Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
CIS Critical Security Control 18. Penetrationstests

CIS Critical Security Control 18. Penetrationstests

Jun 23, 2022

Das Center for Internet Security (CIS) bietet Critical Security Controls (CIS Controls) zur Unterstützung des sich entwickelnden Bereichs der Cybersicherheit. CIS Control 18 behandelt Penetrationstests (dieses Thema wurde in der vorherigen Version von Control 20 abgedeckt).

Penetrationstests sind das absichtliche Ausführen von Cyberangriffen, um die Sicherheit einer Organisation zu bewerten. Experten für Penetrationstests führen diese durch, um in die Sicherheitssysteme einzudringen und die Schwachstellen in Ihren Webseiten, Anwendungen oder Netzwerken aufzuzeigen. Indem diese Verwundbarkeiten identifiziert werden, helfen Penetrationstests Unternehmen, ihr Sicherheitsmanagement zu verbessern.

Ausgewählte verwandte Inhalte:

Obwohl es eine bewährte Praxis für Sicherheit ist, ist Penetrationstesting teuer, da es kompliziert ist und daher erfahrene und renommierte Penetrationstester benötigt, die auch als „ethische Hacker“ bezeichnet werden. Die Tests können Risiken einführen, einschließlich der Abschaltung instabiler Systeme und der Beschädigung oder Löschung von Daten. Der Ausgabebericht birgt ebenfalls ein Risiko, da er die Schritte zum Durchbrechen der Verteidigung der Organisation darlegt, und muss daher sorgfältig geschützt werden.

Penetrationstests werden oft mit einer anderen integralen (und oft erforderlichen) Praxis, den Schwachstellenscans, verwechselt, aber sie haben unterschiedliche Methoden und Zwecke. Schwachstellentests (CIS Control 7) verwenden nicht-intrusive Scans, um Schwachpunkte in der Sicherheit eines Systems zu identifizieren, in dem Versuch, Sicherheitsverletzungen aufzudecken, aber nicht auszunutzen. Im Gegensatz dazu verwenden Penetrationstests intrusive Methoden, um zu testen, wie schädlich ein Cyberangriff für eine Organisation sein könnte. Sie imitieren einen echten Angriff, um genau herauszufinden, auf welche IT-Ressourcen ein Angreifer zugreifen könnte. Die gemeinsame Nutzung von Schwachstellen- und Penetrationstestverfahren kann eine umfassende Sicht auf Sicherheitsdefizite liefern.

18.1 Einrichtung und Pflege eines Penetrationstestprogramms

Ein erfolgreiches Penetrationstest-Programm hilft Ihrem Unternehmen, Hackern immer einen Schritt voraus zu sein. Penetrationstests decken Lücken im Sicherheitssystem auf und zeigen, wie einfach es ist, IT-Vermögenswerte zu stehlen. Die Einzelheiten jedes Penetrationstest-Programms hängen von der Art, Größe, Komplexität und Reife der Organisation ab. Hier sind einige Richtlinien.

