Ablauf eines Penetrationtests
Ja, falls Sie das wünschen können wir im Rahmen eines Penetrationtest auch Social Engineering Angriffe verwenden. Zusätzlich haben Sie auch unabhängig von einem Penetrationtest die Möglichkeit bei uns verschiedene Sensibilisierungsmaßnahmen für Ihre Mitarbeiter zu buchen, etwa simulierte Phishing Kampagnen.
Ein Penetrationtest ist dann sinnvoll, wenn Sie bereits erste IT-Sicherheitsmaßnahmen implementiert haben und sich nun von deren Wirksamkeit überzeugen möchten. Haben Sie noch keine Anstrengungen unternommen in Bezug auf IT-Sicherheit unternommen, ist ein Penetrationtest in der Regel nicht zielführen. In diesem Fall können wir Sie aber gerne dabei beraten welche Maßnahmen Sie am besten durchführen sollten.
Das hängt ganz davon ab für welche Art Penetrationtest Sie sich entschieden haben. Bei einem eher passiven Test kann an dieser Stelle einfach die Schwachstelle dokumentiert und mit dem Test fortgefahren werden. Bei einem aggressiveren Test können wir beispielsweise versuchen uns im Anschluss höhere Rechte zu verschaffen oder uns weiter im Netzwerk auszubreiten.
Grundsätzlich kann ein Penetrationtest in vier Phasen unterteilt werden: In der Reconnaissance Phase sammeln wir so viele Informationen wie möglich, wir schauen uns etwa an welche Software verwendet wird, wie die Hierarchie der Firma aussieht und noch einiges mehr. In der Enumerations Phase wird das Sammeln von Informationen dann konkretisiert: wir schauen uns an wo Ihr System Schwachstellen aufweist. Das können technische Schwachstellen (wie der Einsatz veralteter Software) oder auch menschliche Schwachstellen sein (Angestellte die für Phishing Mails empfänglich sind). In der Exploitation Phase nutzen wir die identifizierten Schwachstellen dann aus, beispielsweise indem wir uns Zugriff auf das Netzwerk verschaffen. Die letzte Phase stellt dann die Dokumentation der Ergebnisse dar, nach Abschluss des Pentests erhalten Sie von uns einen Report in dem alle Schwachstellen nach ihrer Kritikalität geordnet aufgeführt sind. Zudem geben wir Empfehlungen zu nötigen Gegenmaßnahmen ab um Ihnen die Beseitigung der Schwachstelle zu erleichtern.
Viele der Tools die wir verwenden sind in der Linux Distribution Kali enthalten, etwa der Portscanner Nmap oder das Exploit Framework Metasploit. Zusätzlich kommen auch kostenpflichtige Tools wie Burp Suite Pro zum Einsatz und wenn der Zweck es erfordert, programmieren wir auch eigene Software, in der Regel mit Python. Vor allem im Rahmen von OSINT arbeiten wir zudem auch mit diversen Webservices.
Das hängt ganz davon ab was getestet werden soll und welche Tiefe der Penetrationtest aufweisen soll. Eine oberflächliche Überprüfung einer einzigen Webseite ist in ein oder zwei Tagen durchaus machbar. Für ein komplexes Firmennetzwerk können dagegen auch mehrere Wochen schon knapp bemessen sein. Sprechen Sie uns am besten an und wir schauen welcher Zeitraum für Ihre Bedürfnisse angemessen ist.
Wenn Sie möchten können wir Ihre Systeme auch auf Denial of Service Schwachstellen testen. Die meisten Kunden entschließen sich allerdings gegen diese Art von Tests, in diesem Fall dokumentieren wir mögliche DoS Schwachstellen lediglich ohne sie aktiv auszunutzen.