IT SICHERHEITS-AUDITOREN

Transkript

1 PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1

2 Einführung Konsequente Penetration Tests, regelmäßige Sicherheitsüberprüfungen und eine ständige Aktualisierung der IT-Systeme einer Organisation sind wesentliche Eckpfeiler zur Sicherung der Vertraulichkeit, Verfügbarkeit und Integrität Ihres Unternehmens. Dabei ist es die Mission von Blue Frost Security, unseren Kunden qualitativ hochwertige, zuverlässige und anspruchsvolle Alternativen für die Entwicklung und Implementierung von Sicherheitsprüfungen sowie Testszenarien zu bieten vor Ort und international. Hierbei fungieren wir als Partner und vertrauter Berater unserer Kunden. Jeder unserer Analysten bringt ein spezielles Expertenwissen aus seinem Bereich mit ein. Überraschende Tatsachen Schwachstellen in der Konfiguration und unbenutzte oder veraltete Systeme beeinträchtigen erheblich die Geschwindigkeit, Sicherheit und Qualität der IT-Systeme einer Organisation. Überraschender Weise ist dies noch oft in vielen Unternehmen der Fall. Während das Personal eines Unternehmens sich auf sein Kerngeschäft konzentriert, bleiben in vielen Fällen kritische Daten (Entwürfe, Patente, Kundendaten) ungesichert und warten nur darauf, von Hackern mit kommerzieller Absicht mißbraucht zu werden. Die aktuelle Realität sieht so aus, dass zusätzliche Ressourcen bereitgestellt werden müssen, um etwas zu schützen, das uns trivial erscheint alle unsere Unternehmensdaten. Bitte nehmen Sie sich die Zeit und studieren Sie unsere Broschüre, um besser zu verstehen, wie wir Ihre Organisation bei der grundlegenden Arbeit an diesem Ziel unterstützen können. Produkte und Dienstleistungen 1. IT-Infrastruktur: Penetrationstests und Sicherheitsberatung 2. ISO : Prüfungen, Implementierung und Zertifizierung 3. PCI-DSS Lösungen: Sicherung des Standards mit Prüfnachweis zur Konformität 4. IT-Sicherheit: Schulungen, Workshops und individuelle Trainings 5. Digitale Forensik: Erkennen, Identifizieren, Sicherstellen, Analysieren, Berichten 2 Blue Frost Security PenTest-Module

3 Beispiel: QUICK CHECK External Penetration Test Ziele Tätigkeiten Beschreibung Übersicht über die vom Internet aus sichtbaren Systeme Überprüfung der gefundenen Systeme auf bekannte Verwundbarkeit Skizzierung möglicher Angriffsvektoren Detaillierte Empfehlungen zur Beseitigung aufgedeckter Schwachstellen Erfassung verwertbarer Informationen, Aktiv und Passiv Identifikation erreichbarer Hosts Einsatz eines automatischen Schwachstellen-Scanners zu Überprüfung von: Auflistung offener Ports Identifikation verwundbarer Services Aufzeigen veralteter Softwarestände oder fehlender Sicherheitsupdates Informationsgewinnung über die Systeme via Banner Grabbing etc. Test auf Common Known Vulnerabilities Manuelle Verifikation der aufgefundenen Schwachstellen Manuell Hacking von auffälligen Systemen Ü Überwiegend manueller Penetration Test der gesamten IT-Infrastruktur des Kunden. Vorausgestellt wird in der Regel häufig ein automatisierter Netzwerk-Scan, um einen ersten Überblick über die Angriffsmöglichkeiten zu erhalten. Zudem wird überprüft, ob ein solches Handeln von/auf den internen Monitoring-Systemen etc. erkannt wird. Ü Der Security Analyst handelt bei der Durchführung dieses Arbeitspaketes als anonymer Angreifer aus dem Internet und versucht so Schwachstellen in der von außen sichtbaren Infrastruktur zu finden. Ü Automatisierter Netzwerk-Scan auf ein definiertes IP Range, um vorhandene Server, verfügbare Dienste, offene Ports und Patch-Level-Stände zu eruieren. Ü Dieser Test dient dazu, einen Überblick über die aus dem Internet erreichbare Infrastruktur des Kunden zu erhalten. Mögliche Einfallstore in das interne Netzwerk sollen damit reduziert werden, um einem Angreifer den Zugriff auf sensitive interne Firmendaten zu erschweren. PenTest-Module Blue Frost Security 3

