Pentesting: Externer Audit- und Webanwendungs-Audit-Service (Ethical Hacking)

Wir verstehen die Bedürfnisse von KMU genau und versuchen, sie zu erfüllen, indem wir umfassende Sicherheitspläne entwerfen, implementieren, pflegen und betreiben, die auf den sechs NIST-Funktionen (Governance, Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung) basieren. Darin ermöglicht Ihnen unser Externer Audit-Service , Ihren Gefährdungsbereich zu kennen, ein klares Bild Ihrer exponierten Schwachstellen zu erhalten und zu erfahren, wie Sie diese beheben können.

Phase 1: Fußabdruck (OSINT)

Während der ersten Phase des Dienstes wird das Zerolynx-Team die dem Internet ausgesetzte Angriffsfläche kartieren. Für diese Arbeit werden offene und private Quellen konsultiert, um Footprinting-Prozesse auf der Suche nach allen Arten sensibler Informationen durchzuführen, die derzeit im Internet vorhanden sind oder möglicherweise in der Vergangenheit veröffentlicht wurden. Für diese Arbeit werden verschiedene Techniken basierend auf OSINT-Methodiken verwendet, wobei insbesondere Folgendes hervorgehoben wird:

• Hacken mit Suchmaschinen (Google, Bing, Yandex, Exalead, Duckduckgo und Baidu).
• Asset-Suchdienste (Shodan, Censys, Greynoise, Zoomeye, Fofa, Onyphe, Binayedge, Wigle und Oshadan).
• Threat Intelligence-Suchdienste (RiskIQ, Cisco Talos Intelligence, ThreatExchange, VirusTotal).
• Auflisten von Assets auf Paste-Websites (Pastebin, Pasteguru, TextSnip, Snip.Net, Hastebin, Anonpaste usw.).
• Crawling-Tools und umfangreiche Analyse von Inhalten im Internet.
• Abfragen von Whois-Datensätzen.
• Store für mobile Anwendungen (AppStore, PlayStore usw.).
• Analyse von IP-Adressen und Domänen (Robtex, Ipv4info, ThreatCrowd, MxToolBox, IPStack, DB-IP, Ultratools).
• Öffentliche Code-Repositorys (Github, Gitlab, Bitbucket usw.).
• Im Internet und im Dark Web veröffentlichte Passwortlecks.
• Untersuchung möglicher visuell ähnlicher Bereiche (Typosquatting) durch den Einsatz eigener Skripte und Online-Technologien.
• Analyse alter auf Archive.org veröffentlichter Websites.
• Verfolgung von Bewerbungen in sozialen Netzwerken (u. a. Twitter, Facebook, Instagram und LinkedIn).
• Die Analyse möglicher Websites, die möglicherweise legal sind, wurden auf Plattformen wie OpenPhish, PhisTank oder PhisStats als Phishing eingestuft.
• Standort der auf Untergrund-Internetmärkten gehandelten Daten.

Level 2: Fingerabdruck

Sobald die ersten Informationen zu jeder Anwendung/jedem Dienst gesammelt wurden, beginnt der Fingerprinting-Prozess und führt anschließend eine eingehende Analyse der Assets für deren anschließende Nutzung durch. Um eine vollständige Karte der Angriffsfläche zu erstellen, werden alle exponierten Ports und Dienste aufgelistet, wobei der Schwerpunkt hauptsächlich auf der Identifizierung der folgenden Elemente liegt:

• Über das Internet zugängliche Ports und Dienste.
• In jedem Dienst verwendete Software und Version.
• Verwendete Technologien, insbesondere solche, die veraltet sind oder bekannte Schwachstellen aufweisen.
• Verwendete externe Bibliotheken und andere Beziehungen zwischen den verschiedenen Assets.

Parallel dazu wird eine aktive Suche nach möglichen gültigen Verwertungsvektoren für nachfolgende Prozessschritte durchgeführt. Zu diesem Zweck wird ein besonderer Schwerpunkt auf die Erkennung von Funktionen gelegt, die normalerweise ein größeres Risiko bergen, zur Gefährdung des Perimeters ausgenutzt zu werden, sei es durch Schwachstellen, Code-Injektionen, das Hochladen schädlicher Dateien oder sogar durch Brute-Force-Tests oder durchgesickerte Anmeldeinformationen . Einige der Funktionen, denen besondere Aufmerksamkeit gewidmet wird, sind:

• Web-Authentifizierungspanels.
• Formulare zum Hochladen von Dateien.
• File-Sharing-Dienste.
• Fernzugriffstechnologien für die Verwaltung.
• Remote-Desktop-Technologien.
• VPN-Verbindungen.

Daher wird für die Zwecke der MITRE ATT&CK-Angriffsmatrix die Suche nach Elementen, die den Zugriff erleichtern, durch die folgenden Erstzugriffstechniken in Betracht gezogen:

• Öffentlich zugängliche Anwendung ausnutzen (T1190).
• Externe Remotedienste (T1133).
• Gültige Konten (T1078.001, T1078.002, T1078.003, T1078.003).

Die übrigen Angriffsvektoren, zu denen die Kompromittierung durch Dritte oder der physische Zugriff gehören, würden zunächst außerhalb des Projektumfangs liegen.

