Penetration Testing Sinnvoller Sicherheitstest für jedes Unternehmen? - Frank Ully, CTO Oneconsult Deutschland GmbH Senior Penetration Tester & ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Penetration Testing
Sinnvoller Sicherheitstest für jedes Unternehmen?
Frank Ully, CTO Oneconsult Deutschland GmbH
Senior Penetration Tester & Security Consultant
24. November 2020
ONECONSULT AG / DEUTSCHLAND GMBH
Die Cyber-Security-Experten
Oneconsult Unternehmensgruppe: Oneconsult International AG
(Holding), Oneconsult AG, Oneconsult Deutschland GmbH
Inhabergeführt seit 2003
400+ internationale Kunden
2’000+ Security-Projekte
200+ Penetration-Test-Projekte / Jahr
2 © 2020 Oneconsult AG
28.08.
ONECONSULT
Zahlen und Fakten
40+ Security Enthusiasten, BRANCHEN
keine Freelancer
5%
Energie
7%
Zertifizierte Security-Experten Chemie & Gesundheit
8% 26%
Verwaltung Finanzbranche
OCINT-CSIRT (As a Service)
11%
Andere
Grosses Red Team
(Ethical Hacker / Penetration Tester)
19% 24%
ICT, Fertigung &
Medien & Druck Detailhandel
Security Research-Abteilung
Mitglied von FIRST, ISECOM, ISSS,
OWASP, Swiss Cyber Experts
3 © 2020 Oneconsult AG
28.08.
TECHNISCHE AUDITS
Security Scan Web / Mobile / API
Es kann eine Aussage über das Application Penetration Test
Sicherheitsniveau der internen Systeme
gemacht werden sowie deren Web-/Mobilanwendungen inkl. API und die
Widerstandfähigkeit gegenüber Angriffen. implementierte Software einschließlich Patch-
Weisen die Systeme Sicherheitslücken auf? Stand, Konfiguration und Logik werden einem
Verwenden die Systeme veraltete und Test unterzogen, um bereits bekannte und
verwundbare Software? Gibt es offensichtliche insbesondere bislang nicht erkannte
Konfigurationsfehler? Sind die aus dem Sicherheitslücken zu identifizieren.
Internet erreichbaren Systeme gegen Dabei werden gezielte Angriffe aus Sicht eines
Standard-Angriffe verwundbar? Angreifers durchgeführt.
Penetration Test Netzwerk-Architektur- &
Gründliche, technische, unprivilegierte, Design-Review
Sicherheitsüberprüfung mit hohem
Sind grundlegende Schutzmechanismen
manuellen Test- und Verifikationsanteil.
implementiert? Gibt es Schutzlücken oder
unbeabsichtigte Zugänge?
4 © 2020 Oneconsult AG
28.08.
TECHNISCHE AUDITS
Audit Firewall Ruleset Windows-10-Client-Audit
Analyse der aktiven und inaktiven Firewall- Ist es möglich, die eigenen Rechte zu erweitern?
Regeln inkl. Intrusion Detection System Können Hacking-Tools oder Malware installiert
(IDS/IPS) mit dem Ziel: Schwachstellen und verwendet werden? Sind alle
aufzudecken und Verbesserungspotential zu sicherheitsrelevanten Updates installiert?
erkennen. Sind die Gruppenrichtlinien (GPOs) optimal
Sind die Firewalls gemäß „Good Practices“ konfiguriert? Kann auf Netzwerkressourcen
konfiguriert und betrieben? Sind keine zugegriffen werden, die nicht erreichbar sein
unnötigen Zugänge geöffnet? sollten?
Advanced Mail Test WLAN-Audit
Es kann eine Aussage getroffen werden, wie Überprüfen aller Komponenten der WLAN-
realistisch und erfolgreich ein Angriff über Infrastruktur. Sind alle festgelegten
E-Mail (Phishing / Spear-Phishing) ist und Sicherheitsmaßnahmen umgesetzt und korrekt
welche Maßnahmen zur Verbesserung der konfiguriert? Neben den Access Points zählen
Situation getroffen werden können. hierzu die Komponenten des Distribution-
Effizienz-Test der E-Mail-Filter. Systems, die Elemente der Sicherheits-
infrastruktur und die Elemente des WLAN-
Management-Systems.
