Menü

Unterschied in der Schwachstellenbewertung und Penetrationstests

  • Haupt
  • Andere
  • Unterschied in der Schwachstellenbewertung und Penetrationstests

vulnerability assessment

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Penetrationstests vs. Vulnerability Scanning:

Manchmal habe ich Tester und Geschäftsinhaber gesehen, die sich geirrt haben, die Grundidee hinter Penetrationstest und Schwachstellenscan zu verstehen.

Sie werden beide oft als die gleichen Dienste verwechselt. Wenn das Unternehmen nicht entscheiden kann, ob ein Penetrationstest oder ein Schwachstellentest durchgeführt werden soll. Sind Penetrationstests gleichbedeutend mit Schwachstellentests oder unterscheiden sie sich? Wenn sie unterschiedlich sind, sind sie dann verwandt? Welches zu wählen - Penetrationstest oder Vulnerabilitätstest ?

Wir werden versuchen, die Antworten auf alle oben genannten Fragen in diesem Tutorial herauszufinden.

Penetrationstest gegen Vulnerability Scan

Was du lernen wirst:

Einführung

Zunächst möchte ich, dass Sie fünf Sätze lesen:

  • Bananen wachsen auf einem Baum.
  • Ein normaler Mensch verbraucht nur 10% seines Gehirns.
  • Das Knacken der Knöchel führt im Alter zu Arthritis.
  • Fledermäuse sind blind.
  • Die Penetrationstests entsprechen denen des Schwachstellen-Scans.

Können Sie eine Gemeinsamkeit aller oben genannten Aussagen erraten? Sie alle sind Mythen. Ja, das ist richtig. Sie alle sind in der Tat Mythen.

In unserem Tutorial kümmern wir uns jedoch weder um die Bananen noch um die Fledermäuse. Wir kümmern uns nur darum, dass Penetrationstests mit dem Schwachstellenscan verglichen werden. Um mehr über den Vergleich zu erfahren oder um zu beweisen, dass die Aussage ein Mythos ist, werden wir zunächst Penetrationstests und Vulnerability Scan separat analysieren.

Penetrationstest Intro

Ein Penetrationstest wird auch kurz als „Pen-Test“ bezeichnet. Diese Art von Test wird an einem System durchgeführt, um einen Weg in das System zu finden. Dies kann die wichtigen Daten, die vom System gespeichert werden, der Außenwelt zugänglich machen.

Im Allgemeinen kann das Penetrationstestziel von sein White-Box-Typ oder Black-Box-Typ .

Black-Box-Penetrationstests:

In der Regel werden dem Tester außer dem Namen keine Details des Systems zur Verfügung gestellt. Dies ist sehr ähnlich zu echten Hacks, bei denen dem Hacker nichts anderes als der Name der Anwendung bekannt ist.

Black-Box-Tests replizieren die realen Bedingungen und sind nicht zeitaufwändig. Aufgrund unbekannter Bereiche im Zusammenhang mit Quellcode und Infrastruktur besteht jedoch immer die Möglichkeit, dass Teile des Systems übersehen werden.

White-Box-Penetrationstests:

In diesem Prozess werden dem Tester alle erforderlichen Daten für das System zur Verfügung gestellt, das einer Penetrationstestung unterzogen werden muss.

Die Daten können Netzwerkarchitektur, Systemkonfigurationen, Quellcodes usw. sein. Dies ist ein längerer Prozess als beim Testen von Black Box-Stiften. Dies ist ein gründlicher Prozess, der im Vergleich zum Black-Box-Typ eine tiefere Abdeckung aufweist.

Pen-Tests werden immer mit der Erlaubnis / Anfrage des Kunden durchgeführt. Das Durchführen von Pen-Tests auf einer Website ohne Zustimmung des Eigentümers ist illegal und kann als Hacking bezeichnet werden.

Inzwischen wissen wir, was Penetrationstests sind, und es ist Zeit zu wissen, warum sich Unternehmen dafür entscheiden. Es wird gesagt, besser sicher zu sein als sich zu entschuldigen. Pen-Tests machen eine Architektur stärker und widerstandsfähiger gegen Angriffe.

Vulnerability Scan Intro

Ein Schwachstellenscan wird verwendet, um die Schwachstellen / Schwachstellen in einem System herauszufinden. Diese Aufgabe wird ausgeführt, indem eine Anwendung (als Schwachstellenscanner bezeichnet) auf dem Zielcomputer ausgeführt wird. Diese Anwendungen oder Scanner können direkt auf dem Zielcomputer oder von einem Netzwerkstandort aus ausgeführt werden.

Der Netzwerkstandort wird für größere Unternehmen sichtbar, während es nicht möglich ist, den Scanner ständig auf den lokalen Computern auszuführen.

Jetzt, Woher wissen Sie, welcher Scanner für Ihre Anwendung geeignet ist? Die Antwort ist ziemlich einfach. Das heißt, die Schwachstellenscanner verwenden beim Scannen kaum die Systemdetails / -parameter.

Sie benötigen lediglich die IP des Systems. Mit der IP allein kann ein Schwachstellenscanner die potenziellen Stellen ermitteln, an denen ein Angriff auf das System ausgeführt werden kann.

Es gibt Situationen, in denen ein Unternehmen über ein Intranet verfügt und nicht alle Computer der Internetwelt ausgesetzt sind. In diesem Fall muss der Schwachstellenscanner im Intranet ausgeführt werden, mit dem sowohl interne Schwachstellen als auch externe Schwachstellen abgefangen werden können.

Sobald ein Test / Scan abgeschlossen ist, hilft der Scanner dabei, einen Bericht zu erhalten, in dem alle möglichen Schwachstellen angezeigt werden. Der generierte Bericht enthält verschiedene Daten zu den darin enthaltenen Sicherheitslücken.

Die Daten reichen von der Serverstatistik (basierend auf dem Schwachstellenindex), dem Status verschiedener Dienste, die auf verschiedenen Servern ausgeführt werden, bis zum Status der gefundenen Schwachstellen basierend auf ihrem Schweregrad.

Sobald ein Bericht erstellt wurde, muss er analysiert werden, um die tatsächliche Situation herauszufinden. Nicht immer sind die gefundenen Schwachstellen so schwerwiegend. Es kann Fälle geben, in denen der Scanner den Namen abruft, nur weil die erwarteten Daten nicht mit der Ausgabe übereinstimmen. Aber das ist vielleicht doch keine echte Sicherheitslücke.

Aus diesem Grund muss eine weitere Analyse eines Schwachstellen-Scan-Berichts durchgeführt werden, um herauszufinden, ob die gefundene Schwachstelle richtig ist oder nicht.

Penetrationstests gegen Schwachstellen-Scanning

Wir wissen jetzt, was ein Penetrationstestprozess ist und was das Scannen von Sicherheitslücken ist.

Jetzt würde es Spaß machen, mit einem Kopf-an-Kopf-Kampf zwischen den beiden Riesen fortzufahren.

Penetrationstests gegen Schwachstellen-Scanning

Beispiel:

Wir werden uns mit einem realen Beispiel befassen, um den Unterschied zwischen den beiden zu verstehen.

Nehmen wir als Beispiel Herrn X. Herr X ist ein Überfallspezialist. Wir werden seinen Plan für seinen nächsten Überfall einhalten. Er plant, eine Bank mitten in der Stadt auszurauben.

Das Bankgebäude ist von einer Polizeistation, einer Feuerwache, einem öffentlichen Park (der nachts geschlossen bleibt) und einem Teich umgeben. Das Bankgebäude ist ein 20-stöckiges Gebäude mit einem Hubschrauberlandeplatz darüber. Bevor er die Bank tatsächlich ausraubt, muss er die möglichen Einstiegspunkte in das Bankgebäude finden.

Die Seiten des Gebäudes mit einer Polizeistation und einer Feuerwache sind nicht zu durchbrechen. Sie arbeiten rund um die Uhr und wer würde es wagen, eine Bank mit Cop's Den als Einstiegspunkt auszurauben! Das lässt Herrn X mit 3 anderen Optionen. Ja, du hast es richtig gemacht. Er hat auch das Dach als Einstiegspunkt (Erinnerst du dich an Heath Ledger aus der Batman-Trilogie?).

Das Dach scheint hier eine seltsame Wahl zu sein, da das Gebäude nur 20 Stockwerke hat und die Wahrscheinlichkeit sehr hoch ist, von Menschen in Ihrer Umgebung erwischt zu werden. Und die Bank ist das einzige Hochhaus in der Region. Das macht den Dacheintritt zu einem großen NEIN! Mit den beiden verbleibenden Optionen beginnt Herr X mit der Analyse des Sees als Einstiegspunkt.

See kann eine gute Art des Eintritts sein, aber die Sicht wäre ein Problem. Wie würde jemand reagieren, wenn er jemanden um Mitternacht schwimmen sehen würde, auch das in Richtung Bankgebäude? Die letzte Option ist der öffentliche Park.

Lassen Sie uns den Park im Detail analysieren. Es ist nach sechs Uhr abends für die Öffentlichkeit geschlossen. Der Park hat viele Bäume, die den nötigen Schatten spenden und den Stealth-Modus unterstützen. Der Park hat eine Begrenzungsmauer, die mit dem Bankgelände geteilt wird.

Alle oben genannten Analysen können nun als Schwachstellen-Scan bezeichnet werden. Ein Scanner erledigt all diese Dinge. Um eine verletzliche Position herauszufinden, in die man einsteigen kann.

Gehen wir zurück zu unserer Geschichte und nehmen wir an, dass es Herrn X gelingt, die Bank über den Einstiegspunkt des öffentlichen Parks zu betreten. Was macht er als nächstes? Ob er in den Tresor einbricht, um das Geld zu bekommen, oder die Schließfächer, um die Wertsachen zu bekommen.

Dieser Teil ist der Penetrationstest. Sie erhalten den Zugriff und versuchen, das System auszunutzen. Sie lernen die Tiefe kennen, die Sie mit diesem Angriff gehen können.

Hinweis: Beim Schreiben dieses Tutorials wurden keine Banken ausgeraubt. Und es ist auch nicht ratsam, in die Fußstapfen von Herrn X zu treten.

Ich überlasse Ihnen die folgende Vergleichstabelle, damit Sie mehr Klarheit über den Unterschied zwischen den beiden erhalten.

Vergleich

Sind Schwachstellen-Scan- und Penetrationstests miteinander verbunden?

Ja, Vulnerability Scan und Penetrationstests hängen miteinander zusammen. Penetrationstests hängen vom Schwachstellenscan ab.

Um Penetrationstests zu starten, wird ein vollständiger Schwachstellenscan durchgeführt, damit der Tester alle im System vorhandenen Schwachstellen erkennt und diese dann ausnutzt.

Unterschied zwischen Black-Box-Tests und Whitebox-Tests

Mit dem Schwachstellenscan lernen wir die möglichen Schwachstellen kennen, aber diese Schwachstellen werden bis zu diesem Zeitpunkt nicht ausgenutzt. Es sind Penetrationstests, die bestätigen, inwieweit die Sicherheitsanfälligkeit ausgenutzt werden kann.

Sie schneiden sich auch an bestimmten Punkten, wie im folgenden Bild gezeigt:

Schwachstellenbewertung und Penetrationstests

Welches soll ich wählen - Pen Test oder Vulnerability Scan?

Nachdem wir den Unterschied zwischen beiden verstanden haben, stellt sich nun die Frage: Welchen soll man wählen?

Nun, das Ziel des Schwachstellen-Scans ist es, die Schwachstellen Ihres Systems herauszufinden und zu beheben. Das Ziel von Penetrationstests besteht darin, herauszufinden, ob jemand Ihr System beschädigen kann, und wenn ja, wie hoch die Angriffstiefe ist und wie viele aussagekräftige Daten er erhalten kann.

Zusammen können Schwachstellen-Scan und Pen-Test Ihnen sagen, was gefährdet ist und wie es behoben werden kann. Ziel ist es, die Gesamtsicherheit Ihres Systems zu verbessern. Sie müssen je nach Kritikalität Ihres Unternehmens zwischen beiden wählen. Wenn Sie einen Pen-Test durchführen, wird auch der Schwachstellenscan behandelt.

Der Pen-Test ist jedoch sehr kostspielig (etwa 4.000 bis 20.000 US-Dollar) und im Vergleich zum Schwachstellen-Scan auch zeitaufwändig. Der Grund dafür ist, dass es sehr genaue und gründliche Ergebnisse liefert und falsch positive Schwachstellen beseitigt.

In der Zwischenzeit ist der Schwachstellenscan sehr schnell und weitaus billiger (je nach Hersteller fast 100 US-Dollar pro IP und Jahr) als der Pen-Test. Als Unternehmen können Sie monatlich, vierteljährlich oder sogar wöchentlich einen Schwachstellenscan durchführen. Und entscheiden Sie sich für einen jährlichen Pen-Test.

Die beliebtesten Tools

Einige der am häufigsten verwendeten Tools für das Scannen von Sicherheitslücken sind:

  • Nessus
  • Niemand
  • HEILIGE
  • OpenVAS usw.

Zu den häufig verwendeten Tools für den Pen-Test gehören:

  • Qualys
  • Kernwirkung
  • Metasploit etc.

Pen-Tester schreiben auch ihren eigenen Exploit-Code gemäß den Anforderungen.

Fazit

In diesem Tutorial erkennen wir, dass sowohl Pen Test als auch Vulnerability Scan zwei völlig unterschiedliche Aktivitäten sind, die ausgeführt werden, um die Anwendung vor Angriffen sicherer zu machen. Bei Bedarf können sie auch zusammen verwendet werden.

Der Schwachstellentest identifiziert die möglichen Lücken und der Pen-Test nutzt diese Lücken, um das Ausmaß von Schäden / Diebstahl aufzudecken, die bei geschäftskritischen Informationen auftreten können. Sie dienen dazu, die Lücken zu schließen und mögliche Angriffe und Sicherheitsverletzungen des Informationssystems zu vermeiden.

Weiterführende Literatur

Literatur-Empfehlungen

^