- Start
- Cyber Security
- Methodik
- Testvorgehen
Testvorgehen
Unser ausgereiftes und standardisiertes
Vorgehen führt zu präzisen Ergebnissen
Effiziente Prozesse. Verlässliche Ergebnisse.
Ziel
Das Ziel eines Penetrationstests besteht in der Identifikation von sicherheitsrelevanten Schwachstellen in IT-Systemen oder Prozessen der Kundenorganisation, welche die Schutzziele der Vertraulichkeit, Integrität oder Verfügbarkeit von Daten oder Systemen gefährden.
Arbeitsergebnis
Im Ergebnis der durchgeführten Analysen erhält der Kunde einen detaillierten Abschlussbericht, in dem sowohl die Schwachstellen detailliert beschrieben als auch konkrete Gegenmaßnahmen zu deren Beseitigung dargelegt sind. Der Bericht enthält weiterhin eine Management-Zusammenfassung zu den Ergebnissen, die ebenfalls Handlungsempfehlungen beinhalten. Der Abschlussbericht wird zum Abschluss des Projekts gegenüber dem Auftraggeber vorgestellt, um ein gemeinsames Verständnis für das Arbeitsergebnis zu erhalten. Weitere Details zum Ergebnisbericht haben wir Ihnen im folgenden Artikel zusammengefasst. Sprechen Sie uns gerne über das Kontaktformular oder via E-Mail an, wenn Sie an einem Beispielbericht der SmartTECS Cyber Security GmbH interessiert sind!
Im Folgenden wird der Prozess der Durchführung von Penetrationstests durch Security Consultants der SmartTECS Cyber Security GmbH beschrieben.
Phasen
Der Ablauf eines Projektes gliedert sich in verschiedene Phasen, die sequenziell durchlaufen werden. Das Vorgehen orientiert sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und wurde entsprechend den Projekterfahrungen der Security Consultants der SmartTECS Cyber Security GmbH über mehrere Jahre an das reale Projektgeschehen angepasst und verbessert.
Phase 1: Vorbereitung
Die zu prüfenden Systeme und Anwendungen innerhalb des Untersuchungsumfangs werden dokumentiert, sowie die Systeme und Funktionen bestimmt, die explizit vom Test ausgeschlossen sind.
Abhängig von der Komplexität des Testobjekts erfolgt eine Vorstellung des Systems durch den Auftraggeber. Um das Risiko von Verzögerungen im Projektablauf zu reduzieren, findet wenige Tage vor Testbeginn ein sogenannter Smoketest statt, in dem die Zugänge und Testvoraussetzungen zusammen mit dem Auftraggeber geprüft werden.
Phase 2: Informationsbeschaffung und -auswertung
Bei der passiven Informationsbeschaffung findet keine direkte Interaktion mit dem Zielsystem(en) statt. Es werden beispielsweise Suchmaschinen im Internet genutzt oder weitere Ziele über die Enumeration von DNS-Subdomänen identifiziert, um zusätzliche Informationen über das Testobjekt zu erhalten.
In der aktiven Phase der Informationsbeschaffung findet eine Interaktion mit den Systemen im Untersuchungsumfang, statt mit dem Ziel Informationen wie eingesetzte Betriebssysteme oder angebotene Dienste im Netzwerk zu beschaffen. Hierbei kommen bspw. Techniken des Portscannings (TCP, UDP, ICMP, ARP) zum Einsatz.
Phase 3: Identifikation von Schwachstellen
Phase 4: Ausnutzen von Schwachstellen
Phase 5: Ergebnisdokumentation und Aufräumarbeiten
Abschließend werden den Ansprechpartnern des Auftraggebers die Ergebnisse präsentiert und Empfehlungen zum weiteren Vorgehen zur Behebung der Schwachstellen gegeben.
Unser Arbeitsergebnis
Im Ergebnis der durchgeführten Analysen erhält der Kunde einen detaillierten Abschlussbericht, in dem sowohl die Schwachstellen detailliert beschrieben als auch konkrete Gegenmaßnahmen zu deren Beseitigung dargelegt sind. Strukturell und inhaltlich unterscheidet sich die Abschlussdokumentation eines Penetrationstest abhängig von der gewählten Testkategorie bzw. -art (bspw. Quellcodeanalyse, Netzwerk- und Infrastrukturtest oder Webapplikationstest). Allerdings halten sich die Abschlussdokumente der SmartTECS Cyber Security GmbH im Bereich des Penetrationstests an die folgende übergeordnete Struktur:
Executive Summary
Ergebnisübersicht
Allgemeine Informationen zur Analyse
Testergebnis
Anhang
Testergebnisse
Die Dokumentation der Ergebnisse, die während des Analysezeitraums identifiziert werden, orientieren sich bei der SmartTECS Cyber Security GmbH dem folgenden Schema. Abweichungen finden ausschließlich statt, wenn es die Testart oder Dokumentation erfordert.