  • Umfang — Ein Penetrationstest-Programm sollte sowohl externe als auch interne Tests umfassen. Der Umfang des Tests kann einige oder alle der folgenden Bereiche beinhalten:
    • Netzwerk
    • Hardware
    • Webanwendungen
    • API
    • Wi-Fi
    • Physischer Zugang zu den Räumlichkeiten
  • Art — Es gibt drei Arten von Penetrationstests, abhängig davon, wie viele Informationen Sie für den Pre-Test bereitstellen:
    • Black-box: Die Tester beginnen ohne Kenntnisse der internen Systeme.
    • White-box: Das Unternehmen stellt umfassende Details über das Ziel zur Verfügung.
    • Gray-box: Diese Bewertungen liegen in der Mitte, wobei die Organisation dem Tester teilweise Informationen zur Verfügung stellt.
  • Einschränkungen — Beachten Sie unbedingt Einschränkungen, die die Wirksamkeit der Tests beeinträchtigen könnten, wie zum Beispiel:
    • Umfang: Aufgrund von Ressourcen- oder Budgetmangel kann sich eine Organisation dazu entscheiden, den Umfang des Penetrationstests zu begrenzen, was zu potenziellen blinden Flecken in ihrer Sicherheit führen kann.
    • Zeit: Während Penetrationstester jedem Test einen strukturierten Zeitrahmen geben, haben Gegner keine Zeitlimits und können Wochen oder Monate für einen Angriff aufwenden.
    • Methode: Einige Penetrationstest-Methoden könnten dazu führen, dass das Zielsystem abstürzt, daher sind diese Techniken bei einem professionellen Penetrationstest nicht anwendbar.
    • Fähigkeiten: Ein Penetrationstester hat möglicherweise nur eine spezifische Art von Technologie studiert, was deren Perspektive einschränken könnte.
    • Experiment: Pen-Tester könnten dazu neigen, innerhalb des vorgegebenen Rahmens zu denken und lediglich die ihnen vorgegebenen Strukturen und Protokolle zu befolgen. Wahre Gegner könnten jedoch kreativer in ihren Ansätzen sein.
  • Häufigkeit — Die CIS Controls empfehlen Organisationen, sowohl externe als auch interne Penetrationstests regelmäßig durchzuführen — mindestens einmal pro Jahr — und nach jeder bedeutenden Änderung in der Infrastruktur oder Software.
  • Ansprechpartner — Nur wenige ausgewählte Personen sollten wissen, wann ein Penetrationstest stattfindet. Weisen Sie für jeden routinemäßigen Test einen spezifischen Ansprechpartner innerhalb der Organisation zu, um mit dem Penetrationstest-Team in Verbindung zu treten. Sollten während der Durchführung des Tests Probleme auftreten, kann diese Person die entsprechenden
  • Behebung und erneutes Testen — Nach Abschluss des Tests sollte die Organisation feststellen, welche Änderungen an Richtlinien und technischen Maßnahmen erforderlich sind, um die Sicherheit zu verbessern. Die Penetrationstests sollten wiederholt werden, nachdem diese Maßnahmen ergriffen wurden.

Phasen eines Penetrationstest-Programms

Der Penetrationstest-Prozess umfasst sieben Phasen. Die ersten sechs dauern etwa 10 Tage, abhängig vom Umfang. Der letzte Schritt, die Behebung, dauert oft länger.

  1. Vor dem Engagement — Der Prozess beginnt mit der Festlegung der Ziele. Die Organisation und die Tester entscheiden, welche Unternehmenswerte im Rahmen des Tests berücksichtigt werden und welche Aspekte der Sicherheit geprüft werden.
  2. Aufklärung — Der Tester sammelt Informationen über die Vermögenswerte im Rahmen der Penetrationstest-Operation. Die Tester können entweder aktiv direkt mit dem Netzwerk interagieren, um Informationen zu sammeln, oder passiv dem Netzwerkverkehr folgen und Betriebssystem- und Internet-Spuren verfolgen.
  3. Entdeckung — Die Entdeckungsphase umfasst zwei Teile. Zuerst könnte der Tester weitere Informationen sammeln, wie Hostnamen, IP-Adressen und Details zu Anwendungen und Diensten. Anschließend führt der Tester einen Schwachstellenscan durch, um nach Sicherheitslücken im Netzwerk, in Anwendungen, Geräten und Diensten zu suchen. Neben Schwachstellen wie nicht aktualisierten Systemen könnten Tester auch Fehler in der Sicherheitsrichtlinie, Schwächen in Sicherheitsprotokollen und Compliance-Probleme im Hinblick auf Standards wie PCI DSS, GDPR oder HIPAA entdecken. Obwohl die Verwendung von Software für Schwachstellenscans viel effizienter ist, bietet die Beauftragung eines Teams für einen manuellen Scan einen umfassenderen Einblick in Sicherheitslücken.
  4. Analyse von Schwachstellen — Als Nächstes priorisiert der Tester die entdeckten Schwachstellen. Obwohl diese Rangfolge etwas subjektiv sein kann, verwenden erfahrene Penetrationstester das Common Vulnerability Scoring System (CVSS), ein weltweit anerkanntes quantitatives Bewertungssystem.
  5. Ausnutzung — Die Tester versuchen, die Schwachstellen zu nutzen, um auf die IT-Umgebung zuzugreifen. Sie verwenden die gleichen Techniken, die auch ein Hacker anwenden könnte, einschließlich Phishing-E-Mails, Social Engineering und das Aufdecken von Benutzeranmeldeinformationen. Sobald sie drin sind, bewerten die Tester, auf welche Ressourcen sie Zugriff haben. Sie werden das Ausmaß des Zugriffs, die Leichtigkeit des Aufrechterhaltens des Zugriffs, wie lange der Bruch unentdeckt bleibt und die potenziellen Risiken notieren.
  6. Berichterstattung und Empfehlungen — Die Tester liefern einen detaillierten Bericht über die identifizierten Schwachstellen und deren zugehörige Risiken, zusammen mit Empfehlungen zur Behebung.
  7. Behebung und erneutes Scannen — Die IT-Teams der Organisation arbeiten daran, die Sicherheitslücken zu schließen und Schwachstellen zu beheben. Anschließend scannen die Penetrationstester das Netzwerk erneut, um die Wirksamkeit der Behebungsmaßnahmen zu bewerten.

