Das unautorisierte Eindringen eines Angreifers in IT-Systeme und Anwendungen hat erhebliche Konsequenzen für Unternehmen. Pentests identifizieren mögliche Einfallstore und zeigen Wege auf, das IT Sicherheitsniveau eines Unternehmens nachhaltig zu verbessern. Damit gehören sie zu den effektivsten Methoden der Sicherheitsanalyse, mit denen sich Unternehmen proaktiv vor Hacker-Angriffen schützen können. Hierbei versucht der durchführende Security Analyst (Pentester), mit denselben Methoden und Mitteln in die IT-Infrastruktur eines Unternehmens einzudringen, die auch ein Angreifer nutzen würde. In unserer Reihe stellen wir Ihnen drei Analyseansätze zur Pentest Durchführung vor, die für unterschiedliche Motivationen und Möglichkeiten des Angreifers stehen.
Blackbox-, Whitebox- oder Greybox-Ansatz?
Beim Blackbox-Pentest verfügt der Pentester anfangs über keine oder nur sehr wenig Informationen, die für den Zugriff auf das Zielsystem benötigt werden. Diese fehlenden Informationen, z.B. über vorhandene Schutzmechanismen, Schnittstellendefinitionen und Benutzerkonten, können vom Pentester erst während der Analyse recherchiert werden. Dieser Test simuliert den Angriff eines externen Angreifers ohne Insiderwissen.
Während eines Whitebox-Pentests besitzt der Pentester hingegen detailliertes Wissen über das Zielsystem (z.B. Netzwerkpläne, Schnittstellendefinitionen), hat Zugriff auf den Quellcode der zu testenden Anwendungen sowie Nutzer- oder Administratorrechte. Dadurch wird ein Angriff durch Personen simuliert, die beispielsweise Zugang zum System hatten oder noch aktiv haben.
Der Greybox-Pentest kombiniert die Eigenschaften des White- und Blackbox-Pentests. Der Pentester verfügt hier über begrenztes Insiderwissen über das Zielsystem, wie z.B. die IP-Adresse inkl. Berechtigung einer bestimmten Benutzerrolle. Dieser Ansatz simuliert einen Hacker-Angriff mit Hilfe eines Insiders.
Was bedeutet das konkret für die Pentest-Durchführung?
Die Analyseansätze unterscheiden sich hauptsächlich in der Testpräzision, im Umfang und im Zeitaufwand. Bei einem Blackbox-Pentest verfügt der Pentester über unvollständige Informationen über das Prüfobjekt, die jedoch für die Analyse notwendig sind. Dies führt dazu, dass mehr Zeit für die Informationsbeschaffung benötigt wird und weniger Zeit für die tatsächlich tiefgehende Prüfung bleibt. Somit könnten einige Funktionalitäten ungeprüft bleiben. Insbesondere die Bereitstellung des Quellcodes während des Whitebox-Pentests führt zu einer enormen Steigerung der Prüftiefe. Der Pentester führt zwar kein komplettes Code Review durch, kann aber im Quellcode nachlesen, wie sich die Anwendung bei bestimmten Eingaben verhält.
Wir führen Pentests vorwiegend auf Basis des Greybox-Ansatzes durch. Unsere jahrelange Erfahrung zeigt, dass dieser Ansatz bei den meisten Projekten das optimale Verhältnis zwischen Aufwand und Nutzen liefert. Selbstverständlich bieten wir grundsätzlich die Durchführung nach jedem der drei Pentest-Ansätze an.
Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre Systeme von unseren Security Analysten des usd HeroLabs überprüfen zu lassen. Sprechen Sie uns einfach an.