Liest man Literatur, ist der erste Schritt eines Pentests die Aufklärung/Reconnaissance/OSINT (Opensource Intelligence). Dabei suchen die Pentester:innen so viel Informationen wie möglich über eine Zielumgebung. Wie „echte Hacker“ (sic!) Das können z. B. Domänennamen, IP-Adressen, verwendete Anwendungen sein. Am Ende hat man eine Liste potentieller Angriffsziele mit verschiedenen möglichen Methoden. Doch ist diese Liste für Sie hilfreich? Gibt es für Sie als Kunden einen Mehrwert oder Erkenntnisgewinn?
Wer bin ich und wenn ja wie viele?
Man liest häufig, dass ein Penetrationstest ein bezahlter Hackerangriff sei. Das ist aus einer Vielzahl von Gründen natürlich nicht richtig. Zum Beispiel:
Wer sollte denn dieser „Hacker“ sein?
- Anonymer Angreifende?
- Externer Dienstleister?
- Mitarbeitende
- Praktikant:in?
- Vertrieb?
- Admin?
- …?
- Wie viel Zeit hat der Angreifende?
- Welches Know-How?
- Welche Ressourcen?
Man merkt schon: Das klappt nicht so richtig. Es gibt selbst in kleinen Organisationen sehr viele mögliche Definitionen der Angreifenden, die man unmöglich sinnvoll im Rahmen einer Prüfung alle impersonieren kann.
Wenn man sich echte Angreifende aber vorstellt, dann kommt zu Beginn die Aufklärungsphase- englisch Reconnaissance oder Recon genannt oder auch gerne an das Militär angelehnt Opensource Intelligence (OSINT) – sofern es sich um zielgerichtete Angriffe handelt. Das klingt sehr spannend: Black-Hat Hacker:innen (also diejenigen, die nichts Gutes im Schilde führen) nutzen ihre Fähigkeiten um im Internet und auch im Darknet nach Informationen über das Ziel zu suchen. Sie schleichen also virtuell um Ihre Organisation herum, um mögliche Angriffspunkte ausfindig zu machen. Klingt cool, oder? Wie ein Krimi 🔎
Jetzt haben die meisten Organisationen kein Geld, um Krimis nachzuspielen. Es geht um Effizienz und sinnhaften Einsatz von Ressourcen. Wir als beauftragte Tester haben im Vergleich zu echten Angreifern einen riesigen Vorteil: Wir können mit Ihnen sprechen!
Die Frage ist, ob das Ergebnis für meine Organisation einen Mehrwert hat, wenn ich Pentester:innen etwas suchen lasse?
OSINT/Recon bitte, wenn ..
Die Aufklärungsphase macht in folgenden Fällen durchaus Sinn:
Annahmen überprüfen
Als Unternehmen hat man bestimmte Annahmen über seine potentielle Angriffsfläche, die aber falsch oder veraltet sein können. Durch eine gründliche Aufklärung kann unser Team Ihre Annahmen überprüfen und möglicherweise Lücken oder Schwachstellen aufdecken, die Sie bisher übersehen haben. Eine Vollständigkeitsgarantie kann es dabei nie geben. Tester:innen haben möglicherweise nicht genügend Zeit bzw. einige Ziele sind nur mit Ihrem firmeninternem Know-How auffindbar.
Compliance-Anforderungen
Für viele Unternehmen sind Compliance-Anforderungen ein wichtiger Grund für die Durchführung von Penetrationstests. Wenn die Compliance z. B. die Durchführung von Red-Teaming fordert, ist die Aufklärungsphase notwendig.
#nOSINT #NoRecon
Wann macht es keinen Sinn eine Aufklärungsphase zu beauftragen? An sich immer dann, wenn die beiden oberen Punkte nicht zutreffen. Es gibt einige Punkte, die als sinnvoll für eine Aufklärungsphase betrachtet werden. Im Folgenden eine Erklärung, warum sie eben nicht für Recon sinnvoll sind:
Angriffsflächen identifizieren
Manche Unternehmen wissen gar nicht, welche Systeme, Anwendungen etc vorhanden sind und damit als Angriffsfläche dienen. Manchmal wird dann Recon ins Feld geführt. Aber das ist keine Methode, um mangelhaftes Assetmanagement zu ersetzen. Es fehlt damit auch ein Mindestmaß an erforderlicher „IT-Reife“, um mit den Ergebnissen eines Pentests umgehen zu können. Wenn ich meine „reifen Annahmen“ zu meiner Umgebung prüfen lassen möchte: Siehe oben 😉
Daher #nOSINT #NoRecon.
Identifizierung neuer Angriffsvektoren
Es gibt immer neue Angriffstechniken und Schwachstellen, die von Cyberkriminellen ausgenutzt werden können. Diese beziehen sich aber nicht auf die Ziele, sondern was man mit dem Ziel so anstellt. Insofern ist das Identifizieren neuer Angriffsvektoren unabhängig von der Aufklärungsphase.
Daher #nOSINT #NoRecon.
Anpassung der Tests auf das Ziel
Als echter Angreifender muss man z. B. den Technologiestack, die Architektur und die Sicherheitsmaßnahmen mühsam aufklären. Wir haben ja – wie oben geschrieben – als Ihre Auftragnehmer den Vorteil, dass wir miteinander sprechen können. Nehmen wir einmal eine Webanwendungsprüfung: Vor der Angebotserstellung einer Prüfung fragen wir u. A. selbstverständlich im (online buchbaren kostenfreien) Beratungsgespräch ab, welche Sicherheitsmaßnahmen in der Anwendung implementiert sind und wie wir im Test damit umgehen wollen. Anstatt also die Maßnahmen (und manche sind nur sehr schwer sichtbar zu machen) aufwändig durch Recon zu finden und dann über den Umgang damit zu sprechen, sprechen wir vorab miteinander.
Daher #nOSINT #NoRecon.
Was jetzt?
Ein guter Pentest will gut geplant sein. Das Scoping vor einer Prüfung ist elementar für effiziente und tiefgehende Tests. Die Effizienz beginnt bei dieser Planung: Das machen wir mit Ihnen zusammen im Dialog. Das kann der echte Angreifer nicht 😉 Wir optimieren seit mehr als 20 Jahren unsere Testmethoden und sind überzeugt, dass wir Ihnen mit unserem Know-How helfen können.
Rufen Sie uns einfach an oder vereinbaren Sie direkt online eine kostenfreie Erstberatung.
Wenn Sie Ihr eigenes Know-How ausbauen wollen, können Sie den Workshop „Penetrationstests: Methodik verstehen, richtig ausschreiben und Ergebnisse auswerten“ bei unserem Partner heise academy buchen.