Jede Methodologie für Penetrationstests hat spezifische Anwendungsfälle und Vorteile. Organisationen sollten die Methodologie basierend auf ihren Sicherheitszielen, der technischen Umgebung und den Compliance-Anforderungen auswählen.
Für unterschiedliche digitale Assets existieren verschiedene Methodologien. Im folgenden Überblick werden deren Schwerpunkte, Stärken und Schwächen vorgestellt.
OWASP-Penetrationstest-Methodologie
Die OWASP (Open Web Application Security Project) Penetrationstest-Methodologie ist eine der bekanntesten Frameworks für Penetrationstests. Sie bietet einen strukturierten Ansatz zur Bewertung der Sicherheit von Webanwendungen (es gibt auch andere Frameworks, z. B. für mobile Anwendungen). OWASP wird häufig zur Identifizierung von Schwachstellen und zur Sicherstellung der Zuverlässigkeit von Websoftware eingesetzt. Der OWASP Web Security Testing Guide (WSTG) bildet das Kernstück dieser Methodologie und enthält spezifische Tests und Werkzeuge zur Erkennung von Sicherheitsproblemen in Webanwendungen.
Diese Methodologie konzentriert sich größtenteils auf den Black-Box-Ansatz, der einen externen Angriff ohne Kenntnis der internen Struktur der Anwendung simuliert. Sie legt Wert auf den Einsatz praktischer Werkzeuge und Techniken und umfasst Bereiche wie Eingabevalidierung, Authentifizierung, Sitzungsmanagement und Tests der Geschäftslogik. Sie ist entscheidend, um die Sicherheitslage einer Anwendung gegen moderne Cyber-Bedrohungen zu stärken.
OWASP bietet umfassende Abdeckung, da es alle wichtigen Aspekte der Sicherheit von Webanwendungen abdeckt, von technischen Schwachstellen bis hin zu Geschäftslogikproblemen. Es ist frei verfügbar und somit für Organisationen jeder Größe zugänglich, wobei regelmäßige Updates sicherstellen, dass es den neuesten Stand der Webanwendungssicherheit widerspiegelt.
Allerdings hängt die Effektivität stark von der Expertise und Erfahrung der Tester ab. Außerdem eignet es sich weniger für Tests in anderen Bereichen.
NIST SP 800-115 Penetrationstest-Methodologie
NIST SP 800-115, mit dem Titel „Technische Anleitung zu Informationssicherheitsprüfungen und -bewertungen“, bietet einen strukturierten Rahmen für die Durchführung von Penetrationstests und anderen Sicherheitsbewertungen. Ziel ist es, Organisationen bei der Bewertung der Wirksamkeit ihrer Sicherheitskontrollen durch die Simulation realer Angriffe zu unterstützen. Die Methodologie umfasst drei Phasen:
- Planung: Definieren von Zielen und Umfang, Festlegen von Rollen und Verantwortlichkeiten, sowie Regeln für das Vorgehen und Identifizierung von Zielen und Einschränkungen.
- Durchführung: Sammeln von Informationen, Identifizieren von Schwachstellen, Ausnutzen von Schwachstellen zur Demonstration ihrer Auswirkungen und Echtzeit-Dokumentation der Ergebnisse.
- Nachbereitung: Analyse der Ergebnisse zur Priorisierung von Maßnahmen und Erstellung eines umfassenden Berichts mit detaillierten Ergebnissen, Risiken und Strategien zur Schadensbegrenzung.
NIST SP 800-115 zeichnet sich durch einen umfassenden Rahmen aus, da es verschiedene Testtechniken abdeckt, einschließlich Netzwerksicherheits-, Anwendungs- und physischer Sicherheitsbewertungen. Es fördert Konsistenz zwischen den Testteams und Umgebungen sowie klare Maßnahmen zur Schadensbegrenzung und Risikopriorisierung.
Jedoch fehlt es an spezifischen technischen Schritten für einzigartige Umgebungen. Zudem ist es ressourcenintensiv und erfordert qualifiziertes Personal sowie erheblichen Zeitaufwand.
