Hacker mit Maske und Laptop

Was können automatisierte Pentests?

Inhalt

Mit gezielten Attacken auf das Firmennetzwerk, prüft man die vorhandenen Sicherheitsmaßnahmen auf Herz und Nieren. Einen Pentester zu engagieren, ist allerdings verhältnismäßig teuer. Gibt es eventuell eine langfristig günstigere und effektivere Lösung? In diesem Artikel erläutern wir Ihnen die Chancen von automatisierten Pentests und stellen Ihnen den Enginsight Penetrationstest „Hacktor“ genauer vor.

Was ist ein Pentest?

Bei einem Penetrationstest (kurz: Pentest) werden die IT-Systeme eines Unternehmens kontrolliert angegriffen. So werden besonders realitätsnahe Schwachstellen aufgedeckt, um zu verhindern, dass ein echter Angriff Erfolg hat. Pentests können

  • manuell von einem Experten und/oder
  • automatisiert durch Tools vorgenommen werden.

Was sind die Vorteile eines automatisierten Pentests?

Schnell & Günstig

Bei manuellen Penetrationstests wird meist nach Tagessätzen abgerechnet, die typischerweise zwischen 1000 € und 1800 € liegen. Je nach Aufwand und Komplexität der Systeme wird ca. 2 – 10 Tage lang getestet. Die Kosten für einen manuellen Pentest können also von 2000 € bis zu 18.000 € schwanken. Ein automatisierter Pentest kann im wahrsten Sinne des Wortes auf Knopfdruck durchgeführt werden. Er liefert die Ergebnisse meist innerhalb einiger Stunden. Natürlich entstehen auch hier Kosten für die entsprechende Software, diese liegen jedoch in der Regel deutlich unter dem Preis für einen manuellen Penetrationstest.

Das Professional Paket von Enginsight (inkl. unbegrenzter automatisierter Pentest, Asset Discovery und tiefgreifender Überwachung eines Servers durch den Pulsar Agent Pro) ist schon ab 26,91€ monatlich erhältlich.

Aktuell & Reproduzierbar

Manuelle Penetrationstests berücksichtigen keine Veränderungen. Der Tester prüft das System zu einem bestimmten Zeitpunkt, unter bestimmten Bedingungen. Unternehmensnetzwerke sind jedoch keine statischen Gebilde. Neue Geräte kommen hinzu, Alte werden entsorgt, Zugriffsrechte verändern sich, etc. Jede dieser Veränderungen kann zu neuen Schwachstellen führen. Außerdem hängt die Effizienz des Tests stark von der Kompetenz, Ausrüstung und Tagesform des Testers ab. Hat er genug Wissen über die verwendete Softwarearchitektur? Ist er kreativ genug, um auch ungewöhnlichere Angriffe durchzuführen? Ist er gestresst und hat nicht genug Ruhe, um angemessen gründlich vorzugehen?

Bei automatisierten Pentests dagegen kann man eine gleichbleibende Qualität erwarten und den Test leicht standardisieren. Er kann jederzeit, einfach wiederholt werden. Auf diese Weise ist der Pentest reproduzierbar, die Ergebnisse vergleichbar und man erhält eine Einschätzung, in welche Richtung sich die Sicherheit seiner IT-Infrastruktur entwickelt.

Was macht den Enginsight Pentest besonders?

Automatisierung bis ins letzte Detail

Auch automatisierte Pentests erfordern meist noch einiges an Handarbeit. Viele Experten empfehlen eine möglichst breite Schwachstellen-Bewertung, bei der alles mit einer IP-Adresse oder URL ein potenzielles Angriffsziel ist. Oft fehlt es in einem Unternehmen allerdings am Überblick, welche Geräte unter welcher IP im Netz hängen. Alle zu testenden IPs und URLs für einen Pentest zusammenzutragen, kann so zu einem ganzen Stück Arbeit werden. Deswegen ist unser Pentest Hacktor kombinierbar mit unserer Asset Discovery. Diese findet automatisch für Sie alle Komponenten, die sich im Netzwerk befinden (Server, Laptops, Switche, Drucker, IoT-Geräte, etc.). Die Daten aus der Asset Discovery können anschließend automatisiert als Grundlage für unseren Pentest genommen werden. Eine manuelle Eingabe von IP-Adressen ist natürlich trotzdem möglich.

Klicken Sie auf das Bild, um es zu vergrößern

Integration mit der Enginsight Plattform

Penetrationstests sind wichtig, haben jedoch den Nachteil, dass sie aktiv in Ihre IT-Infrastruktur eingreifen, was zu einem kurzzeitigen Ausfall der Systeme führen kann. Ein Pentest kann also nicht so ohne Weiteres jeden Tag durchgeführt werden. Hier kommt das Schwachstellen-Monitoring der Enginsight Plattform ins Spiel. Auch beim Schwachstellen-Monitoring wird Ihre Infrastruktur nach Sicherheitslücken und unerwarteten Vorkommnissen abgesucht. Das Monitoring geht jedoch generell schonender mit Ihrer Infrastruktur um und versucht im Hintergrund zu bleiben, um Ihre Systeme nicht zu beeinträchtigen.

