Infrastructure Pentesting

Extern erreichbare IT-Infrastruktur bietet Angreifern ein leichtes Ziel, welches mit geringem Aufwand und ohne Risiko angegriffen werden kann. Hacker können Schwachstellen in exponierten Servern, Diensten und Applikationen nutzen, um Daten zu extrahieren, Systeme zu übernehmen und darauffolgend Angriffe auf das interne Netzwerk durchzuführen. Ein Penetrationstest der extern erreichbaren IT-Infrastruktur deckt Schwachstellen in der am leichtesten zugänglichen Angriffsfläche jeder Organisation auf und ermöglicht einen effektiven Schutz externer Dienste und Ressourcen.

Der Penetrationstest einer externen IT-Infrastruktur umfasst je nach Umfang, Untersuchungstiefe und gewähltem Ansatz die folgenden Testkomponenten:

• Passive und aktive Informationsgewinnungsmaßnahmen
• Prüfung des Patch-Levels der extern erreichbaren Dienste und Applikationen
• Schwachstellen-Scans aller exponierten Systeme, Dienste und Applikationen
• Manuelle Verifikation der automatisiert identifizierten Schwachstellen
• Manueller Penetrationstest ausgewählter Systeme und Dienste
• Post-Exploitation-Szenario bei ausgewählten Systemen

Interne IT-Infrastruktur bildet das Rückgrat jeder Organisation und beherbergt oft die kritischsten Daten und Systeme. Obwohl sie von externen Bedrohungen durch Firewalls und Sicherheitssysteme geschützt sein mag, kann sie dennoch durch Insider-Bedrohungen, Social Engineering oder durch Ausnutzung von Schwachstellen in exponierten Systemen kompromittiert werden. Ein Penetrationstest der internen IT-Infrastruktur simuliert Angriffe, die innerhalb des Netzwerks oder durch einen Angreifer, der bereits Zugang zum Netzwerk erlangt hat, ausgeführt werden. Dies hilft, Schwachstellen zu identifizieren, die missbraucht werden könnten, um sensible Daten zu extrahieren, Systeme zu kompromittieren oder die Kontrolle über kritische Infrastrukturen zu erlangen.

Der Penetrationstest einer internen IT-Infrastruktur umfasst, abhängig von Umfang, Untersuchungstiefe und gewähltem Ansatz, die folgenden Testkomponenten:

• Penetrationstest der Netzwerkinfrastruktur u. A. durch Spoofing und Man-in-the-middle-Angriffe
• Prüfung der Segregation von Netzwerksegmenten und der Wirksamkeit von Zugriffskontrollmechanismen
• Schwachstellen-Scans aller internen Systeme, Dienste und Applikationen
• Prüfung des Patch-Levels der internen Systeme, Dienste und Applikationen
• Manuelle Verifikation der automatisiert identifizierten Schwachstellen
• Manueller Penetrationstest ausgewählter Systeme und Dienste
• Post-Exploitation-Szenario bei ausgewählten Systemen

Client- und Server-Systeme sind ein zentrales Element moderner, digitalisierter Unternehmen. Mitarbeiter nutzen Client-Systeme für die Arbeit im Büro, Home-Office oder im Außeneinsatz zur Erledigung ihrer Aufgaben. Interne Server-Systeme verarbeiten Daten, stellen Dienste und Applikationen bereit und ermöglichen die technische Abbildung der Unternehmensprozesse.

Penetrationstests von Mitarbeiter-Notebooks in unternehmensweit umgesetzter Standardkonfiguration gehören ebenso zu einer zielführenden Sicherheitsstrategie wie zyklische Penetrationstests besonders kritischer Server-Systeme.

CERTAINITY bietet Penetrationstests von “Standalone” Client- oder Server-Systemen in unterschiedlichen Szenarien an:

• Angreifer hat physischen Zugriff auf ein ausgeschaltetes System
• Angreifer befindet sich im selben Netzwerk wie ein eingeschaltetes System
• Angreifer hat Zugriff auf ein eingeschaltetes System mit einem Standardbenutzer ohne administrative Berechtigungen

Ein Active Directory (AD) und eine zugehörige Windows-Domain-Infrastruktur ermöglichen die digitale Verwaltung von Ressourcen. Aufgrund der Natur des ADs und seiner Komplexität und umfangreichen Funktionalität ist eine sichere Konfiguration nicht trivial. Hackern gelingt es immer wieder durch die Ausnutzung von AD-Schwachstellen ganze Organisationen zu übernehmen und großen Schaden anzurichten. Ein regelmäßiger Penetrationstest der AD-Infrastruktur trägt unmittelbar und elementar zur Sicherheit jeder Organisation bei.

