Sicherheit in der IT gehört heutzutage dazu. Um erfolgreiche Angriffe abzuwehren, Daten zu schützen und Lieferketten aufrechtzuerhalten, sollten regelmäßig Maßnahmen ergriffen werden. Der Penetration Testing Execution Standard (PTES) kann Ihnen dabei helfen Angebote einzuholen und zu vergleichen. In diesem Beitrag klären wir darüber auf, was hinter dem PTES konkret verbirgt.
Was genau kann man sich unter dem PTES vorstellen?
Der Penetration Testing Execution Standard lässt sich im Deutschen mit “Ausführungsstandard von Penetrationstest” übersetzen. Dies bedeutet, dass es hierum geht, wie solche Pentests eigentlich ablaufen. Insgesamt lassen sich diese in 7 verschiedene Stufen, die auch als die Hauptabschnitte bekannt sind, unterteilen.
Unter diesen Punkten wird quasi alles abgedeckt, was zur Arbeit eines Pentest Anbieters gehört. So zählt auch die anfängliche Kontaktaufnahme und Diskussion, wie dabei vorgegangen wird, dazu. Gleiches gilt natürlich für die eigentliche Analyse der IT Sicherheit, die dabei durchgeführt wird. Zu den Hauptabschnitten zählen folgende Punkte:
- Pre-Engagement Interactions (Vorbereitung)
- Intelligence Gathering (Informationsbeschaffung)
- Threat Modeling (Gefahrenanalyse)
- Vulnerability Analysis (Schwachstellenanalyse)
- Exploitation (Ausnutzen von Schwachstellen)
- Post Exploitation
- Reporting (Berichterstattung)
Vorteile der Nutzung des PTES
Der PTES kann Ihnen einen klaren Überblick bezüglich der Durchführung eines Pentestes geben und was dabei empfehlenswerterweise zu befolgen ist. Es ist nämlich überaus wichtig, dass dieser einer bestimmten Logik folgt und nicht willkürlich ausgeführt wird. Mithilfe des Penetration Testing Execution Standards lassen sich so sichere Ergebnisse liefern, die Ihnen bei der Weiterbearbeitung Ihrer IT Sicherheit behiflich sein können.
Jeder dieser Tests ist anders, da es immer ganz individuell bestimmt wird und von Anbieter zu Anbieter nicht unterschiedlicher sein kann. Demnach ist die Methodik, der Sie dabei folgen, umso wichtiger. Somit helfen klare Richtlinien bezüglich des Testes weiter.
Bedeutung der einzelnen Stufen von PTES
Die einzelnen Stufen des Penetration Testing Execution Standards sind eine Orientierung und sollten vor allem bei der erstmaligen Durchführung bzw. bei der Zusammenarbeit mit neuen Dienstleistern befolgt werden. Die einzelnen Schritte stellen wir im Detail vor:
1. Pre-Engagement Interactions
Pre-Engagement Interactions stellt die erste Stufe dar. Es handelt sich dabei so viel wie um Vorbereitungen, die besprochen und anschließend getroffen werden müssen, bevor es zur eigentlichen Analyse der Anwendung oder Infrastruktur geht. In diesem Schritt ist wichtig, herauszufinden, wie hoch der Aufwand ist, der betrieben werden muss und wie es um die Maßnahmen steht.
Dies ist ein essenzieller Schritt, der keinesfalls ausgelassen werden sollte. Wichtig ist zu beachten, welchen Umfang die Arbeiten haben sollen und was für Vorüberlegungen dahingehend zu treffen zu sind. Auch die ersten Maßnahmen zur Durchführung eines einwandfreien Tests sind diesem Schritt zuzuordnen. Das Whitelisting der IP-Adresse kann z. B. eine Maßnahmen sein.
2. Intelligence Gathering
Intelligence Gathering wird auch als “OSINT-Phase” bezeichnet und ist im Grunde die Informationsbeschaffung für die Analyse. Das Ziel ist es, so viele Informationen wie möglich zu sammeln, um so viel wie möglich über die Situation des Kunden zu erfahren. Danach fließen diese in den Arbeitsprozess ein. Auf diesen Schritt ist nicht zu verzichten. Häufig kommen automatisierte Tools zum Einsatz. Die Ergebnisse werden im Anschluss von Experten bewertet. Nicht selten werden auf Basis der gewonnenen Informationen Angriffe auf das Passwort von Mitarbeiter:innen durchgeführt. Das macht die nachfolgenden Schritte um ein Vielfaches leichter.
3. Threat Modeling
Im nächsten Schritt geht es in die tatsächliche Testphase. Threat Modeling beschäftigt sich mit der Simulation eines Hackers, um herauszufinden, wie es um die tatsächliche Sicherheit der Anwendung oder Infrastruktur bestellt ist. Die Ergebnisse werden organisiert, systematisch und koordiniert, ermittelt und erfasst. Dieser Punkt unterscheidet sich fundamental von dem eines Angreifers.
4. Vulnerability Analysis
Nachdem die Ziele bekannt sind, kommt es zum nächsten Schritt. Es kommt zur Vulnerability Analysis, um die Schwachstellen korrekt zu prüfen. Dabei sind nicht nur allgemeine Scans von Schwachstellen Bestandteil der Untersuchung. Auch die manuelle Erfassung und Prüfung zählt zum üblichen Umfang einer Vulnerability Analysis. Ausgewählte Schwachstellen werden für die nächste Phase benutzt.
5. Exploitation
In dieser Phase werden Schwachstellen für den Kunden ausgenutzt. In dieser Phase wird der Proof-of-Work erbracht. Damit ist der Beweis der Funktionstüchtigkeit der Schwachstelle gemeint. In diesem wird offenbart, wie sich jemand z.B Zugriff auf Datenquellen des Unternehmens verschaffen könnte.
6. Post-Exploitation
Nachdem das anzugreifende System erfolgreich kompromittiert worden ist, geht es um die Ausweitung von Rechten bzw. Erkundung des Systems. So versuchen Pentester z. B. Daten zu extrahieren. Wirklicher Schaden wird damit natürlich nicht angerichtet. Durch die Ergebnisse lässt sich herausfinden, wo Cyberkriminelle eindringen können. Auch die Möglichkeiten der Angreifer im internen Netz sind eine wichtige Erkenntnis für das Unternehmen.
7. Reporting
Der letzte Schritt bei PTES ist das sogenannte Reporting. Es handelt sich hierbei um eine Berichterstattung. Sämtliche Funde werden dokumentiert. Es sollte berücksichtigt werden, für welche Zielgruppe der Bericht gefordert ist. Um die Ergebnisse aufzuarbeiten und den Reifegrad der IT-Sicherheit mittel- und langfristig zu erhöhen, gilt es auch Gegenmaßnahmen aufzuzeigen. Lassen Sie sich vor Beauftragung im besten Fall einen Pentest Beispielreport zu Verfügung stellen.
Der Penetration Testing Execution Standard – ein Fazit!
Insgesamt gibt es zu sagen, dass der PTES nicht mehr aus der täglichen Arbeit und Durchführung von Pentests wegzudenken ist. Dabei bietet der PTES nur ein Rahmenwerk an. Die inhaltliche Ausgestaltung wird zu einem großen Teil von Ihrem Anbieter durchgeführt.