Penetrationstests

Automatisierte Pentests sind ein wichtiger Bestandteil des Featuresets von Enginsight. Mit ihnen können Sie ihre Systeme regelmäßig einem Härtetest unterziehen. Dabei kommt die Softwarekomponente Hacktor zum Einsatz.

Funktionsumfang

Automatisierte Pentests bestehen bei Enginsight aus drei Schritten:

  1. Bruteforce-Angriff

  2. CVE-Scan

  3. Discovery

Engnisight ermittelt automatisiert, welche Tests für das jeweilige Zielsystem herangezogen werden müssen. Dabei werden nur die Services geprüft, die auch von uns implementiert wurden. Das minimiert die Anzahl der False-Positive-Meldungen.

Hier erfahren Sie im Detail, was Hacktor prüft.

Pentest durchführen

Mit Enginsight ist es Ihnen jederzeit möglich, einen automatisierten Pentest innerhalb Ihrer IT Landschaft durchführen zu lassen. Wie Sie dies tun können, wird Ihnen Schritt für Schritt im folgenden Tutorial erklärt.

1. Um einen automatisierten Pentest durchzuführen, muss zunächst die Softwarekomponente Hacktor im entsprechenden Netzsegment auf einem Linux-System installiert werden. Hierzu 'Hacktors' → 'Hacktor hinzufügen' (oben rechts) wählen und den Anweisungen der Plattform folgen.

2. Als zweiten Schritt müssen Sie die Zielsysteme definieren. Um neue Zielsysteme anzulegen, klicken Sie unter auf den Menüpunkt Zielsysteme und oben rechts auf 'Zielsysteme hinzufügen'. Vergeben Sie einen Namen und eine Beschreibung. Klicken Sie auf 'Zielsysteme hinzufügen', um die Zielsysteme abzuspeichern.

3. In einem dritten Schritt legen Sie mit einer Vorlage fest, welcher Hacktor welche Zielsysteme attackieren soll. Hierzu wählen Sie unter Vorlagen oben rechts 'Vorlage hinzufügen'. Vergeben Sie einen Namen und eine Beschreibung. Die Option 'Wiederkehrende Durchführung' erlaubt es Ihnen zukünftige Ausführungen zu planen. Über 'Erweiterte Einstellungen' können Sie die Bruteforce-Tests zuschalten. Um die Vorlage hinzuzufügen, klicken Sie auf den Button 'Vorlage hinzufügen'.

4. Von der Übersicht der angelegten Vorlagen aus, können Sie den Penetrationstest starten. Drücken Sie einfach auf 'Scan starten'.

5. In den Audits können Sie die Ergebnisse des durchgeführten Pentest einsehen.

Bitte beachten Sie, dass ein Pentest unter Umständen die Verfügbarkeit Ihres Systems temporär beeinträchtigen kann! Außerdem können Zuwiderhandlungen rechtliche Konsequenzen nach sich ziehen.

Audits

Mit dem Audit erhalten Sie eine umfangreiche, standardisierte und versionierte Auswertung über Ihre durchgeführten Penetrationstests.

Zu jedem durchgeführten Pentest sowie einzelnen Zielsystem erhalten Sie einen Status. Dabei unterscheiden wir zwischen:

  • Secure: Der Pentest wurde bestanden und es wurden keine sicherheitskritischen Einfallstore gefunden. Das heißt alle Checks wurden entweder bestanden oder Abweichungen als Low bewertet.

  • Vulnerable (gelb): Es wurden Szenarien aufgedeckt, welche die Sicherheit Ihres Systems negativ beeinflussen und als Medium und/oder Low bewertet wurden. Sie sollten sich mit diesem Punkten auseinandersetzen, Ihr System befindet sich jedoch nicht in einem unmittelbar kritischen Zustand.

  • Vulnerable (rot): Der Pentest wurde nicht bestanden, Sie sollten sich unmittelbar mit den Ergebnissen auseinandersetzen und insbesondere die als "critical" oder "high" klassifizierten Sicherheitslücken prüfen und ggf. beheben.

Unter Fortschritt geben wir an, ob die Durchführung des Pentests erfolgreich war. Ein Penetrationstest kann sein:

  • Finished: Der Pentest konnte durchgeführt werden.