4 Beispiel: OSINT Open Source Intelligence Ziele Tätigkeiten Beschreibung Übersicht über alle öffentlich verfügbaren Informationen über das Unternehmen und dessen Mitarbeiter Identifikation von eingesetzter Soft- und Hardware Sammeln gezielter Informationen zur Vorbereitung eines Social Engineering Angriffs Skizzierung möglicher Angriffsvektoren Detaillierte Empfehlungen zur Reduzierung der Angreifbarkeit Sammeln von Firmen Adressen Analyse ausgeschriebener Stellen Sammeln von Informationen aus diversen Social Networks Identifikation von Partnern, Lieferanten, Kunden Identifikation eingesetzter Technologien, verwendete Soft- und Hardware Versuch, mittels der gesammelten Informationen an diverse Zugangsdaten zu gelangen Übernahme von Benutzer-Accounts oder administrativen Zugängen Ü Die Security Analysten überprüfen, welche Informationen über das Unternehmen in verschiedenen öffentlichen Quellen gespeichert sind. Ü Die Gewinnung dieser Informationen verläuft ausschließlich passiv. Die Aktivitäten der Analysten können somit nicht detektiert werden. Ü Ziel ist es, durch Zusammentragen und Auswerten aller auffindbaren Informationen gezielte Attacken auf das Unternehmen gesamt, genauer auf einzelne Systemen und Dienste oder Mitarbeiter vorzubereiten. Ü In den meisten Fällen wird der Zugang zu firmeninternen Daten über Social Engineering gewonnen. Ü Dabei wird versucht die Schwachstelle Mensch auszunutzen, um bspw. die Herausgabe von Zugangsdaten zu erreichen. Je mehr Information über die Zielperson zur Verfügung steht, desto sicherer können sensible Daten und Informationen entlockt werden. 4 Blue Frost Security PenTest-Module

5 Beispiel: Web-Applikation Penetration Test Ziele Tätigkeiten Beschreibung Prüfen, ob die Web-Applikation widerstandsfähig ist gegen bekannte Schwachstellen der Applikationssicherheit wie Cross-Site Scripting, Cross-Site Request Forgery, SQL Injection, Session Hijacking, Privilege Escalation etc.) Verifizierung der Datenintegrität, des aktuellen Sicherheitslevels sowie der Zugangsidentifizierungen und Berechtigungen. Es soll sichergestellt werden, dass Browser-basierte Anwendungen nicht von einem Angreifer missbraucht werden können. Skizzierung möglicher Angriffsvektoren Detaillierte Empfehlungen zur Reduzierung der Angreifbarkeit Verbindung mit der Applikation herstellen über den Browser oder Command Line Tools, um einzelne Parameter oder HTTP-Anfragen zu manipulieren. Versuchen, auf Daten anderer Benutzer zuzugreifen Überprüfung auf Verwundbarkeit anhand der OWASP-Top 10 A1 Injection, A2 Broken Authentication and Session Management, A3 Cross-Site Scripting (XSS), A4 Insecure Direct Object References, A5 Security Misconfiguration, A6 Sensitive Data Exposure, A7 Missing Function Level Access Control, A8 Cross-Site Request Forgery (CSRF), A9 Using Components with Known Vulnerabilities, A10 Unvalidated Redirects and Forwards Die Security Analysten überprüfen, ob Verwundbarkeiten innerhalb der Internetpräsenz des Unternehmens oder in einer Browser-basierten Webanwendung bestehen. Als grobe Richtlinie dienen hierzu die OWASP Top 10. Wichtig ist, sowohl das Vorhandensein von sogenannten Einfallstoren zu überprüfen, als auch zu betrachten, wie weit man im Anschluss vordringen kann. Ü Auf welche Daten kann ich zugreifen? Ü Kann ich meine Berechtigung auf weitere firmeninterne Systeme ausweiten? Ü Gibt es ein Rechte/Rollen-Konzept oder ein administratives Interface innerhalb der Anwendung? Ü Kann ich dieses umgehen und die gewonnenen Rechte auch in anderen Bereichen einsetzen? PenTest-Module Blue Frost Security 5

6 Beispiel: Internal Penetration Test Ziele Tätigkeiten Beschreibung Prüfen, ob ein interner Angreifer, oder ein Trojaner im internen Netz, leicht mehr Privilegien erlangen kann oder Zugriff auf sensitive Systeme oder Daten erhält. Skizzierung möglicher Angriffsvektoren Überprüfung der Monitoring Systeme Test des Vorhandenseins und der Wirksamkeit eingesetzter Sicherheitsmechanismen Detaillierte Empfehlungen zur Reduzierung der Angreifbarkeit Identifikation der internen Adressbereiche Identifikation eingesetzter Technologien, verwendete Soft- und Hardware Versuch mittels den gesammelten Informationen an diverse Zugangsdaten zu gelangen Übernahme von Benutzer-Accounts oder administrativen Zugängen Identifikation von wichtigen Systemen Durchführen von Angriffen auf interne Systeme, um Zugriff auf sensitive Daten/Systeme zu erlangen Systeme unter seine Kontrolle zu bringen (Administrator/root Zugriff) seine Rechte größtmöglich auszuweiten (Service Accounts/Domain Administrator) Ü Überwiegend manueller Penetration Test der gesamten internen IT-Infrastruktur des Kunden. Ü Zu Beginn häufig ein automatisierter interner Netzwerkscan (vgl. External Network Scan), um einen Überblick über die Angriffsmöglichkeiten zu erhalten. Ü Im Anschluss wird, meistens von einem Standard Arbeitsplatz eines Mitarbeiters aus, untersucht, ob ein normaler Mitarbeiter seine Benutzerrechte erweitern kann, Zugriff auf weitere sensible Daten erlangen kann oder implementierte Sicherheitsmaßnahmen umgehen kann. Ü Zudem soll überprüft werden, ob ein solches Handeln auf den internen Monitoring-Systemen etc. erkannt wird. 6 Blue Frost Security PenTest-Module

