Planung und Management professioneller Sicherheitsüberprüfungen - Teil 2

Notfallplanung und Angriffsmethoden

26.01.2009 | Autor / Redakteur: Marko Rogge / Peter Schmitz

Noch vor dem Start eines Pen-Tests muss es eine Notfallplanung für den Fall eines erfolgreichen Angriffs geben.
Noch vor dem Start eines Pen-Tests muss es eine Notfallplanung für den Fall eines erfolgreichen Angriffs geben.

Penetrationstests helfen dabei die eigene Netzwerksicherheit zu überprüfen, bevor dies ein Hacker für Sie tut. Mit einer durchdachten Organisation und Strukturierung eines Pen-Tests sind Sie in der Lage, daraus gezielte Informationen für die Erhöhung der Sicherheit zu erhalten und entsprechend umzusetzen. Bevor es aber zum eigentlichen Test kommen darf muss zunächst noch die Notfallplanung geregelt sein, um Zwischenfälle zu vermeiden.

Im ersten Artikel zum Thema Planung und Management professioneller Sicherheitsüberprüfungen haben wir Ihnen gezeigt, welche Schritte es bei der vorbereitenden Planung zu beachten gilt. So muss sichergestellt sein, wer die Verantwortlichen für den Penetrationstest sind, was und wie zu dokumentieren ist, welche Erreichbarkeiten gegeben sein müssen, dass der Datenschutz eingehalten wird, und die Sicherheit des Unternehmens dabei nicht aus den Augen zu verlieren ist.

In diesem Artikel wollen wir nun die Notfallplanung näher beleuchten. Sie muss sicherstellen, dass genau bekannt ist, wie in einem Notfall vorzugehen ist. Ein Notfall tritt ein, wenn ein Angriff erfolgreich ist, und somit z.B. ein Netzwerksegment ausfällt. In einer solchen Eskalationssituation ist es von erheblicher Bedeutung, dass geregelte Abläufe den Test, aber auch die Sicherheit des Unternehmens nicht gefährden. Je nach Einstufung der Prozesse darf auch die Produktion nicht in Mitleidenschaft gezogen werden. Demnach ist es also von Bedeutung, das mögliche Eskalationsprozesse erkannt, erfasst, beschrieben und dokumentiert werden. Es muss deutlich daraus hervor gehen, was in so einer Situation getan werden muss.

Beispiel: Regeln Sie, welche Systeme eine Redundanz aufbauen könnten, für den Fall, dass Produktivsysteme ausfallen sollten. Stellen Sie in diesem Fall auch sicher, dass Software, die durch einen Test ausfallen kann, schnell und zuverlässig wieder hergestellt werden kann.

Mit einer geeigneten Backupstrategie, die in einer Security Policy vorhanden sein sollte, dürfte dies sicherzustellen sein.

Grundlegende Unterscheidung von White- und Black-Boxing

Ist der Prozess des „Notfallmanagement“, den wir hier nur anreißen können, abgeschlossen, sollte damit begonnen werden, eine geeignete Überprüfungsmethode zu wählen. Dabei sollten Sie sich vorab in die unterschiedlichen Arten der Überprüfungsmethoden einweisen lassen, um für das Unternehmen die richtige und effiziente Methode wählen zu können. Dabei können wir grundlegend zwei Methoden der Sicherheitsüberprüfung unterscheiden.

White Box Methode

  • Informationen für einen Test werden zur Verfügung gestellt.
  • Das System wird angegriffen, um Schwachstellen und Informationen aufzudecken und aufzuzeigen.
  • Sicherheit für die anzugreifenden Segmente oder Netzwerke, durch größere Sorgfalt und Vorsicht.
  • Sorgfältige Dokumentation und Aufzeigen von Schwachstellen als Ziel.

Black Box Methode

  • Der Angreifer/Tester muss sich die meisten Informationen selbst einholen.
  • Mehr Eigennutz bei der Aufdeckung von Schwachstellen und dem Erlangen von Informationen.
  • Oftmals destruktive Angriffsmethoden, die auch ganze Netzwerke oder Server lahm legen können.
  • Exploiting, das Ausnutzen von Schwachstellen, ist hier das Ziel.

Seite 2: Auswahl der Überprüfungsmethoden

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2018908 / Security-Testing)