Der Penetrationstest einer internen AD-Infrastruktur umfasst, abhängig von Umfang, Untersuchungstiefe und gewähltem Ansatz, die folgenden Testkomponenten:

• Automatosierte Schwachstellenscan der AD-Konfiguration
• Manuelle Verifikation automatisiert identifizierter Schwachstellen
• Manueller Penetrationstest ausgewählter Systeme, Dienste und Applikationen innerhalb der Domain-Infrastruktur
• Rechteausweitung vom Standardbenutzer bis zum Domain/Enterprise-Administrator
• Prüfung des Administrations- und Berechtigungskonzepts

Cloud-Infrastruktur wird immer relevanter, da viele Unternehmen ihre Dienste in die Cloud auslagern. Durch den fehlenden physischen Zugang zu Systemen, müssen oft zusätzliche Applikationen über das Internet erreichbar sein und Cloud-Anbieter müssen öffentliche APIs zur Verfügung stellen, was die Angriffsfläche vergrößert.

Auch wenn renommierte Cloud-Anbieter viel in Sicherheit investieren, sind je nach Servicemodell (Infrastructure-as-a-Service (Iaas), Platform-as-a-Service (PaaS) oder Software-as-a-Service (SaaS)), diverse Aspekte einer Cloud-Infrastruktur immer noch in den Händen der Kunden. Ein unzureichendes Verständnis dieser geteilten Sicherheitsverantwortung führt oft zu Schwachstellen, welche Angreifer ausnutzen können, um die Infrastruktur zu kompromittieren. Zusätzlich zu dieser Komplexität, sind Cloud-Systeme auch gegen klassische Infrastrukturschwachstellen Schwachstellen nicht gefeit.

Wir bieten je nach Scope und Servicemodell die folgenden Testkomponenten für Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) an:

• Cloud-Konfigurationsüberprüfung nach Industriestandards (e.g. CIS Benchmark) und eigenen Best-Practices.
• Penetrationstest der Cloud-Infrastruktur (Daten- und Kontrollebene)
• Evaluierung des Rollen- und Berechtigungskonzept (AWS IAM, Entra ID und Cloud IAM)

“Container” sind moderne Infrastrukturkomponenten, die es ermöglichen, Anwendungen samt ihren Abhängigkeiten in einer isolierten Umgebung zu verpacken und auszuführen. Sie sind ein fundamentaler Baustein moderner und skalierbarer Software, in welchem teilweise hunderte Container in einem sogenannten Cluster betrieben werden und miteinander interagieren (Micro-Architecture).

Neben allen Vorteilen, welche eine solche Architektur mit sich bringt, bietet die zusätzliche Komplexität der Container-Verwaltung (Orchestration) Raum für Fehlkonfigurationen und Schwachstellen.

Die folgenden Komponenten sind, je nach Scope und Testumfang, Teil einer Sicherheitsüberprüfung für Container und Container-Orchestrationslösungen wie Kubernetes und OpenShift:

• Analyse der Container-Images zur Identifizierung von potentiellen Container-Ausbrüchen
• Evaluierung der Cluster-Kontrollebene nach Best-Practices
• Penetrationstest der Cluster-Isolation von einem kompromittieren Container aus.

Cluster sind oft Teil einer Cloud-Infrastruktur oder Basis einer Applikation und interagieren mit weiteren Systemen außerhalb des Clusters. CERAINITY empfiehlt die Integration einer Container- / Cluster-Überprüfung mit anderen passenden Sicherheitsüberprüfungen.

“Continous Integration” (CI) and Continous Delivery" (CD) sind zwei Kernkomponenten moderner und agiler Softwareentwicklung, welche die Entwicklung, das Testen und die Bereitstellung von Anwendungen automatisieren. CI/CD unterstützt auch darin Softwareupdates und Sicherheitspatches möglichst schnell auszurollen. Allerdings brauchen CI/CD-Pipelines für die Automatisierung hohe Berechtigungen und können direkt wichtige Kernkomponenten und Produktivumgebungen beeinflussen. Das macht sie zu einem attraktiven Ziel für Angreifer, welche fehlende Isolierung und Sicherheitsmechanismen ausnutzen können, um ganze Applikationen und Umgebungen zu übernehmen.

Je nach den verwendeten Integrations- und Delivery-Tools sowie den verbundenen Systemen, beinhaltet eine CI/CD Überprüfung:

• Die Evaluation des Rechte- und Freigabekonzepts
• Eine Bewertung der Runner-Isolation
• Eine Analyse der Separierung von Development-, Staging- und Produktionsumgebungen.

Für den Fall, dass eine CI/CD-Pipeline auch Cloud-Ressourcen durch “Infrastructure-as-Code” (IaC) verwaltet, kann die Sicherheitsüberprüfung mit einem Cloud-Assessment verbunden werden.