Informationen zur Durchführung eines m-bit Sicherheitsscans

Ähnliche Dokumente
secion Fact Sheet BLACK BOX AUDIT

Moderne APT-Erkennung: Die Tricks der Angreifer

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

SAP Penetrationstest. So kommen Sie Hackern zuvor!

PENETRATIONSTESTS UND TECHNISCHE AUDITS. Delivering Transformation. Together.

Informationssammlung NETWORKING ACADEMY DAY 2017 REGENSTAUF

Sicherheit im Internet Typische Angriffsszenarien

Konsolidierte Gefährdungsmatrix mit Risikobewertung 2015

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

Das CERT-Brandenburg und die Kommunen 4. Kommunaler IT-Sicherheitskongress Berlin,

SOCIAL ENGINEERING AUDIT

Audits und Penetrationstests

Viren-Terror im Zeitalter von E-Health:

STATUS QUO IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN

Qualifizierte APT-Response Dienstleister. im Sinne 3 BSIG

IT Security-Dienstleistungen Produktbeschreibung Stand 06. Juli 2016

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

A new Attack Composition for Network Security

Grundlagen des Datenschutzes und der IT-Sicherheit

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

IT-Sicherheit im Gesundheitswesen

Vollautomatisiertes Sicherheitsassessment für Behörden-, Ämter- und Unternehmensumgebungen

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

Penetrationstests mit Metasploit

Technische Voraussetzungen

IT-Projekt-Management

Vulnerability Scanning + Penetration Testing

Bundesamt für Sicherheit in der Informationstechnik KRITIS-Büro Postfach Bonn

splone Penetrationstest Leistungsübersicht

Einführung: Schwachstellen- Management. Warum Schwachstellen- Management für die moderne Informationstechnologie unentbehrlich ist

Moderne APT-Erkennung: Die Tricks der Angreifer SecuMedia Forum, CeBIT 2016

Wirtschaft. Technik. Zukunft. IT-SECURITY MANAGER/-IN IHK. Schutz firmeninterner Daten.

Geleitwort 17. Vorwort 19. Kapitel 1: Die Testorganisation 21

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

ISA Server 2004 IP-Einstellungen definieren - Von Marc Grote

Thomas W. Harich. IT-Sicherheit im Unternehmen

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Manipulation industrieller Steuerungen

RiskViz Projekt. Jan-Ole Malchow und Stephan Lau. Arbeitsgruppe Sichere Identität Fachbereich Mathematik und Informatik Freie Universität Berlin

SIWECOS KMU Webseiten-Check 2018

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Informationssicherheit in Unternehmen Worum geht es und worauf kommt es an?

Linux-Netzwerke. Aufbau, Administration, Sicherung. Dr. Stefan Fischer, Ulrich Walther. SuSE PRESS

Sind meine Systeme sicher?

WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke

Literatur. ITSec SS Teil 6/Paketgeneratoren

IT-Security Teil 6: Paket-Generatoren

Jedes Unternehmen hat sie - keiner mag sie!


Hacking für Administratoren

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 6. Übungsblattes Netzwerk-Sicherheit

Locky & Co Prävention aktueller Gefahren

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

mobile.lan Paket Konfiguration

IT-Sicherheitsbeauftragter (IHK)

IT-Sicherheit auf dem Prüfstand Penetrationstest

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen

Industrial Security. Sicherheit im industriellen Umfeld. Frei verwendbar Siemens AG 2018

Cyber War die Bedrohung der Zukunft Lehrerinformation

Konfiguration einer Firewall mit FireHOL

ProAccess SPACE 3.0. Für weitere Informationen wenden Sie sich bitte an Ihren SALTO Partner oder:

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

(Distributed) Denial of Service

How to hack your critical infrastructure

Sicherheitslabor Einführung

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

Cyber defense. ZKI Frühjahrstagung Frankfurt (Oder), 8. März 2016 Dr. Bernd Eßer

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

IT-Security Portfolio

Reale Angriffsszenarien - Überblick

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

SECURE YOUR DATA KASPERSKY ONLINE TRAINING PLATTFORM

Informationsrisikomanagement

Penetrationstest Intern Leistungsbeschreibung

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli Starnberger it-tag

IT-Security Portfolio

Themen. Transportschicht. Internet TCP/UDP. Stefan Szalowski Rechnernetze Transportschicht

Glücklich mit Grundschutz Isabel Münch

Bestellsoftware ASSA ABLOY Matrix II

elpromonitor Software - Systemvoraussetzungen

P106: Hacking IP-Telefonie

Version Deutsch In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IACBOX beschrieben.

