Bevor Sie einen Penetrationstest durchführen lassen, sollten Sie Ihr Unternehmen auf die Durchführung von Sicherheitstests vorbereiten. In diesem Beitrag schauen wir uns an, was der Kunde rund um Pentest tun sollte.
Eine sorgfältige Vorbereitung ist erforderlich, um den Penetrationstest ohne technische Schwierigkeiten beginnen zu können. In der Regel halten wir zwei Wochen vor Testbeginn ein Kick-off-Meeting ab, um die technischen Bedingungen des Penetrationstests zu besprechen. Diese zwei Wochen geben dem technischen Team genügend Zeit, um die technischen Anforderungen zu erfüllen (unabhängig davon, ob es sich um ein KMU oder ein internationales Unternehmen handelt.).
Eine der wichtigsten Aufgaben des Kunden ist die Vorstellung der zu testenden Anwendung. Das vorhandene Anwendungs-Know-how erleichtert die Arbeit eines Penetrationstesters.
Der Penetrationstester beherrscht die Workflows und erarbeitet bessere Angriffsvektors. Die folgenden Bereiche werden während des Meetings besprochen:
-Workflows
-Benutzer und Rechte
-Administrative Schnittstelle
-Datei-Upload
-Technologien
Testumgebung
Der Pentetrationstest findet idealerweise in einer Testumgebung statt, die es dem Tester ermöglicht, agressive Angriffe zu implementieren, ohne die produktive Anwendung zu beeinträchtigen.
Firewall
Die Testumgebung ist idealerweise nicht vom Internet erreichbar, daher muss unsere IP-Adresse in die „Whitelist“ der Firewall aufgenommen werden, um beginnen zu können.
Zugangsdaten
Unsere Pentests folgen der „Grey Box“-Methode, d.h. wir erhalten sowohl Benutzerkonten als auch Vorkenntnisse über die Anwendung (URL, Architektur, Technologie).Auf Wunsch des Kunden können wir von dieser Methode abweichen, aber in Bezug auf Zeit und Wert halten wir dies für die effizienteste Lösung.
WAF
Die Web Application Firewall (WAF) ist ein sehr sinnvoller Sicherheitszusatz, sollte aber für Penetrationstests abgeschaltet werden.Die WAF fügt nur eine Sicherheitsebene hinzu, aber wenn sie während eines Pentests aktiv ist, testen wir die Firewall, nicht die Anwendung. Schwachstellen in der Anwendung können weiterhin ausgenutzt werden, der Angreifer braucht nur mehr Zeit und Energie, um die Firewall zu umgehen.
Wenn Sie die obigen Punkte durchgelesen haben, besitzen Sie Kenntnisse über die Vorbereitung eines Penetrationstests.