Penetrationstests (Pen-Tests) sind eine kritische und unverzichtbare Komponente, die jede Organisation in ihrer Cybersicherheitsarmory haben muss. Mit Penetrationstests können Unternehmen die Stärke und Wirksamkeit ihrer Sicherheitsmaßnahmen bewerten, wenn vertrauenswürdige Pen-Tester Cyberangriffe unter sicheren Bedingungen simulieren und einen Bericht mit dem Status und Vorschlägen für Gegenmaßnahmen zur Risikominimierung und Verbesserung der Sicherheitslage einreichen.Es ist nicht ratsam oder finanziell tragfähig, Pen-Tests zufällig / blind oder für alle Ihre digitalen Assets und Komponenten der Website / Webanwendung / des Netzwerks durchzuführen. Der Umfang und das Intrusionsniveau eines Pen-Tests hängen von Ihren erwarteten Ergebnissen, Bedürfnissen und Ihrem Kontext ab. Ein vertrauenswürdiger und erfahrener Sicherheitsexperte wie Indusface wählt immer die richtige Mischung aus Penetrationstest-Tools, -Methoden und -techniken basierend auf diesen Parametern.

In diesem Artikel werden wir uns Penetrationstests ansehen, die auf der Grundlage der Durchführung der Tests / Methoden sowie der Komponenten / Assets / Bereiche, auf die Sie abzielen, klassifiziert werden.

Pen-Testing-Typen basierend auf verwendeten Methoden

a. Black Box Testing

Black Box Pen-Testing, auch als externes Testen oder Trial-and-Error-Testing bezeichnet, ist der Ort, an dem die nach außen gerichteten Assets des Unternehmens / Assets im Internet sichtbar sind. Diese Art von Tests emulieren einen realen Angriff, bei dem der Tester die Besonderheiten der Anwendung / des Netzwerks / des Systems nicht kennt und einen Brute-Force-Angriff oder einen blinden Angriff auf die IT-Infrastruktur startet.

Der Tester extrahiert Erkenntnisse über die Ziele und bewertet ihre Funktionalität basierend auf Eingaben von Bots oder anderen automatisierten Prozessen und Tools, die Schwachstellen und Lücken im Zielsystem / Netzwerk / in der Zielanwendung aufdecken.

b. White Box Testing

White Box Pen-Testing, auch bekannt als Internal Testing oder Structural / Clear/ Glass Box Testing, ist, wo der Tester Root- / Admin-Level-Zugriff auf und vollständige Informationen über die Systeme / Netzwerke / Anwendungen hat, die getestet werden sollen, einschließlich des Quellcodes, des IP-Adressschemas, der Betriebssystemdetails usw. Ziel ist es, die interne Struktur und Stärke der Systeme / Netzwerke / Anwendungen gegen böswillige Insider oder einen Außenstehenden zu testen, der die Anmeldeinformationen mithilfe eines Phishing-Angriffs gestohlen hat.Mit White-Box-Tests können Sie nachvollziehen, ob interne Vorgänge und Module ordnungsgemäß gemäß den Spezifikationen ausgeführt werden, und logische, Design-, typografische und Syntaxfehler sowie Fehlkonfigurationen innerhalb der Infrastruktur oder Umgebung erkennen. Diese erfordern viel ausgefeiltere Penetrationstestwerkzeuge.

c. Grey Box Testing

Grey Box Pen-Testing ist der Test, bei dem dem Tester Teilinformationen über die Systeme / Netzwerke/ Anwendungen zur Verfügung gestellt werden, wie z. B. Zugriff auf Softwarecode, Systemarchitekturdiagramme usw. um einen Angriff zu simulieren. Diese Art von Test emuliert ein Szenario, in dem eine externe Entität unrechtmäßigen Zugriff auf Infrastrukturdokumente erhalten hat, und verfolgt, wie sich der partielle Informationszugriff auf das Ziel auswirkt.

Pen-Testing-Typen basierend auf Zielkomponenten / Assets/ Bereichen

  1. Network Services Testing

Die gebräuchlichste und gefragteste Art von Pen-Test, Network Services Testing, versucht Schwachstellen und Lücken in der Netzwerkinfrastruktur aufzudecken und kombiniert sowohl interne / clientseitige als auch externe / Remote-Tests. Es ist keine tiefe art von stift test. Zu den Zielbereichen des Netzwerks gehören Firewall-Konfiguration, statusorientierte Analyse, SQL Server, SMTP-Mailserver, DNS, IPS-Umgehung usw.

2. Web Application Testing ist eine viel intensivere, tiefere, detailliertere und gezieltere Art von Pen-Test, um Schwachstellen, Lücken und Fehlkonfigurationen in der Web-App aufzudecken. Es ist eine zeitaufwändige und komplexe Art des Testens, bei der Planung und Strategie für eine höhere Effektivität unerlässlich sind. Zu den hier angesprochenen Bereichen gehören APIs, ActiveX, Plug-Ins, Applets, Scriptlets usw.

3. Clientseitiges Testen

Diese Art von Tests zielt darauf ab, Schwachstellen in der Software zu identifizieren, die lokal auftreten und vom Client aus ausgenutzt werden können. Zum Beispiel Webbrowser, Software zur Erstellung von Inhalten (MS Office Suite, Photoshop, Adobe Page Maker), Mediaplayer usw.

4. Social Engineering Testing

Hier versucht der Tester, einen Angriff zu simulieren, indem er Mitarbeiter / Benutzer dazu verleitet, an proprietäre oder vertrauliche Informationen zu gelangen. Ziel ist es, das Bewusstsein und die Stärke des menschlichen Netzwerks in der Organisation zu testen. Es gibt zwei Unterkategorien in Social Engineering-Tests:

  • Ferntests, bei denen Phishing-Techniken verwendet werden, um vertrauliche Informationen auf elektronischem Wege zu stehlen.
  • Physische Tests, bei denen der Tester physische Mittel oder Präsenz durch Identitätswechsel, Müllcontainertauchen, Drohungen, überzeugende Telefonanrufe usw. verwendet. um Zugang zu vertraulichen Informationen zu erhalten.

5. Wireless Network Testing

Diese Art von Pen-Testing zielt darauf ab, Schwachstellen und Schwächen in den auf der Clientseite verwendeten drahtlosen Geräten zu identifizieren. Zum Beispiel Tablets, Smartphones, Notebooks usw. Diese Tests umfassen auch drahtlose Protokolle, drahtlose Zugangspunkte und Administratoranmeldeinformationen.

Wählen Sie die richtige Mischung aus Penetrationstest-Tools, um die dringend benötigten Elemente der Proaktivität und des Wahrnehmungsvermögens in die Sicherheitsbemühungen Ihres Unternehmens einfließen zu lassen.

web application security banner