Penetrationstests können je nach verwendeten Standards und Methoden zu sehr unterschiedlichen Ergebnissen führen. Aktualisierte Standards und Verfahren für Penetrationstests bieten Unternehmen, die ihre Systeme absichern und Cybersicherheitslücken schließen möchten, eine realistische Option.
Die folgenden fünf Ansätze und Kriterien für Penetrationstests gewährleisten eine positive Rendite Ihrer Investition:
NIST-Sonderveröffentlichung 800-115.
Im Vergleich zu anderen Publikationen im Bereich Informationssicherheit bietet das NIST präzisere Anleitungen für Penetrationstester. Das Nationale Institut für Standards und Technologie (NIST) veröffentlicht einen Leitfaden, der sich hervorragend zur Verbesserung der allgemeinen Cybersicherheit von Organisationen eignet. Die neueste Version 1.1 legt einen stärkeren Fokus auf die Cybersicherheit kritischer Infrastrukturen. Die Einhaltung des NIST-Rahmenwerks ist häufig eine regulatorische Anforderung für verschiedene amerikanische Dienstleister und Geschäftspartner.
NIST-Methodik.
Das NIST hat dieses Rahmenwerk mit dem Ziel entwickelt, die Informationssicherheit in verschiedenen Branchen, darunter Bankwesen, Kommunikation und Energie, zu gewährleisten. Große wie kleine Unternehmen können die Standards an ihre individuellen Anforderungen anpassen.
Um die Anforderungen des NIST zu erfüllen, müssen Unternehmen Penetrationstests ihrer Anwendungen und Netzwerke anhand vordefinierter Empfehlungen durchführen. Dieser amerikanische IT-Sicherheitsstandard stellt sicher, dass Unternehmen die Standards für Cybersicherheitskontrolle und -bewertung erfüllen und die Bedrohung durch Cyberangriffe so weit wie möglich reduzieren.
Akteure aus allen Sektoren arbeiten zusammen, um das Cybersicherheits-Framework bekannt zu machen und Unternehmen zur Implementierung zu bewegen. Das NIST leistet durch seine überlegenen Standards und Technologien einen wesentlichen Beitrag zur Cybersicherheitsinnovation in verschiedenen amerikanischen Branchen.
OWASP.
Das Open Web Application Security Project (OWASP) ist der branchenweit anerkannteste Standard für Anwendungssicherheit. Diese Methodik, die von einer äußerst kompetenten Community unterstützt wird, die sich stets über neue Technologien informiert, hat unzähligen Unternehmen geholfen, Anwendungsschwachstellen zu reduzieren.
OWASP-Techniken.
Dieses Rahmenwerk definiert eine Methodik für Penetrationstests von Online-Anwendungen, die nicht nur typische Schwachstellen von Web- und Mobilanwendungen, sondern auch komplexe Logikfehler aufgrund gefährlicher Entwicklungspraktiken aufdecken kann. Das neue Buch enthält ausführliche Anleitungen zu jeder Penetrationstest-Technik und bewertet insgesamt über 66 Kontrollmechanismen. Dadurch können Tester Schwachstellen in einer Vielzahl von Funktionen moderner Anwendungen identifizieren.
Mithilfe dieser Methodik können Unternehmen ihre Web- und Mobilanwendungen besser vor häufigen Fehlern schützen, die sich nachteilig auf ihr Geschäft auswirken könnten. Darüber hinaus sollten Organisationen, die neue Web- und Mobilanwendungen entwickeln, die Implementierung dieser Standards bereits in der Entwicklungsphase in Betracht ziehen, um gängige Sicherheitslücken zu vermeiden.
Sie sollten davon ausgehen, dass der OWASP-Standard während der gesamten Anwendungssicherheitsbewertung angewendet wird, um sicherzustellen, dass keine Schwachstellen unentdeckt bleiben und Ihre Organisation praxisnahe Vorschläge erhält, die auf die einzigartigen Merkmale und Technologien Ihrer Anwendungen zugeschnitten sind.
OSSTMM.
Das OSSTMM- Framework, einer der branchenweit am weitesten verbreiteten Standards, etabliert eine wissenschaftliche Methodik für Netzwerk-Penetrationstests und Schwachstellenanalysen. Es bietet Testern eine schrittweise Anleitung, um Sicherheitslücken in einem Netzwerk (und seinen Komponenten) aus verschiedenen Angriffswinkeln aufzudecken. Die Methodik basiert auf dem umfassenden Wissen und der Expertise der Tester sowie auf menschlicher Intelligenz, um gefundene Schwachstellen und deren mögliche Auswirkungen auf das Netzwerk zu verstehen.