7 Vorgehensweise Definition Vorgespräch zur individuellen Abklärung der Abläufe und Identifikation der zu testenden Systeme bzw. Software. Hierbei wird auch die genaue Zielsetzung mit dem Kunden erarbeitet. Vorbereitung Hier analysiert der Pentester, welcher Testansatz und -Umfang am sinnvollsten ist. Also die Art des Testes (Black-Box/White-Box), involvierte Personen oder Gruppen, eventuelle Drittanbieter, die Geschäftszeit und den Termin, Verfügbarkeiten und die Kommunikation sowie das Backup-Szenario. Zusammengefasst wird dies in der erforderlichen Pentesting-Erklärung, die genau beschreibt, was in jedem einzelnen Test geprüft wird. Als Sonderfall sei hier noch das Social Engineering erwähnt, bei dem weitere Punkte zu klären sind. Durchführung Nach der Bestimmung der Testparameter (z.b. Scan- Policy) und der Vorbereitung aller beteiligten Personen und Systeme, geht es noch darum, die Granularität bzw. Risikostufe festzulegen. Dann erfolgen die einzelnen Testschritte wie die Informationsbeschaffung, das Auffinden von Angriffsvektoren, die Ausarbeitung realistischer Angriffsmethoden sowie die Dokumentation der Aktivitäten und Vorkommnisse auf technischer Ebene. Hierbei gehen unsere Analysen überwiegend manuell vor, um etwaige Beeinträchtigungen an den laufenden Systemen zu vermeiden Ergebnis Die Analysten dokumentieren jede Schwachstelle derart, dass der Angriff vom Kunden reproduziert werden kann um zu überprüfen, ob die Schwachstelle wirklich beseitigt wurde. Die Sicherheitslücken werden gemäß ihrer Kritikalität rein technisch bewertet. Bei der Präsentation der Ergebnisse erhalten Sie einen Managementbericht, der das gefundene Gefahrenpotential beschreibt und als Entscheidungsgrundlage für die Umsetzung der Lösungen dient. Im umfangreichen technischen Teil lassen sich alle einzelnen Schritte genau nachvollziehen und ermöglichen damit Ihren IT-Mitarbeitern die praktische Umsetzung. Umsetzung Mit Hilfe der Analysten wird ein Maßnahmenkatalog erarbeitet, um sicherzustellen, dass alle kritischen Schwachstellen behoben und so das Restrisiko kalkuliert werden kann. Im Anschluss an die umgesetzten Lösungen erfolgt ein erneuter Penetration Test. PenTest-Module Blue Frost Security 7

8 Produktportfolio Unabhängig. Zuverlässig. Erfahren. Was Sie zum Abschluss des Verfahrens erhalten Dem Kunden wird ein umfassender Lagebericht unter Angabe der gefundenen Schwachstellen seiner Systeme vorgelegt. Auf Anfrage des Kunden kann Blue Frost Security einen Bericht zur Risikobeurteilung vorlegen, der das Management dabei unterstützt, die nötigen Schritte einzuleiten, um diese Schwachstellen zu beseitigen und einen möglichen Schaden abzuwenden. Blue Frost Security Ihr zuverlässiger Begleiter zum Schutz all Ihrer wichtigen Daten und Informationen Für ein persönliches und vertrauliches Gespräch setzen Sie sich einfach mit uns in Verbindung. Bei einem gemeinsamen Treffen mit unserem Expertenteam können wir Sie bei allen hier angeführten Fragen eingehend beraten. Gehen Sie auf Nummer Sicher! Nachdem die Änderungen implementiert wurden, führt Blue Frost Security einen Folgetest durch, um die Behebung der Schwachstellen zu überprüfen. Blue Frost Security Blue Frost Security GmbH Platz der Einheit 1 D Frankfurt am Main Tel / Fax / info@bluefrostsecurity.de 8 Blue Frost Security PenTest-Module