5 © 2020 Oneconsult AG
28.08.
TECHNISCHE TESTMETHODE
1
4
READINESS POST
2 EXPLOITATION
KICK OFF
MEETING
5 LATERAL MOVEMENT
3
PRESENTATION
8
& DISCUSSION
ENTRY POINT ANALYSIS &
EXPLOITATION
DATA EXFILTRATION
6
0101010
0101010
ANSATZ
7 REPORTING
> Test type:
White box, black box, grey box
> Attack vector:
External, internal, combined (APT)
(Application) Penetration Test: Ethical Hacking & APT Test: Custom Test:
> Techniques:
Hacking, code review, reverse
1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7
engineering, exploiting
6 © 2020 Oneconsult AG
28.08.
BERICHT – INHALTSVERZEICHNIS
7 © 2020 Oneconsult AG
28.08.BERICHT – ÜBERSICHT RISIKEN
8 © 2020 Oneconsult AG
28.08.BERICHT – BEWERTUNG DER RISIKEN
9 © 2020 Oneconsult AG
28.08.BERICHT – BENCHMARK
10 © 2020 Oneconsult AG
28.08.BERICHT – RISIKEN UND MAßNAHMEN
11 © 2020 Oneconsult AG
28.08.TOOLBOX (AUSWAHL)
→ Ports und Dienste → Generelle Hilfstools
○ Nmap ○ Wireshark / Tcpdump
○ masscan ○ Telnet / Netcat
○ Dig / Whois
→ Security Scanner ○ DirBuster / dirsearch
○ Nessus ○ Burp Suite Pro
○ Nikto ○ TestSSL.sh
○ etc. ○ Metasploit
○ SQLmap
○ Viele Eigenentwicklungen
○ etc.
12 © 2020 Oneconsult AG
28.08.TOOLBOX – INTERCEPTION PROXY (BURP SUITE PRO)
13 © 2020 Oneconsult AG
28.08.ÜBERSICHT ÜBER DIE RISIKEN DER OWASP TOP 10
Unzureichendes Logging Injection
Komponenten mit Fehler in
12345
Schwachstellen Authentifizierung
Unsichere Verlust der
Deserialisierung Vertraulichkeit
sensibler Daten
Cross-Site Scripting XML External Entities
Fehlkonfiguration Fehler in Zugriffskontrolle
14 © 2020 Oneconsult AG
28.08.AUTOMATISCHE TESTBARKEIT
Schwachstelle Werkzeug manuell automatisch
A1: Injection Proxy, SQLmap etc.
A2: Fehler in der Authentifizierung Proxy
A3: Verlust der Vertraulichkeit
sensibler Daten
Proxy, testssl ()
A4: XML External Entities (XXE) Proxy
A5: Fehler in der Zugriffskontrolle Proxy ()
Nessus,
A6: Sicherheitsrelevante Fehlkonfiguration
nikto etc. ()
A7: Cross-Site Scripting (XSS) Proxy ()
A8: Unsichere Deserialisierung Proxy
A9: Nutzung von Komponenten mit Nessus,
bekannten Schwachstellen Dependency Checker
A10: Unzureichendes Logging & Monitoring Checkliste
15 © 2020 Oneconsult AGDANKE FÜR IHRE AUFMERKSAMKEIT
Frank Ully
CTO Oneconsult Deutschland GmbH
Senior Penetration Tester &
KONTAKT
Security Consultant
frank.ully@oneconsult.com
Schweiz
Oneconsult AG Oneconsult AG
Schützenstrasse 1 Bärenplatz 7
8800 Thalwil 3011 Bern
Tel +41 43 377 22 22 Tel +41 31 327 15 15
info@oneconsult.com info@oneconsult.com
Deutschland
Oneconsult Deutschland GmbH
Agnes-Pockels-Bogen 1
80992 München
Tel +49 89 248820 600
info@oneconsult.de
16 © 2020 Oneconsult AG
28.08.Sie können auch lesen