  • Error: Bei der Durchführung sind Probleme aufgetreten (bspw. ist die Verbindung mit dem Hacktor abgebrochen). Sollte Dies der Fall sein überprüfen Sie die Konfigurationen und starten Sie den Pentest erneut.

Details

Klicken Sie einen Audit an, um eine detaillierte Auswertung zu erhalten. Der Audit besteht aus drei Teilen. Unter Informationen wird Ihnen erstens eine Übersicht über Anwendungen und Betriebssysteme gegeben. Sie erhalten zweitens eine Übersicht über alle Ports und Services. Der War Room sammelt drittens alle gefundenen Sicherheitslücken, fehlerhaften Konfigurationen sowie möglichen Angriffspunkte von Zielsystemen und Anwendungen. Mithilfe von Filterfunktionen können Sie sich die Ergebnisse nach Ihren eigenen Bedürfnissen sortieren.

Vorlagen

Vorlagen helfen Ihnen für standardisierte Penetrationtests. So können Sie die Reproduzierbarkeit und Vergleichbarkeit, sich wiederholender Pentests, gewährleisten. Mit einer Vorlage legen Sie fest, welcher Hacktor welche Zielsysteme attackieren soll. Außerdem können Sie weitere Vorgaben definieren.

Allgemeine Einstellungen

Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung. Wählen Sie einen Hacktor aus, welcher die ausgewählten Zielsyteme attackieren soll. Geben Sie die Zielsysteme an, die Hacktor angreifen soll. Sie können sowohl ein einzelnes Zielsystem als auch mehrere Zielsysteme zur Vorlage hinzufügen.

Der Host, auf welchem der Hacktor installiert ist, muss mit den Zielsystemen kommunizieren können.

Wiederkehrende Durchführung

Die Option "Wiederkehrende Durchführung" erlaubt es Ihnen zukünftige Ausführungen zu planen. Sie haben die Wahl eine Ausführung an einem bestimmten Wochentag zu wiederholen (Täglich), einem bestimmten Tag im Monat (Monatlich) oder mit einem Cronjob zu arbeiten (Custom).

Audits lassen sich maximal einmal stündlich über die Option "Geplante Ausführung" starten.

Per E-Mail versenden

Haben Sie die wiederkehrende Durchführung aktiviert, besteht die Möglichkeit, den Audit Report als PDF automatisch per E-Mail an Teammitglieder zu versenden. Wählen Sie einen oder mehrere Mitglieder aus und vergeben Sie ein Passwort, mit dem der Audit Report verschlüsselt werden soll.

Es besteht auch die Möglichkeit, die Audit Reports unverschlüsselt zu versenden. Wir empfehlen jedoch dringlich die Möglichkeit der Verschlüsselung in Anspruch zu nehmen.

Erweiterte Einstellungen

Mittels Bruteforce-Attacken können Sie unsichere Benutzernamen-Passwort-Kombinationen aufdecken. Die Bruteforce-Nutzung können Sie hinzuschalten bzw. deaktivieren.

Außerdem können Sie festlegen, ob Sie die Passwort-Liste von Enginsight nutzen möchten oder lediglich die von Ihnen unter Payloads hinterlegten Passwörter nutzen möchten. Hier erfahren Sie, auf welche Services Hacktor Bruteforce-Attacken ausführen kann.

Payloads

Unter Payloads können Sie eigene Daten zum Pentest hinzufügen, um ihn zu personalisieren.

Geben Sie hier Ihre eigene Passwortliste ein. Beachten Sie dabei die folgende Syntax:

<username>:<passwort>

Trennen Sie Usernamen und Passwort durch einen Doppelpunkt. Ist kein Doppelpunkt vorhanden, wird der Eintrag als Passwort verwendet und der Standard-Nutzer des jeweiligen Dienstes als Benutzer verwendet.

Zielsysteme

Als Zielsysteme bezeichnen wir einen oder mehrere Ziele, auf die ein Pentest angesetzt werden kann. Dies können konkrete IP-Adressen sein, die erkannte Asset Discovery eines Watchdogs oder Endpunkte. Nachdem Sie Zielsysteme festgelegt haben, können Sie eine Vorlage erstellen und den Penetrationstest starten.