Phase 3: Schwachstellenanalyse

In der nächsten Phase werden alle zuvor gesammelten Informationen als Grundlage für die Erkennung möglicher Angriffswege genutzt. Diese werden auf der Grundlage der Möglichkeit einer Ausnutzung und potenzieller Auswirkungen priorisiert, mit dem Ziel, den Einsatz für die Suche nach den kritischsten Schwachstellen, wie z. B. Datenexfiltration oder Remote-Codeausführung, zu maximieren.

Diese Phase deckt in jedem Fall den Großteil der Sicherheitsüberprüfung ab und ermöglicht die Identifizierung von Schwachstellen im Zusammenhang mit Identitätsmanagement, Authentifizierung, Autorisierung oder Sitzungsmanagement. Besondere Bedeutung wird auch den Injektionen durch Eingabevalidierungstests beigemessen. Schließlich ermöglicht es Ihnen, Fehler im Fehlermanagement zu finden, falsch implementierte kryptografische Methoden und Schwachstellen in der Geschäftslogik zu erkennen. Im Großen und Ganzen werden auch die zum Zeitpunkt der Überprüfung in der OWASP-Methodik geltenden Testkategorien abgedeckt.

• Informationssammlung
• Konfigurations- und Bereitstellungsmanagement
• Identitätsmanagement und Sitzungsmanagement
• Authentifizierung und Autorisierung
• Eingabevalidierung und Fehlerbehandlung
• Schwache Kryptographie
• Geschäftslogik und Clientseite

Für den Fall, dass die gefundenen Schwachstellen besonders schädliche Szenarien zulassen, wie z. B. die Ausführung von Remote-Code oder die Eskalation von Berechtigungen, erfolgt eine vorherige Kommunikation mit den Verantwortlichen für die Durchführung des Sicherheitsaudits, um zu entscheiden, ob mit der Durchführung von Sicherheitskonzepten fortgefahren werden soll Beenden Sie den Test, ohne ihn auszunutzen. In jedem Fall werden Schwachstellen mit kritischen Auswirkungen sofort dem Kunden gemeldet, um die Zeit zu minimieren, in der die potenzielle Sicherheitsverletzung aktiv ist.

Phase 4: Analyse der Ergebnisse

Im Falle der Erkennung schwerwiegender Schwachstellen, die während der Dienstleistung gemeldet werden, kann der Kunde Fragen stellen oder die Durchführung zusätzlicher Tests zur Klärung dieser Schwachstellen anfordern, beispielsweise wenn während der Projektzeit eine Gegenmaßnahme oder Lösung implementiert wird. . Es ist jedoch wichtig zu verstehen, dass sich die Durchführung zusätzlicher Tests in keinem Fall auf die Projektplanung auswirken und die für die Erstellung des Abschlussberichts aufgewendeten Tage in Anspruch nehmen darf, es sei denn, Zerolynx und der Kunde stimmen dieser Situation zuvor zu. In jedem Fall bietet Zerolynx dem Kunden die Möglichkeit, bei Bedarf zusätzliche Tage für die Analyse und erneute Prüfung von Schwachstellen zu buchen.

Phase 5: Abschlussbericht

Durch die Konsolidierung aller erhaltenen Beweise wird ein vollständiger technischer und ausführender Bericht gemäß dem Zerolynx-Modell erstellt, der mindestens die folgenden Punkte enthält:

• Zweck und Umfang der Prüfung
• Geprüfte Systeme
• Auditorenteam
• Gesprächspartner, die an der Prüfung teilgenommen haben
• Testentwicklungstermine
• Referenzdokumentation
• Vertraulichkeitsklausel
• Erkannte Schwachstellen, klassifiziert nach ihrer Bedeutung
• Empfohlene Lösungen für Schwachstellen
• Im Audit behobene Schwachstellen
• Beobachtungen
• Stärken und Verbesserungsmöglichkeiten
• Schlussfolgerungen erhalten

Der Bericht enthält eine Zusammenfassung, in der die wichtigsten erkannten Risiken hervorgehoben werden und Empfehlungen zur Priorisierung ihrer möglichen Lösung gegeben werden. Nachfolgend finden Sie Beispiele für Zusammenfassungen und Schwachstellenblätter, die von Zerolynx verwendet werden. Die Informationen im Bericht und die Schwachstellen können jedoch bei Bedarf an die Bedürfnisse und Anforderungen des Kunden angepasst werden.

Darüber hinaus stellt Zerolynx dem Kunden am Ende des Projekts eine hochkarätige Präsentation zur Verfügung, in der die wichtigsten Ergebnisse und Abhilfemaßnahmen dokumentiert werden.

Dieser Service ist ausschließlich für KMU mit bis zu 250 Mitarbeitern konzipiert. Wenn Sie diesen Service für größere Unternehmen in Anspruch nehmen möchten, zögern Sie nicht, über das Kontaktformular Kontakt mit unserem Vertriebsteam aufzunehmen unsere Internetseite.

Weitere Informationen zu unseren externen Audit-Pentesting- und Web-Audit-Diensten

Kaufen Sie den Service in unserem virtuellen Shop und in weniger als 48 (Arbeits-)Stunden wird sich einer unserer Projektmanager mit Ihnen in Verbindung setzen, um den Beginn der Arbeiten zu vereinbaren, die etwa eine Woche dauern werden.