Pentesting-Komplettpaket: Redlings aus Mannheim möchte einiges verändern
20.10.2021
Foto: © ikukevk - unsplash.com
Die Sicherheit von Kunden- und Geschäftsdaten ist für Unternehmen existenziell, denn sie bilden sozusagen das Rückgrat sämtlicher Geschäftsprozesse. Gelingt es Hackern, in die IT-Infrastruktur einzudringen, können sensible Daten gestohlen oder ganze Systeme nachhaltig gestört werden. Um mögliche Schwachstellen in der IT-Sicherheit zu entdecken, gibt es das sogenannte Pentesting-Komplettpaket, wie es von der Redlings GmbH als Lösung angeboten wird.
Pentesting-Komplettpaket: Umfassende IT-Sicherheitsbewertung
Redlings ist ein noch aufstrebendes Unternehmen aus dem Bereich Sicherheitsbewertungen von IT Infrastrukturen, das mit seinen Dienstleistungen neue Wege geht und sich das Wissen von Hackern zu eigen macht, um seine Pentests durchzuführen. Grundlegend ist beim Penetrationstest, dass die IT- Sicherheitsexperten quasi aus der Perspektive der Hacker agieren und so versuchen, von außen oder Innen Zugriff auf das IT-System eines Unternehmens zu erhalten.
Die IT-Experten von Redlings können das Pentesting entweder auf einzelne Ebenen begrenzen und lediglich Bereiche wie Cloud, WLAN, Mobile, API oder Web Application nach Schwachstellen überprüfen oder auch durch eine Kombination aus externem und internem Pentesting die gesamte IT-Infrastruktur analysieren. Bei der
Auswahl des Verfahrens kommt es vor allem auf das vorhandene Gefährdungspotenzial an. Je komplexer das IT-System eines Unternehmens ist, je mehr Anwendungen und Tools verwendet werden und je mehr Verbindungen es zu externen Schnittstellen gibt, desto mehr Möglichkeiten gibt es auf technischer und organisatorischer Ebene für Hacker, Schwachstellen zu finden.
Detaillierte Absprachen beim Pentesting-Komplettpaket
Um rechtliche Grauzonen zu vermeiden, bedarf es vor der Durchführung eines Pentests umfangreicher Absprachen zwischen dem beauftragenden Unternehmen und dem durchführenden Expertenteam von Redlings. Vor allem muss definiert werden, welche Systeme einem Pentest unterzogen werden sollen, denn nur die Analyse solcher, die tatsächlich im Eigentum des Auftraggebers sind, ist zulässig. Diese Absprache bildet dann die Basis für die Durchführung der Tests.
Beim Pentesting-Komplettpaket gehen die Sicherheitsexperten von außen nach innen vor. Zunächst versuchen sie zu erkennen, welche IT-Systeme im Unternehmen (DNS/IP-Range) genutzt und ausgeführt werden. Anhand von DNS-Einträgen lässt sich zudem erkennen, ob und wenn ja, welche weiteren Systeme eventuell vorhanden sind.
[caption id="attachment_146866" align="alignleft" width="300"]
Foto: © Clint Patterson - unsplash.com[/caption]
Über die Versionsinformationen können in einem weiteren Schritt laufende Dienste identifiziert werden. Mittels Interaktion lassen sich Konfigurationsinfos besorgen. Die gesammelten Informationen werden dann auf Schwachstellen, z. B. in Form von Fehlkonfigurationen sowie auf sogenannte Exploits (Schadprogramme bzw. Befehlsfolgen) und ihre Auswirkungen hinsichtlich der Stabilität untersucht, die sie auf den Zieldienst haben. Ein Test zeigt, ob die Exploits sich ausnutzen lassen, um über die Schwachstelle ins System zu gelangen.
Der interne Teil beim Pentesting-Komplettpaket besteht darin, dass die IT-Experten versuchen, von innen einen Zugang zur IT-Infrastruktur des Unternehmens zu bekommen, entweder durch die Kompromittierung von Hosts bzw. Servern in der DMZ mithilfe von Spear-Phishing-Angriffen oder durch den Einsatz von Mitarbeitern, die versuchen, sich über ein Endgerät Zugang zu verschaffen. Auch beim internen Teil des Pentest-Pakets geht man so vor, wie es Hacker tun würden.
Weiter auf Seite 2