Security Audit 
Security Audit / Pentest
Ziel eines Security Audits oder Pentests ist die systematische Suche nach Schwachstellen in Netzwerken, Hosts oder Programmen sowie das Erarbeiten von Vorschlägen, wie daraus potentiell resultierende Probleme eliminiert und möglichst für die Zukunft verhindert werden können. Dabei überprüfen wir alle gängigen Hard-/Software Plattformen. Wichtig ist, daß ein Pentest immer nur den aktuellen Stand der Sicherheit überprüfen kann. Aus diesem Grund ist eine jährliche Durchführung empfohlen.
Beschreibung
Audit bezeichnet einen Vorgang, bei dem meist von einem entfernten Standort aus der momentane Stand der IT-Sicherheit ermittelt und im Hinblick auf Vollständigkeit sowie Verbesserungsmöglichkeiten geprüft wird. Auf diese Weise erhält man relativ zuverlässige Anhaltspunkte für mögliche Angriffsvektoren.
Das Resultat stellt ein detaillierter Audit-Bericht mit Maßnahmenkatalog dar. Kernbestandteil des Security Auditings bzw. Pentests sind realistisch simulierte Angriffe auf IT Infrastruktur wie dort befindliche Server, Workstations, Switches, Drucker, Webcams, Telefonanlagen oder andere an das Netzwerk angeschlossene Hardware. Werden Schwachstellen gefunden, die durch Patches behebbar sind, so werden diese im PatchGuide aufgeführt, andernfalls werden i.d.R. Empfehlungen ausgesprochen, welche den Angriffsvektor zumindest einschränken.
Bereits vorhandene Sicherheitsinfrastruktur kann so zudem effektiv und unter möglichst realistischen Bedingungen getestet werden, vor allem im Hinblick auf die gewünschte Funktionsweise.
Arten
Blackbox
Ein Blackbox Pentest wird aus Sicht eines externen Angreifers, ohne jegliches Vorwissen ausser den IP-Adressen des Zielnetzwerkes remote, in einem definierten Zeitfenster von einer Woche, zumindest aber mehrere Tage lang durchgeführt. Dabei werden meist aus Effizienzgründen mehrere Mitarbeiter gleichzeitig von verschiedenen Standorten aus eingesetzt, um die Effizienz zu erhöhen. Ziel sind meist weit weniger Hosts als beim Whitebox Pentest, aber es wird über einen viel längeren Zeitraum und viel unauffälliger vorgegangen.
Greybox
Beim Greybox Pentest handelt es sich um eine Mischform, jedoch ähnelt die Durchführung sehr einem Blackbox Pentest. Der Unterschied besteht darin, daß beschränkt ausgesuchte Informationen wie gültige Zugangsdaten bekannt sind, so daß die Angriffe teilweise aus Sicht eines "normalen" Systemnutzers ausgeführt werden. Wichtig ist hier also die Gesamtsicherheit der Betriebssysteme und der Dienste.
Whitebox
Ein Whitebox Pentest wird meist nicht von einem entfernten Standort durchgeführt, sondern höchstens gesteuert. Im Normalfall befinden sich entweder Pentester vor Ort im Netzwerk des Kunden, oder aber ein Rechner wird dort plaziert/präpariert, um Angriffe mit hoher Bandbreite, typischerweise bis zu 100Mbit, in das lokale Netzwerk fahren zu können, was aufgrund der meist sehr hohen Anzahl von Hosts einen grossen Performancegewinn bedeutet. Das Zeitfenster umfasst üblicherweise nur mehrere Stunden oder einen Tag, da hier das gesamte Netzwerk getestet wird, ein längerer Totalausfall wichtiger Infrastruktur aber unerwünscht ist. Durch die relativ rasche Durchführung bleibt also genug Zeit, potentielle Probleme umgehend zu beseitigen, empfohlen ist die Durchführung am Wochende und nicht zur Hauptbetriebszeit.
Vorteile
- Zuverlässige Aussagen über aktuellen Sicherheitsstand von Netzwerk, Hosts und Diensten
- Wahl zwischen Blackbox, Greybox und Whitebox
- Möglichkeit eines Security Audit-Vertrages zur regelmässigen Kontrolle (empfohlen lt. PCI DSS)
- Identifizieren und Ausnutzen von Schwachstellen zur Verifizierung
- Testen auf Netzwerk- und Betriebssystem-Fehlkonfigurationen
- Abschlußbericht mit Sicherheitsabschätzung und -empfehlungen
- Non-Disclosure-Agreement (NDA)
- Kompletter Mitschnitt der Netzwerkkommunikation, falls erwünscht
- Teilweise Orientierung an BSI IT Grundschutzhandbuch, OSSTMM und PCI-DSS v2