secion Fact Sheet BLACK BOX AUDIT

Transkript

1 secion Fact Sheet BLACK BOX AUDIT

2 Das secion Black Box Audit ist ein wichtiger Bestandteil des secion Penetrationstests und stellt die Simulation eines gezielten Angriffs auf Komponenten Ihrer IT-Infrastruktur dar. Grundlegendes Ziel ist es hierbei, IT-Schwachstellen aufzudecken und in der Folge den Zugriff von Dritten auf firmeninterne Daten rechtzeitig zu verhindern. Die Methoden und Werkzeuge, die sich dabei zunutze gemacht werden, entsprechen grundsätzlich denen, die auch bei Hackern Anwendung finden. Im Gegensatz zu einem White Box Audit verfügen unsere IT-Sicherheitsexperten beim Black Box Audit über keinerlei Insiderwissen bezüglich der IT-Infrastruktur des auftraggebenden Unternehmens. Die für den Angriff benötigten Informationen müssen daher aus öffentlich zugänglichen Datenbanken recherchiert oder aber von außen als Unternehmensfremder erfragt werden. Genau wie ein Angreifer identifizieren unsere secion IT-Sicherheitsexperten somit nach und nach die vorhandenen Sicherheitslücken Ihrer IT-Infrastruktur, um diese im Anschluss durch individuelle Angriffs-Szenarien zu überprüfen und zu dokumentieren. Durch diese Vorgehensweise wird exakt das Vorgehen eines Angreifers auf Ihr Unternehmen abgebildet. Bei der Auswahl der Überprüfungsziele unseres Black Box Audits konzentrieren sich unsere IT-Sicherheitsexperten je nach Anforderung des Auftraggebers z.b. auf Web-Penetrationstests Webapplikationen sind heutzutage in besonderem Maße angreifbar, da sie über diverse Geräte und an beliebigen Orten abrufbar sind. Damit besteht das Hauptrisiko in einem unauthorisierten Zugriff auf Daten durch Dritte und der daraus resultierenden Möglichkeit einer unerwünschten Informationsübermittlung. Prüfungsgegenstand sind bei diesem Ansatz in erster Linie Webshops, Webportale, CRM- und ERP- sowie CMS-Systeme des auftraggebenden Unternehmens.

3 Infrastruktur-Penetrationstests Interne Netzwerk- und Serversysteme sind ein häufig gewähltes Angriffsziel von Cyberkriminellen. Im Rahmen des Audits stehen bei unseren secion Pen-Testern Firewall, Router, Mail- und Webserver im Fokus, aber auch die Überprüfung von Betriebssystemen, DNS und Systemen. Auch die vom Unternehmen gewählte WLAN-Lösung, Netzsegmentierung sowie die implementierten Verschlüsselungsmaßnahmen werden zum Prüfungsgegenstand unserer IT-Sicherheitsexperten. Innentäter-Pentest Grundsätzlich birgt das interne Unternehmensnetz ein besonderes Risiko, das von sogenannten Innentätern ausgeht, d.h. einem Benutzer, der offiziellen Zugang zum internen Netzwerk besitzt. Neben Mitarbeitern und angestellten Dienstleistern, die damit automatisch einen höheren Kenntnisstand über das Netz haben, können auch Besucher als Innentäter agieren. Zudem besteht die Gefahr der versehentlichen Einschleppung von Schadsoftware. Somit stehen hier in erster Linie USB-Anschlüsse sowie Network Access Control, PC Hardware und Betriebssysteme / BIOS im Mittelpunkt der Untersuchungen unserer Pen-Tester. Darüber hinaus werden auch administrative Zugänge und Rechte sowie die internen Unternehmensprozesse geprüft und hinsichtlich bestehender Risikofaktoren bewertet. Das secion Black Box Audit unterteilt sich in die nachfolgend genannten Tätigkeitsbereiche: Informationsgewinnung & automatisiertes Scannen sowie Ergebnisauswertung Neben RIPE- und DNS-Abfragen werden Domains und Sub-Domains sowie Blacklist-Einträge überprüft. Des Weiteren wird ein detaillierter Portscan inkl. der erreichbaren Dienste und Applikationen durchgeführt. Nach Zusammenführung der gesammelten Informationen und Validierung der Ergebnisse werden die Angriffsziele aus Sicht des Angreifers definiert.