18.2 Führen Sie regelmäßige externe Penetrationstests durch

Externe Penetrationstests zielen auf den peripheren Zugriff auf die Systeme Ihrer Organisation ab. Speziell nutzt ein externer Pen-Test das öffentliche Netzwerk, um in das System einzudringen. Das Ziel ist es zu testen, wie weit ein Angreifer von außen vordringen könnte. Indem das Verhalten eines Hackers simuliert wird, bieten die Tester eine objektive Perspektive auf die Widerstandsfähigkeit und Schwachstellen Ihres Unternehmens. Externe Pen-Tests folgen den gleichen sieben Phasen, die oben detailliert beschrieben wurden.

Sie und der Tester einigen sich im Rahmen einer rechtlichen Diskussion über den Umfang des Penetrationstests. Da externe Penetrationstests auf die von außen sichtbaren Server abzielen, können sie Websites, Anwendungen, Benutzer, APIs und ganze Netzwerke umfassen. Während einige Tests möglicherweise nur einen Aspekt Ihrer Vermögenswerte ins Visier nehmen, werden die meisten die Tests nutzen, um einen umfassenderen Überblick über Ihre Cyber-Schwachstellen zu erhalten. In Übereinstimmung mit CIS Control 18 führen Sie mindestens jährlich externe Penetrationstests durch.

18.3. Beseitigen Sie die Erkenntnisse des Penetrationstests

Der letzte Schritt beim Penetrationstest besteht darin, Ihre Verteidigungsposition zu verbessern. Priorisieren Sie die Empfehlungen aus dem Test und entscheiden Sie, welche umgesetzt werden sollen, um Schwachstellen zu reduzieren und die Sicherheitslage Ihres Unternehmens zu stärken. Organisationen könnten sich dafür entscheiden, einige Schwachstellen nicht zu beheben, insbesondere wenn sie im CVSS niedrig bewertet werden und schwer oder teuer zu beheben sind.

18.4. Sicherheitsmaßnahmen validieren

Nachdem die IT-Fachkräfte im Unternehmen gemeinsam mit dem Penetrationstest-Team an der Behebung von Problemen gearbeitet haben, ist es entscheidend, die Systeme erneut zu testen, um zu überprüfen, ob angemessene Änderungen vorgenommen wurden. Beachten Sie, dass dieser Validierungsschritt möglicherweise eine Anpassung der Scan-Techniken erfordert, um Systemschwächen am besten identifizieren zu können.

18.5. Führen Sie regelmäßige interne Penetrationstests durch

Die Notwendigkeit für interne Penetrationstests ergibt sich aus dem Potenzial bösartiger oder nachlässiger Mitarbeiter, Geschäftspartner und Kunden, Schaden anzurichten. Sie bieten eine wichtige Ergänzung zu externen Penetrationstests. Interne Penetrationstester zielen auf die Systeme des Unternehmens, indem sie internen Zugang zum Netzwerk hinter der Firewall nutzen. Interne Penetrationstests helfen Ihnen, das potenzielle Schadensausmaß und die Risiken für Vermögenswerte zu bewerten, falls ein interner Benutzer das System ausnutzt.

Wie externe Penetrationstests folgen auch interne Penetrationstests den sieben zuvor dargelegten Schritten und können als Black-, White- oder Grey-Box durchgeführt werden. Tester werden ihren Insiderzugang nutzen, um zu versuchen, Zugangskontrollen zu umgehen. Das Team kann die physischen Computersysteme, mobile Geräte und Sicherheitskameras sowie das Verhalten der Mitarbeiter und Verfahren testen. Zusätzlich könnten die Tester versuchen, einen ähnlichen Umfang wie bei einem externen Penetrationstest auszunutzen, einschließlich drahtloser Netzwerke, Firewalls und Systeme zur Erkennung und Verhinderung von Eindringlingen, um noch gravierendere Schwachstellen aufzudecken.

Zusammenfassung

Penetrationstests sind eine komplexe und spezialisierte Praxis. Die regelmäßige Durchführung von Penetrationstests ist ein kritischer Teil der

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Active Directory-Attribute: Letzte Anmeldung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen