Wer wird die Schlacht der Piraten und Ninjas gewinnen? Ich weiß, Sie denken: "Was zum Teufel hat das mit Sicherheit zu tun?" Lesen Sie weiter, um es herauszufinden, aber wählen Sie zuerst: Piraten oder Ninjas?
Bevor Sie eine solche Entscheidung treffen, müssen Sie ihre Stärken und Schwächen herausfinden:
Piraten |
|---|
| Starke Seiten | Schwächen |
| Kraftvoll | Laut |
| Gut bei Brute-Force-Angriffen | Betrunken (manche denken, das könnte ein Vorteil sein) |
| Gut im Raub | Kann nachlässig sein |
| Langstrecken | |
Ninja |
|---|
| Starke Seiten | Schwächen |
| Schnell | Keine Rüstung |
| Geheimnisvoll | Klein |
| Zum Unterrichten berufen | |
| Nahkampfmeister | |
Es kommt alles darauf an, was in einer bestimmten Situation nützlicher ist. Wenn Sie auf einer verlorenen Insel nach einem Schatz suchen und Gefahr laufen, in die Flotte Ihrer Majestät zu geraten, brauchen Sie wahrscheinlich keinen Ninja. Wenn Sie einen Versuch vorbereiten, können Sie sich nicht auf die Piraten verlassen.
Die gleiche Geschichte mit Pentest und Redtime. Beide Ansätze haben sowohl Stärken als auch Schwächen, was einen von ihnen je nach den Bedingungen vorzuziehen macht. Um das Beste daraus zu machen, müssen Sie Ziele identifizieren und dann entscheiden, was für sie am besten funktioniert.
Penetrationstests
Pentest wird normalerweise mit anderen Methoden der Sicherheitsbewertung verwechselt: Schwachstellensuche und Rediting. Obwohl diese Ansätze gemeinsame Komponenten haben, sind sie immer noch unterschiedlich und sollten in unterschiedlichen Kontexten verwendet werden.
Tatsächlich dient dieser Pentest dazu, die maximale Anzahl von Schwachstellen und Konfigurationsfehlern in der zugewiesenen Zeit sowie deren Betrieb zur Bestimmung des Risikograds zu ermitteln. Dies muss keine Suche nach Getreidebauern beinhalten, meistens ist es eine Suche nach bekannten offenen Schwachstellen. Wie bei der Schwachstellensuche dient der Pentest dazu, Schwachstellen zu identifizieren und auf Fehler der ersten Art (False Positives) zu prüfen.
Während des Pentests geht der Prüfer jedoch noch weiter und versucht, die Sicherheitsanfälligkeit auszunutzen. Dies kann auf viele Arten geschehen, und wenn die Sicherheitsanfälligkeit ausgenutzt wird, hört ein guter Pentester nicht auf. Er sucht und nutzt weiterhin andere Schwachstellen aus und kombiniert Angriffe, um das Ziel zu erreichen. Alle Organisationen setzen diese Ziele auf unterschiedliche Weise, in der Regel umfassen sie jedoch den Zugriff auf personenbezogene Daten, medizinische Informationen und Geschäftsgeheimnisse. Manchmal erfordert dies Zugriff auf Domänenadministratorebene, aber oft können Sie darauf verzichten, oder sogar der Zugriff auf dieser Ebene reicht nicht aus.
Wer braucht einen Pentest? Einige Regierungsbehörden fordern dies, aber Organisationen, die bereits regelmäßige interne Audits, Schulungen und Sicherheitsüberwachungen durchführen, sind normalerweise für einen solchen Test bereit.
Rote Teambewertung
Redtimeing ähnelt einem Pentest, ist jedoch fokussierter. Das Ziel des roten Teams ist es nicht, die maximale Anzahl von Schwachstellen zu finden. Ziel ist es, die Fähigkeit des Unternehmens zu testen, Eingriffe zu erkennen und zu verhindern. Angreifer erhalten auf jede mögliche Weise Zugriff auf vertrauliche Informationen und versuchen, unbemerkt zu bleiben. Sie emulieren gezielte Angriffe eines Angreifers ähnlich wie
APT . Außerdem ist die Redtime in der Regel länger als die Penttime. Der Pentest dauert normalerweise 1-2 Wochen, während die Redtime 3-4 Wochen oder länger dauern kann und mehrere Personen involviert sind.
Während der Redtime werden nicht viele Schwachstellen durchsucht, sondern nur diejenigen, die zur Erreichung des Ziels erforderlich sind. Die Ziele sind normalerweise die gleichen wie beim Pentest. Beim Redimmen werden Methoden wie Social Engineering (physisch und elektronisch), Angriffe auf drahtlose Netzwerke, externe Assets usw. verwendet. Solche Tests sind nicht für jedermann geeignet, sondern nur für Unternehmen mit einem ausgereiften Maß an Informationssicherheit. Solche Organisationen haben in der Regel bereits Pentests bestanden, die meisten Schwachstellen behoben und bereits Erfahrung darin, Penetrationstests erfolgreich entgegenzutreten.
Redtimeting kann wie folgt stattfinden:
Ein Mitglied des roten Teams in der Gestalt eines Postboten betritt das Gebäude. Einmal drinnen, verbindet es das Gerät mit dem internen Netzwerk des Unternehmens für den Fernzugriff. Das Gerät richtet einen Netzwerktunnel über einen der zulässigen Ports ein: 80, 443 oder 53 (HTTP, HTTPS oder DNS) und stellt einen C2-Kanal für den roten Befehl bereit. Ein anderes Mitglied des Teams, das diesen Kanal verwendet, beginnt, die Netzwerkinfrastruktur zu durchlaufen, indem es beispielsweise ungeschützte Drucker oder andere Geräte verwendet, die dazu beitragen, den Punkt des Eindringens in das Netzwerk zu verbergen. So erkundet das rote Team das interne Netzwerk, bis es sein Ziel erreicht, und versucht, unter dem Radar zu bleiben.
Dies ist nur eine von vielen Methoden, die das rote Team anwenden kann, aber es ist ein gutes Beispiel für einige der von uns durchgeführten Tests.
Also ... Piraten oder Ninjas?
Kehren wir zu den Piraten gegen den Ninja zurück. Wenn Sie angenommen haben, dass Pentester Piraten und Redimere Ninjas sind, haben Sie richtig geraten. Welches ist besser? Oft sind dies dieselben Personen, die unterschiedliche Methoden und Techniken für unterschiedliche Untersuchungen anwenden. Die wirkliche Antwort bei der Suche nach dem Besten ist dieselbe wie bei Piraten und Ninjas: nicht unbedingt jemand Besseres. Jedes ist in bestimmten Situationen nützlicher. Sie brauchen weder Piraten für verdeckte Operationen noch Ninjas, um die Meere auf der Suche nach Schätzen zu pflügen. Es lohnt sich auch nicht, einen Pentest zu verwenden, um die Reaktion auf Vorfälle und die Redtime zu bewerten, um Schwachstellen zu finden.