Neue Trends IT-Grundschutzhandbuch

Installationshinweise der FSM Software

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Wie ein HP LaserJet-Drucker mit dem HP UPD (Windows) installieren

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

I Netzwerk Grundlagen 8

BashView. Es muss nicht immer Nagios sein. Source Talk Tage 2013

Offensive IT Security

HANA CLOUD CONNECTOR

tiri.soc Threat-Intelligence

Neues aus dem DFN-CERT. 54. DFN-Betriebstagung - Forum Sicherheit 15. März 2011 Tilmann Haak, DFN-CERT

Transkript:

1. - Präambel Dieser Text orientiert sich am BSI (Bundesamt für Sicherheit in der Informationstechnik) Dokument Ein Praxis-Leitfaden für Penetrationstests Version 1.0 vom November 2014, der auf www.bsi.bund.de verfügbar ist. Schwachstellenscans können niemals eine 100%ige Aussage über den Zustand eines Prüfobjekts machen: erstens gilt die Heisenbergsche Unschärferelation, zweitens werden Schwachstellenscans immer mit einer zeitlichen und damit monetären Obergrenze beauftragt. Im Gegensatz dazu haben wirkliche Angreifer eine quasi unbegrenzte Menge Zeit, so dass reale Angriffe u.u. Wochen und Monate andauern können. Weiterhin werden laufend neue Schwachstellen ausgelotet, dokumentiert und benutzt, so dass eine Prüfung nur einen Schnappschuss der Situation wiedergibt. Sicherheit ist kein Produkt, sondern ein Prozess. 2. - Einleitung Im folgenden Dokument geben wir Ihnen einen Überblick über die Arten und Optionen der von der Firma m-bit durchgeführten Arten und Module von Schwachstellenscans. Kein Kunde gleicht einem anderen und keine EDV oder Netzanbindung gleicht einer anderen. Weil das so ist, bieten wir einem Kunden unterschiedliche Vorgehensweisen und Möglichkeiten eines Schwachstellenscans an. Der Aufwand für einen Scan ist in erster Linie von der Arbeitszeit des oder der Prüfer(s) abhängig, und hat damit direkten Einfluss auf die Prüftiefe. Bei der Durchführung eines Schwachstellenscans besteht immer die Möglichkeit von Störungen oder Systemabstürzen. Je größer die Prüftiefe, desto größer ist das Risiko von Störungen oder Systemabstürzen. Es gilt also, ein für den Kunden individuell passendes Verhältnis von Aufwand, Kosten, Prüftiefe und Risiko zu finden. 3. - Zielsetzung Ein Schwachstellenscan dient normalerweise der: Erhöhung der Sicherheit der technischen Systeme Erhöhung der Sicherheit der organisatorischen Infrastruktur Identifikation von Schwachstellen 14.10.2015 Seite 1 von 5

Um diese Ziele zu erreichen, wird nach Abschluss der Prüfung eine Dokumentation erstellt, die folgende Bestandteile enthält: Dokumentation des Prüfablaufs Aufzählung der bei der Prüfung gefundenen Besonderheiten Risikobewertung der einzelnen Besonderheiten Maßnahmenvorschläge zur Verbesserung der Sicherheit ggf. Prüfprotokolle und Ausdrucke 4. - Varianten Wir unterscheiden grob drei Arten eines Sicherheitsscans, wobei Aufwand, Kosten, Prüftiefe und Risiko variieren. Alle Varianten können durch Module ergänzt werden oder es können auch Module übersprungen werden. a) Variante technisches Sicherheitsaudit Bei dieser Variante wird anhand der Versionen der eingesetzten Systeme und Anwendungen sowie den Konfigurationen auf mögliche Schwachstellen hingewiesen. Der Prüfer bedient die Anwendungen und Systeme hierbei nicht selbst, sondern lässt sich von einem Administrator vor Ort zeigen, welche Software-Versionen in welcher Konfiguration eingesetzt werden und welche Härtungsmaßnahmen getroffen wurden. Es wird anhand der vorgefundenen Versionen der Softwaresysteme und der umgesetzten Sicherheitsmaßnahmen auf mögliche Schwachstellen geschlossen. Der Aufwand ist moderat, das Risiko von Störungen ist minimal, die Prüftiefe ist gering. b) Variante nicht-invasiver Schwachstellenscan Dies ist die am meisten durchgeführte Art eines Scans, da sie eine gute Balance zwischen Kosten, Risiko und Nutzen darstellt. Der Prüfer scannt mit eigenen Geräten im zu prüfenden Netzabschnitt nach Schwachstellen. Hierzu werden u.u. mehrere Schwachstellenscanner eingesetzt; die ggf. gefundenen Schwachstellen werden so gut wie möglich dokumentiert, aber nicht ausgenutzt. Das Risiko von Störungen und Systemabstürzen ist gering, es kann aber nicht ausgeschlossen werden, das es zu Störungen und Systemabstürzen kommt. Die Prüftiefe ist für viele Szenarien ausreichend hoch. Die Ausgaben der Schwachstellenscanner müssen händisch geprüft und ggf. überarbeitet und/oder kommentiert werden. c) Variante invasiver Schwachstellenscan 14.10.2015 Seite 2 von 5

