Penetrationstest Ablauf in 4 Phasen
Das Ziel eines Penetrationstests wird individuell nach den Anforderungen des Unternehmens definiert. Ein Pentest beim Anbieter mioso – IT Security durchläuft in der Regel 4 Phasen. Der Start für einen Pentest beginnt noch bevor unsere Pentester einen simulierten Angriff auf das System starten. Das Unternehmen und seine Systeme inklusive der Stärken und Schwächen werden erforscht und die möglichen Strategien für einen Angriff ermittelt.
Wie ist der Pentest Ablauf beim Anbieter mioso – IT Security?
1. Planung und Vorbereitung
In der Vorbereitungsphase besprechen wir gemeinsam mit dem Kunden den Scope des Pentests und die erforderlichen Ressourcen von Seiten des Unternehmens. Hier wird der Testzeitraum festgelegt und unsere Pentester erhalten je nach Art des Pentests z.B. Benutzer-Accounts mit unterschiedlichen Berechtigungen oder lediglich eine Ziel IP. Bevor mit dem eigentlichen Pentest begonnen wird, werden in dieser Phase möglichst viele Informationen gesammelt, die von Interesse sein könnten. Hierfür werden verschiedene öffentlich verfügbare Informationsquellen durchsucht. Auch die möglichen Angriffsvektoren werden in der Vorbereitungsphase erkundet. Mitunter führen unsere Pentester auch Portscans durch und dokumentieren die Versionen von Diensten und Applikationen.
2. Automatisiertes Scannen
Die automatisierten Tests dienen als Grundlage der nachfolgenden manuellen Tests. Mit automatisierten Tools wird die Umgebung gescannt und so potentielle Schwachstellen und mögliche Angriffspunkte identifiziert. Die automatisierten Scans werden dabei immer von unseren qualifizierten IT-Security-Spezialisten überwacht, damit die Tools nicht über das Ziel hinaus schießen. Die Ergebnisse sehen wir als ergänzende Vorarbeit – nicht als Ersatz für einen manuellen Pentest.
3. Manuelles Penetrationtesting
Automatisierte Penetrationstests alleine reichen nicht aus. Da automatisierte Tools nur so gut sind, wie die vorhandene Datenbank mit bereits bekannten Schwachstellen, können nicht alle Sicherheitslücken und potenzielle Angriffsvektoren erkannt werden. Automatisierte Pentests liefern oft unvollständige und/oder inkorrekte Ergebnisse (z.B. False-Positive-Ergebnisse). Bei unserem manuellen Pentest werden die Ergebnisse aus dem automatisierten Scanning und Testing verifiziert und weitere komplexere Tests auf Verwundbarkeiten durchgeführt.
4. Validierung und Bericht
Die Ergebnisse des Pentests werden von uns als Anbieter in einem Bericht festgehalten. Sie erhalten zudem Vorschläge für Verbesserungsmaßnahmen zu den identifizierten Schwachstellen. Unser Abschlussbericht beinhaltet die Dokumentation der Vorgehensweise, detaillierte Testergebnisse und eine Schwachstellenliste mit den identifizierten Schwerpunkten. Schwachstellen werden genauer beschrieben und ggf. ein Proof of Concept geliefert. Zudem werden die gefundenen Schwachstellen mithilfe einer Risiko-Matrix klassifiziert. Wie ein Pentest-Report von mioso - IT Security aussehen kann, können Sie sich auf der Seite "Pentest Beispielreport" anschauen.