OSSTMM-Methodik.
Im Gegensatz zu den meisten Sicherheitsveröffentlichungen wurde diese Architektur speziell für Netzwerkaufbauteams entwickelt. Die überwiegende Mehrheit der Entwickler und IT-Teams orientiert sich bei ihren Firewalls und Netzwerken an diesem Dokument und seinen Standards. Obwohl dieses Handbuch kein bestimmtes Netzwerkprotokoll oder keine bestimmte Software empfiehlt, hebt es Best Practices und Verfahren hervor, die die Sicherheit Ihrer Netzwerke gewährleisten. Die OSSTMM-Methodik (Open Source Security Testing Methodology Manual) ermöglicht es Testern, ihre Evaluierung an die individuellen Anforderungen und den technischen Kontext Ihres Unternehmens anzupassen. Mit dieser Sammlung von Standards erhalten Sie ein präzises Bild der Cybersicherheit Ihres Netzwerks sowie zuverlässige, auf Ihre technische Umgebung zugeschnittene Lösungen, die es Ihren Stakeholdern ermöglichen, optimale Sicherheitsentscheidungen zu treffen.
PTES-Framework.
Das PTES-Framework (Penetration Testing Methodologies and Standards) fasst die bevorzugte Struktur für einen Penetrationstest zusammen. Dieser Standard leitet Tester durch die verschiedenen Phasen eines Penetrationstests, einschließlich der ersten Kontaktaufnahme, der Informationssammlung und der Bedrohungsmodellierung.
PTES-Methodik
Gemäß dieser Penetrationstest-Methodik verschaffen sich die Tester ein möglichst umfassendes Verständnis des Unternehmens und seiner technischen Umgebung, bevor sie sich auf potenziell angreifbare Bereiche konzentrieren. Dadurch können sie die anspruchsvollsten Angriffsszenarien identifizieren. Zusätzlich erhalten die Tester Empfehlungen für Post-Exploitation-Tests, mit denen sie überprüfen können, ob zuvor identifizierte Schwachstellen ordnungsgemäß behoben wurden. Die sieben in diesem Standard beschriebenen Prozesse gewährleisten einen erfolgreichen Penetrationstest und bieten gleichzeitig praktische Hinweise, auf deren Grundlage Ihr Management-Team seine Entscheidungen treffen kann.
ISSAF.
Der ISSAF- Standard (Information System Security Assessment Framework) beinhaltet einen systematischeren und spezialisierteren Ansatz für Penetrationstests als sein Vorgänger. Sollte die spezifische Situation Ihres Unternehmens eine fortgeschrittene, vollständig auf Ihre Umgebung zugeschnittene Technik erfordern, dürfte dieser Leitfaden den mit Ihrem Penetrationstest beauftragten Experten von Nutzen sein.
Methodik des ISSAF.
Diese Standards ermöglichen es Testern, jeden Schritt des Penetrationstests – von der Planung und Auswertung bis hin zur Berichterstellung und dem Entfernen von Artefakten – sorgfältig vorzubereiten und zu dokumentieren. Der Standard deckt alle Phasen des Herstellungsprozesses ab. Penetrationstester, die verschiedene Tools einsetzen, finden ISSAF besonders hilfreich, da sie damit jede Phase einem bestimmten Tool zuordnen können.
Die umfassendere Bewertungskomponente steuert einen Großteil des Vorgangs. ISSAF liefert detailliertere Informationen, Angriffspfade und wahrscheinliche Folgen für jeden anfälligen Teil Ihres Systems. In manchen Fällen entdecken Tester auch Details zu den Werkzeugen, die Angreifer häufig für Angriffe auf diese Bereiche verwenden. All diese Informationen ermöglichen die Planung und Durchführung komplexerer Angriffsszenarien und gewährleisten so einen hohen Return on Investment für Unternehmen, die ihre Systeme vor Angriffen schützen wollen.
Abschluss.
Da Bedrohungen und Hacking-Technologien branchenübergreifend zunehmen, müssen Unternehmen ihre Cybersicherheitstestmethoden verbessern, um mit den neuesten Technologien und Angriffsszenarien Schritt zu halten. Die Implementierung und Anwendung aktueller Cybersicherheitsframeworks ist ein guter Anfang. Diese Penetrationsteststandards und -methoden bilden eine ideale Grundlage für die Bewertung Ihrer Cybersicherheit und ermöglichen Ihnen eine auf Ihre individuelle Situation zugeschnittene Beratung, um Sie bestmöglich vor Hackern zu schützen.