist diese Umstellung eine Herausforderung, immerhin erstellt derzeit noch ein Drittel Rechnungen überwiegend oder sogar ausschließlich in Papierform (33 Prozent). Der Digitalverband Bitkom hat jetzt eine neue Version des Faktenpapiers "10 Merksätze für elektronische Rechnungen" veröffentlicht, das kleinen, mittleren und großen Betrieben bei der Umstellung auf die E-Rechnung hilft. Denn diese muss in einem bestimmten strukturierten Format erstellt werden und eine automatische Verarbeitung ermöglichen - es handelt sich also nicht um eine elektronisch versendete Rechnung, die etwa als PDF an eine Mail angehängt wird.

  • Einrichtung eines Überwachungssystems

    Die Frage, wie das Überwachungssystem eines Unternehmens und das Zusammenspiel der einzelnen Unternehmensfunktionen ausgestaltet werden, lässt der Gesetzgeber weitestgehend unbeantwortet. Interne Revision und Risikomanagement sind wichtige Funktionen der Unternehmensführung und insbesondere des Überwachungssystems. Die Frage des Zusammenwirkens dieser beiden wichtigen Unternehmensfunktionen ist nun Thema einer neuen Stellungnahme von DIIR - Deutsches Institut für Interne Revision e.V. und RMA Risk Management & Rating Association e.V.

  • Auswirkungen der Corona-Krise

    Die Stundung von Sozialversicherungs- und Berufsgenossenschaftsbeiträgen gehört zum Maßnahmenkatalog der Bundesregierung, um die wirtschaftlichen Folgen der Corona-Krise abzumildern. Diese Option wird insbesondere von Zeitarbeitsfirmen vermehrt genutzt, so das IZS Institut für Zahlungssicherheit, Risiko-Informationsdienstleister für die deutsche Zeitarbeitsbranche. Für Zeitarbeitskräfte leihende Unternehmen erhöht sich damit das Risiko der Subsidiärhaftung deutlich, warnt das IZS. Diese greift, wenn Personaldienstleister fällige Beiträge zur Sozialversicherung (SV) und zur Berufsgenossenschaft (BG) nicht bezahlen können. Verschärft wird die Situation der Branche durch die reale Rezessionsgefahr, so dass perspektivische Umsätze ebenfalls bedroht sind.

  • Compliance braucht mehr als ein gutes Leitbild

    Kein wirtschaftlicher Akteur kommt mehr am Thema Compliance vorbei. Denn die "Einhaltung geltender Regeln", mit der der Begriff Compliance oft übersetzt wird, wird von Jahr zu Jahr komplexer: Durchschnittlich 11.000 Regeln und Dokumentationspflichten müssen Unternehmen hierzulande im Blick haben. "Das Compliance-Management muss fünf Funktionen erfüllen können, um den Betrieb vor Regelverstößen zu schützen - und diese möglichst schon vorbeugend auszuschließen", weiß Björn Grabe, Chief Service Delivery Officer (CSDO) von Optimal Systems, Spezialist für Enterprise Content Management (ECM)-Lösungen.