Fachgerechtes und rechtskonformes Penetration Testing
Netzwerk-Sicherheit als beauftragter Hacker prüfen
08.09.2008 | Autor / Redakteur: Marco Rogge / Stephan Augsten
Aktives Ausnutzen von Schwachstellen
Ist nach der Auswertung/Bewertung der Penetration-Test noch nicht abgeschlossen, so kann der Penetration-Tester nun beginnen, die vorgefundenen Schwachstellen aktiv auszunutzen. Hierbei ist natürlich darauf zu achten, dass Netzwerk-Komponenten nicht beschädigt werden und eine Ausnutzung keinen kriminellen Charakter bedeutet.
Der Penetration-Tester versetzt sich in die Rolle eines möglichen, nicht beauftragten Angreifers. Dabei können diverse Möglichkeiten genutzt werden, ein Netzwerk von innen oder von außen anzugreifen, um in das Netzwerk zu gelangen. Aber auch Angriffe auf Web-basierende Applikationen oder eben Social Engeneering sind möglich, sofern Schwachstellen gefunden wurden.
Wichtig ist in diesem Zusammenhang eine möglichst umfangreiche Dokumentation. Darin sollte der beauftragte Angreifer ausführlich beschreiben, wie es ihm gelungen ist eine Schwachstelle auszunutzen und wie er dabei genau vorgegangen ist.
Abschlussphase
Je nachdem, wie der Umfang in der Vorbereitungsphase besprochen und geregelt wurde, lassen sich nun die Ergebnisse des Penetration-Tests auswerten und genauer erläutern. Hierfür wird ein Bericht/Protokoll erstellt, um dem Auftraggeber die Schwachstellen aufzuzeigen. Aus den aufgezeigten Schwachstellen lassen sich dann Sicherheitsmaßnahmen ableiten, die so schnell als möglich umgesetzt werden sollten.
Bei einem solchen Test ist aber auch davon auszugehen, dass nicht alle Schwachstellen aufgefunden werden. Eine Betrachtung durch einen weiteren beauftragten Angreifer kann die Sicherheit weiter erhöhen. Ein strukturierter Ablauf von der Organisation bis hin zu rechtlichen Aspekten ist bei einem Penetration Test unabdingbar.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2015235 / Security-Testing)