Zielsysteme hinzufügen

Um Zielsysteme hinzuzufügen, klicken Sie unter dem Menüpunkt Zielsysteme oben rechts 'Zielsysteme hinzufügen'. Wählen Sie dafür einen aussagekräftigen Namen und eine Beschreibung, welche die Ziele ausreichend beschreiben. Danach können Sie entweder manuell IP-Adressen hinzufügen, Ziele von einem Ihrer Watchdogs bestimmen oder angelegt Endpunkte auswählen. Klicken Sie dann auf 'Zielsystem hinzufügen', um ein Angriffsziel für den Hacktor zu definieren.

IP Ranges angeben

Sie können prinzipiell auch IP Ranges angeben.

Prüfen Sie zuvor, ob es nicht sinnvoller ist, die Inventarisierung des Watchdogs zur Grundlage des Pentests herzunehmen. Ein Pentest über eine IP Range dauert deutlich länger, da der Hacktor jede IP-Adresse anpinnt. In den Ergebnissen werden Sie zudem viele Offline-Ziele erhalten, da in den meisten Fällen nur kleine Teile des Netzes verwendet werden.

Syntax

Beispiel

Beschreibung

[] . [] . [] . [] / []

192.168.178.0/30

Geben Sie eine Subnetzmaske an.

[] . [] . [] . [] - []

192.168.178.12-16

Geben Sie eine Sequenz an.

[] . [] . [] . [] , []

192.168.178.30,45

Geben Sie eine Reihe an.

[] . [] . [] , [] . [] - []

192.168.5,8.10-12

Kombinieren Sie Reihe und Sequenz.

Berichte

Hier erhalten Sie eine Übersicht aller generierten PDF-Berichte von Audit Reports.

Hacktors

Der Hacktor ist eine Softwarekomponente, die in einem spezifischen Netzwerksegment installiert werden kann, um Penetrationstests auf den erreichbaren Assets durchzuführen..

Hacktor anlegen

Um einen Hacktor hinzuzufügen reicht es auf den Button Hacktor hinzufügen zu drücken und den Quellcode mit Rootrechten auf einem linuxbetriebenen Server oder Computer auszuführen.

Sie können hier selbstverständlich auch auf mit einer virtueller Maschine arbeiten. Achten Sie dabei darauf, eine Netzwerkbrücke einzurichten. Wir bieten außerdem eine fertig eingerichtete Appliance an, auf welcher der Hacktor bereits installiert ist und die nur noch in das entsprechende Netzsegment gehängt werden muss.

Hacktor konfigurieren

Klicken Sie den gewünschten Hacktor in der Liste an, um ihn entsprechend Ihrer Anforderungen zu konfigurieren.

Frequenz wählen

Unter 'Allgemeine Einstellungen' können Sie die Frequenz festlegen, mit welcher der Penetrationstest durchgeführt wird. Richten Sie sich dabei nach den Ressourcen, die im Netzwerk vorhanden sind. Eine höhere Frequenz bedeutet kürzere Timeouts und mehr Requests. Dadurch verkürzt sich die Zeit, die der Pentest in Anspruch nimmt, deutlich. Sollte jedoch eine zu hohe Frequenz gewählt werden, welche die getesteten Systeme überlastet, können Ergebnisse verloren gehen.

Port Range festlegen

Legen Sie manuell die Port Range fest, die bei den attackierten Assets angesteuert werden soll. In der Standardeinstellungen werden die 3500 meist verwendeten Ports gescannt und getestet. Abweichend können Sie einzelne Ports als Reihe angeben oder eine Sequenz. Alternativ können Sie beide Varianten auch kombinieren oder eine andere Anzahl an häufig verwendeten Ports definieren.

Richten Sie sich dabei nach der folgenden Syntax:

SYNTAX

BEISPIEL

BESCHREIBUNG

TOP_PORTS:[number]

TOP_PORTS:3500

Steuere eine bestimmte Anzahl von häufig verwendeten Ports an.

[number],[number],[number],[number]

21,22,80,443

Gib in einer Reihe deine manuell festgelegten Ports an.

[number]-[number]

1-65535

Gib in einer Sequenz deine manuell festgelegten Ports an.

[number],[number]-[number]

21-22,80-433

Kombiniere Reihe und Sequenz.