SANS Penetrationstest-Framework
Die SANS Penetrationstest-Methodologie basiert auf bewährten Verfahren, die vom SANS Institute, einem führenden Anbieter für Cybersecurity-Trainings und -Zertifizierungen, entwickelt wurden. Diese Methodologie bietet einen strukturierten Ansatz zum ethischen Hacken und wird häufig zur Identifizierung von Schwachstellen und zur Simulation realer Angriffe verwendet. Sie wird oft mit SANS-Kursen wie SEC560 (Netzwerk-Penetrationstest und Ethisches Hacken) und SEC542 (Web-App-Penetrationstest und Ethisches Hacken) kombiniert.
Die Methodologie umfasst folgende Schritte:
- Aufklärung: Sammeln von Open-Source-Intelligence (OSINT), um die Zielumgebung zu verstehen.
- Scanning: Identifizieren aktiver Hosts, offener Ports und Dienste mithilfe von Tools wie Nmap.
- Ausnutzung: Nutzung der beim Scanning gefundenen Schwachstellen, um unbefugten Zugriff zu erlangen.
- Nachbearbeitung: Aufrechterhaltung des Zugriffs, Privilegienausweitung und Zugriff auf weitere Systeme.
- Berichterstellung: Dokumentation der Ergebnisse, Risiken und Maßnahmen zur Schadensbegrenzung.
Dieses Framework zeichnet sich durch praktische Ansätze aus, da es sich auf reale Szenarien und praktische Techniken konzentriert. Es deckt alle wichtigen Aspekte von Penetrationstests ab, von der Aufklärung bis zur Berichterstellung, und wird durch umfangreiche SANS-Trainingsprogramme und Zertifizierungen unterstützt.
Jedoch erfordert es erfahrene Tester und ist zeitaufwändig. Außerdem wird stark auf Tools wie Metasploit und Burp Suite gesetzt, was die Kreativität in bestimmten Szenarien einschränken könnte.
CREST Penetrationstest-Methodologie
Die CREST (Council of Registered Ethical Security Testers) Penetrationstest-Methodologie ist ein standardisiertes und weltweit anerkanntes Framework für Penetrationstests. Es stellt sicher, dass Tests von zertifizierten Fachleuten durchgeführt werden, die konsistente, detaillierte und ethische Verfahren befolgen, um die Cybersicherheitslage einer Organisation zu bewerten. Die CREST-Akkreditierung garantiert qualitativ hochwertige, präzise und vertrauenswürdige Tests.
CREST-zertifizierte Penetrationstests umfassen autorisierte simulierte Cyberangriffe, um Schwachstellen in IT-Systemen, Netzwerken und Anwendungen zu bewerten. Die Methodologie legt Wert auf eine robuste Dokumentation, Planungen vor der Engagement-Phase sowie die Einhaltung ethischer und professioneller Standards.
Die CREST-Zertifizierung ist glaubwürdig und stellt sicher, dass weltweit anerkannte Standards von Professionalität und Expertise eingehalten werden. Sie umfasst verschiedene Bereiche wie Netzwerk-, Anwendungs- und Infrastrukturtests und bietet detaillierte und umsetzbare Berichte, die Stakeholder bei der Umsetzung von Korrekturmaßnahmen unterstützen.
Jedoch können CREST-zertifizierte Dienstleistungen aufgrund der rigorosen Zertifizierung und der hohen Ressourcenanforderungen kostspielig sein. Der Zertifizierungsprozess und die Durchführung können länger dauern als bei nicht standardisierten Methodologien.
Die genannten Methodologien können für unterschiedliche Arten von Penetrationstests verwendet werden, z. B. für Web- oder Mobile-Tests. Ein professionelles Penetrationstest-Unternehmen kann diese Standards bei der Arbeit mit Endkunden oder White-Label-Partnern nutzen und dabei seine Expertise für die allgemeine Cybersicherheit einbringen.