Aufgrund dieser unterschiedlichen Vorgehensweise findet ein Pentest meist andere Sicherheitslücken, als das Schwachstellen-Monitoring. Beides ergänzt sich also sehr gut. Mit Ihrem Enginsight Account können Sie nicht nur automatisierte Pentests durchführen, Sie bekommen Zugang zur kompletten Enginsight Plattform, inkl. IT-Monitoring, Schwachstellen-Monitoring, IT-Management, Asset Discovery, Deep Packet Inspection, Audit Reports, etc. 

Was passiert beim Enginsight Pentest?

Der automatisierte Pentest von Enginsight geht in drei Schritten vor: Bruteforce, netzwerkseitiger CVE-Scan und Discovery. Engnisight ermittelt automatisiert, welche Tests für das jeweilige Zielsystem herangezogen werden müssen. Dabei werden nur die Services geprüft, die auch von uns implementiert wurden. Das minimiert die Anzahl der False-Positive-Meldungen.

Dabei kommt unsere Softwarekomponente Hacktor zum Einsatz, deren Umfang und Effizienz wir stetig erweitern.

Bruteforce

Bruteforce bezeichnet eine Lösungsmethode für Probleme, die auf dem Ausprobieren aller möglichen Fälle beruht. Im Bereich der IT-Sicherheit ist damit oft eine Attacke gemeint, bei der sich ein Angreifer Zugang zu einem System verschafft, indem er systematisch Authentifizierungsdaten ausprobiert. Einfacher ausgedrückt: Hacktor versucht, durch massenhaftes Ausprobieren von Benutzernamen und Passwort-Kombinationen in das System einzudringen. Sollte er dabei Erfolg haben, versucht er noch tiefer in das System einzudringen.

Auf folgende Services kann Hacktor bereits Bruteforce-Attacken ausführen:

  • SSH
  • Telnet
  • FTP
  • MySQL
  • Mongo DB
  • Redis
  • Maria DB
  • Rabbit MQ
  • PostgrSQL
  • Webformes (Login-Formulare auf Webseiten)

CVE-Scan

Sicherheitslücken in Software, die durch fehlerhafte Programmierung entstehen, sind ein zentrales Problem der IT-Sicherheit. Mit Hilfe von Common Vulnerabilities and Exposures (CVE) werden Sicherheitslücken gesammelt. Die Hersteller der Software sind angehalten, die Schwachstelle per Update zu beheben. Hacktor prüft die von außen erreichbaren Anwendungen auf bekannte Schwachstellen und gibt eine Abschätzung, als wie kritisch sie anzusehen sind. Er versucht darüber hinaus, zu validieren, ob die Schwachstelle auf dem entsprechenden Betriebssystem ausgenutzt werden kann.

Discovery

In der Discovery-Phase testet Enginsight die gefundenen Services auf spezifische, häufig vorkommende Sicherheitslücken, die beispielsweise durch eine falsche Konfiguration entstehen. Dabei werden unter anderem Authentifizierungsverfahren, die Verschlüsselung von Verbindungen, Ausführungs- und Zugriffsrechte oder HTTP-Header unter die Lupe genommen.

Hacktor prüft zum Beispiel die Konfiguration der Verschlüsselung via SSL/TLS und von SSH-Verbindungen. Er erkennt, wenn in Datenbanken falsche Zugriffsrechte gewährt werden oder Benutzer ohne Passwort vorhanden sind.

Eine Übersicht, welche Checks im Detail Hacktor ausführt und eine Anleitung, wie Sie einen Pentest mit Enginsight starten können, erhalten Sie in der Dokumentation.

Neugierig geworden?

Lassen Sie sich von Enginsight hacken, bevor Sie Opfer einer Cyberattacke werden. Die übersichtlich in Audit Reports zusammengestellten Lücken Ihres Systems, geben Ihnen konkrete praxisnahe Ansatzpunkte, die Sicherheit Ihrer IT-Infrastruktur auf ein neues Level zu heben.

Enginsight jetzt kostenlos testen!

Update 12.05. Der Funktionsumfang des Hacktors wurde auf den aktuellen Stand gebracht.

Klicke den Bearbeitungs-Button um diesen Text zu verändern. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

jQuery(window).load(function() { jQuery.each( elementorFrontend.documentsManager.documents, ( id, document ) => { if ( document.getModal && id == 4611) { // It's a popup document document.getModal().on( 'show', () => { console.log( 'src="https://cdn.pipedriveassets.com/web-form-assets/webforms.min.js' ); } ); } }); });

100% Eigenentwicklung, Made in Germany.