4 Individuelles Prüfen der Applikationen An dieser Stelle erfolgt die manuelle Analyse der IT-Sicherheitslücken in den zuvor identifizierten Applikationen. Werden Webstandards (bspw. OWASP) eingehalten? Ist es unseren IT-Sicherheitsexperten möglich, implementierte Funktionen nicht-autorisiert auszunutzen oder Zugriff auf nicht-öffentliche Daten zu erlangen? Bewertung der gefundenen Schwachstellen / Entwicklung von Handlungsempfehlungen Die zuvor evaluierten Ergebnisse werden zusammengeführt und interpretiert, die Befunde nach Risikobewertung klassifiziert. Die secion Pen-Tester erstellen eine Netzwerksizze aus Sicht eines Angreifers, um dem Kunden einen Abgleich zwischen externer und interner Sicht zu geben. Abschließend werden Handlungsempfehlungen zur Beseitigung der identifizierten IT-Sicherheitslücken entwickelt und nach Dringlichkeit priorisiert. Dokumentation & Präsentation der Ergebnisse Elementarer Bestandteil eines secion Black Box Audits ist stets die persönliche Präsentation und Erörterung der Überprüfungsergebnisse sowie der hieraus resultierenden Handlungsempfehlungen in Ihrem Hause. Sie erhalten zu den konfigurierten Prüfungen Ihrer Systeme zwei Berichte. Ein Bericht enthält einen Gesamtüberblick für Ihre Geschäftsführung / Leitungsebene. Der zweite Bericht enthält detaillierte Informationen für Ihre Administratoren.

5 secion Black Box Audit Unsere Werkzeuge im Überblick Allgemeine Schwachstellenanalyse Nessus Nexpose Informationsgewinnung recon-ng theharvester knock dvcs-ripper FOCA Trafficanalyse Wireshark, tshark, tcpdump SecurityOnion Netzwerkanalyse Nmap Metasploit Framework sslscan / O-Saft ike-scan (VPN) smtp-user-enum (Mailserver) WebApps OWASP Zed Attack Proxy (ZAP) BURP Suite Nikto Web Scanner Droopescan / wpscan / joomscan / etc. Datanbankanalyse sqlmap jsql Mobile Apps Android Tamer Mobile Security Framework (MobSF) Drozer Performanceanalyse Apache JMeter

6 Abhängig vom strategischen Ziel des von Ihnen gewünschten Penetrationstests kombinieren wir das Black Box Audit auch mit weiteren Sicherheits-Analysen wie White Box Audit oder Social Engineering Audit. Somit liefert secion Ihnen wertvolle Entscheidungsgrundlagen zur Beseitigung Ihrer vorhandenen IT-Schwachstellen und ermöglicht Ihnen eine nachhaltige Optimierung Ihrer IT-Sicherheit.

7 Schematischer Ablauf des secion Black Box Audit Informationsgewinnung 1 Recherche in öffentlich verfügbaren Quellen nach: DNS-Namen RIPE-Einträgen Blacklist-Einträgen Metadaten-Analysen Kontaktdaten Umfangreicher Schwachstellenscan Weiterführende Informationsgewinnung über: Erreichbare Dienste Offene Ports Erreichbare Applikationen Bekannte Schwachstellen und Fehlkonfigurationen 2 3 Manuelle Schwachstellenanalyse Überprüfung auf Einhaltung von Webstandards Manipulation von implementierten Funktionen Ausnutzung von Schwachstellen Prüfung der eingesetzten Verschlüsselungsverfahren Bewertung und Validierung der Ergebnisse Zusammenführung der zuvor evaluierten Ergebnisse Klassifizierung der gefundenen Schwachstellen nach Risikoeinstufung (Ampelsystem) 4 5 Erstellung der Dokumentation mit Handlungsempfehlungen Bewertung und Dokumentation der gewonnenen Informationen Entwicklung eines Aktionsplans mit Handlungsempfehlungen zur effizienten Schließung der Sicherheitslücken Erstellung einer Netzwerkskizze aus Angreifer-Sicht Ergebnispräsentation Persönliche Präsentation: Erörterung der Ergebnisse und Handlungsempfehlungen - Übergabe zweier Reports (Geschäftsführung und Administration) 6

8 Verantwortlich für den Inhalt: secion GmbH Paul-Dessau-Straße Hamburg Telefon: 040 / Fax: 040 / info@secion.de Internet: