Automatisierter Pentest: Tool & Kosten

Automatisierter Pentest: Tool & Kosten

12.09.2017 – 11:11 Uhr

Was ist automatisiertes Pentesting?

Pentesting ist mehr als nur eine theoretische Prüfung von Sicherheitslücken. Beim Pentest wird ein Hackerangriff so real simuliert, wie es ohne reale Konsequenzen möglich ist. So können Unternehmen mit Hilfe eines automatisierten Tools erfahren, wie ihre Angreifbarkeit bei einem Cyberangriff einzuschätzen ist und Sicherheitslücken schließen.
Mit der Automatisierung des Penetration Testing macht patronus.io State of the Art Web Security für den Mittelstand zugänglich – für einen Bruchteil der Kosten von konventionellem Pentesting. Zudem kann der automatisierte Pentest online durchgeführt werden, die SaaS-Lösung kann das Pentesting online von einem externen Standort durchführen.

Wie auch bei "händischem" Pentest widmet sich der automatisierte Pentest den Fragen, ob sich Cyberkriminelle über die Website Zugang in das Unternehmenssystem verschaffen können.

Was sind die Vorteile und Kosten von automatisiertem Pentesting?

Welche Angriffe werden von der patronus.io Web Security Suite getestet?

XSS: Cross-Site Scripting
SQLi: SQL-Injection
OSCI: Os-Command-Injection
LFI: Local File Inclusion

Wie wird ein Cyberangriff automatisiert simuliert?

XSS: Simulation von XSS-Attacken

Methode: Injektion eines Skriptes, das eine Alert-Box auf der angegriffenen Website öffnet.
Proof-of-Concept: Bei einem erfolgreichen Angriff öffnet sich eine Box mit einem Alert. Das Erscheinen des Pop-Ups dient als Beweis der Angreifbarkeit.

SQLi: Simulation von SQL Injections

Methode: Durch eine festgelegte Anzahl an Aufrufen der Website wird die Requestzeit ermittelt, die Durchschnittsladezeit der Website.
Eine sogenannte „Payload“ wird injiziert, zum Beispiel ein String Code in einen vorab identifizierten Parameter Query wie ein Suchformular.
Proof-of-Concept: Bei erfolgreichem Angriff verzögert die Payload das Laden der Website um eine zuvor festgelegte Anzahl an Sekunden.

LFI: Simulation von Local File Inclusion

Methode: In diesem Blackbox-Ansatz wird nach Skripten gesucht, die File-Namen als Parameter verwenden. Wenn diese nicht ordnungsgemäß gesichert werden, können willkürliche Dateien auf dem Server eingezogen werden.
Proof-of-Concept: Ein bestimmter String Code wird gesucht, bei Auffinden besteht ein Beweis, dass ein Angriff möglich ist.

OSCI: Simulation von OS Command Injection

Methode: Durch einen HTTP Request an die Web-Anwendung wird versucht, ein OS Kommando zu injizieren. Das Kommando kann zum Beispiel ein Sleep-Befehl sein wie bei einer SQL Injection, so dass es zu Ladeverzögerungen kommt. Es wird aber auch ein Cat-Befehl auf eine bestimmte Datei (in der Regel Logfiles) ausgeführt. Wenn die Ausgabe der Datei positiv ist, also im Text der Dateiname lokalisiert wird, ist ein Angriff möglich.
Proof-of-Concept: Eine Zeitverzögerung und das Auffinden eines bestimmten Strings dienen als Beweis, dass ein Angriff möglich ist.

Vorteile von Pentesting

Die beste Möglichkeit, Cybersecurity proaktiv anzugehen, ist Pentesting. So können Sicherheitslücken geschlossen werden, bevor sie von Hackern für Cyberangriffe ausgenutzt werden können.

• Es entlarvt nicht nur Sicherheitslücken, sondern simuliert reale Angriffe um zu demonstrieren, wie es im Fall einer Attacke um Daten, Unternehmenssysteme, Finanzielle Assets und Mitarbeiter des Unternehmens stehen würde.
• Es testet das Können des Unternehmenssystems, Vorfälle zu erkennen wenn sie passieren.
• Obwohl „manuelles“ Pentesting von erfahrenen IT-Consultants Hackerangriffe sehr exakt darstellen kann, ist dieser Prozess für KMUs in der Regel zu kostenintensiv. Durch die Automatisierung können Konzerne fünfstellige Beträge im Jahr sparen, für mittelständische Unternehmen macht sie Pentesting überhaupt erst zugänglich.
• Cyberkriminelle richten sich selten gegen Sicherheitstools selbst. Stattdessen suchen sie nach Lücken zwischen bestehenden Sicherheitssystemen, die nicht gut zusammenarbeiten. Ein Pentest bringt diese Sicherheitslücken zum Vorschein.
• Automatisierte Pentests sind nicht voreingenommen. Automatisierte Tests können daher Lücken zum Vorschein bringen, die bislang übersehen wurden.
• Stellt Compliance mit der Datenschutzgrundverordnung 2018 sicher. Kundendaten müssen in ausreichendem Maße geschützt werden, bei Verstoß gegen die DSGVO 2018 drohen Bußgelder von bis zu 20 Millionen Euro.

Jetzt mehr über die Features und Vorteile der Web Security Suite erfahren

Haben Sie Fragen?

Wir sind für Sie da!

+49 (30) 555 748 596

Kontakt