Zusätzlich zum nicht-invasiven Schwachstellenscan werden die hierbei gefundenen Schwachstellen ausgenutzt, um nicht autorisierten Zugriff auf Systeme und Anwendungen zu erlangen. Das geschieht durch Programme, die eigens zum Ausnutzen von bekannten Schwachstellen geschrieben wurden oder die während der Prüfung vom Prüfer geschrieben werden. Hierdurch wird letztlich nachgewiesen, dass ein System oder eine Anwendung tatsächlich angreifbar ist. Der Aufwand für diese Variante ist hoch, das Risiko von Störungen und Systemabstürzen ist hoch und die Prüftiefe ist hoch. 5. - Module/Bestandteile Während einer Prüfung kommen die Module Schwachstellenscanner und ggf. optionale Scanner zum Einsatz. Ausserdem sind immer Programme wie nmap, traceroute und ping beteiligt. Für die Prüfung von http/https-ports werden optional Programme wie nikto und OWASP zap zusätzlich hinzugezogen. Für bestimmte Anwendungsfälle kommen u.u. noch andere Werkzeuge sowie von m-bit selbst erstellte Programme zum Einsatz. Schwachstellenscanner Portscanner (scannt auf zugreifbare TCP/UDP-Ports) Protokollscanner (z.b. TCP 3-Wege-Handshake) UDP/ICMP-Scan Protokollscanner SMTP, HTTP, SSH, DNS, SNMP, etc. kommerzielle und/oder freie Scanner (Nessus, OpenVAS) optionale Scanner Protokollscanner IPSEC (Protokoll AH, ESP bzw. Port 500/4500) Anwendungsscanner (z.b. Webserver wie apache Module, Versionen von Libraries, Zugreifbarkeit im / in das Filesystem, etc.) 14.10.2015 Seite 3 von 5

Diese optionalen Module werden nur auf Wunsch des Kunden eingesetzt. menschliche Scanner Prüfung auf konzeptionelle Schwachstellen Sicherheitsbegehungen (physische Sicherheit) Social Engineering Die folgend gelisteten Module sind optional und werden nur auf expliziten Wunsch eines Kunden eingesetzt. Der Aufwand und das Risiko sind als hoch einzustufen. menschliche Scanner Prüfung von Telefonanlagen, Faxservern und/oder sonstige Telekommunikationseinrichtungen Ausnutzen von Exploits, Einbruchsversuche auf Anwendungsebene USB-Angriffe (und/oder CD-ROM's, Floppies, etc.) Man in the middle & Spoofing Attacken DNS poisoning & redirecting Denial of Service Attacken Netzwerk Traffic Analyse Advanced Persistent Threats (APT) reverse Engineering / Disassemblierung Source Code Check Wörterbuch-gestützte Scanner Passwortscanner (brute force) per Datenbank auf Applikationen 6. - Durchführung drahtlose Scanner WLAN, Ausleuchtung, Angreifbarkeit, verwendete Protokolle, Übergänge ins LAN Bluetooth Angriffe teilweise: - Angriffe auf Telefonanlagen und/oder sonstige Telekommunikationseinrichtungen Überprüfung von Clients Awareness Maßnamen Social Engineering HTTP/HTTPS drive by infection Phishing Mail (siehe auch APT, Social Engineering) 14.10.2015 Seite 4 von 5

Die Durchführung von Prüfungen hat den Ablauf: 1. Informationsgewinnung Es werden Informationen über das zu prüfende Objekt in allgemein zugänglichen Quellen gesucht und überprüft. Dies sind in der Hauptsache Netzinformationen, Routing-Informationen, DNS-Informationen, Informationen über die Firma und über die Mitarbeiter des Kunden - kurz: jede Information, die später dabei helfen könnte, unberechtigten Zugang zu Einrichtungen des Kunden zu erlangen. 2. Prüfung Während der Prüfung kommen die technischen Hilfsmittel zum Scan der beteiligten Netzabschnitte zum Zuge. Der Kunde muss in die Lage versetzt werden, die Prüfung jederzeit abbrechen zu können oder bestimmte Prüfprozeduren zu überspringen: dazu muss während der Prüfung eine reibungslose und unmittelbare Kommunikation zwischen Prüfer und Kunde etabliert sein. Oft ergeben sich während einer Prüfung Situationen, in der der Prüfer den Prüfablauf verändern möchte (mehr oder weniger tief testen), weil bestimmte Besonderheiten gefunden wurden. Dies wird unmittelbar mit dem Ansprechpartner beim Kunden besprochen und ggf. umgesetzt. 3. Berichterstellung Nach der Prüfung erstellt der Prüfer den schriftlichen Bericht bzw. die Dokumentation des Prüfablaufs, erläutert Besonderheiten und Auffälligkeiten in den Phasen Informationsgewinnung und Prüfung, erstellt die Beschreibungen der Risikobewertungen und Vorschläge für Verbesserungsmaßnahmen. Als Anlage werden Prüfberichte und Logdateien aufgenommen und ggf. während der Prüfung erlangte Daten auf CD-ROM hinzugefügt. 4. Präsentation Ein sinnvoller - aber optionaler - Punkt ist die Präsentation der Ergebnisse, die der Prüfer dem Kunden vorstellt. Hierbei ist zu klären, ob Management und IT einen gemeinsamen Termin wahrnehmen oder zwei getrennte Termine. Nach der Präsentation der Ergebnisse ergibt sich meist eine Diskussion aller Beteiligten sowie weitere Erläuterungen des Prüfers zu einzelnen Themen des Prüfberichts. 14.10.2015 Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback