Security Audits: Licht ins Dunkel

Security Audits: Licht ins Dunkel

Artikel erschienen in IT Magazine 2008/16

Security Audit ist nicht Security Audit

Bevor man einen technischen Security Audit bestellt, sollte man sich genau über den Fokus der Sicherheitsüberprüfung im klaren sein. Steht die Suche nach Software-basierten (Betriebssystem und Applikationen) Sicherheitslücken oder die Suche nach Design-basierten (Architektur) Schwachstellen im Mittelpunkt?


So dienen Vulnerability Scans, Security Scans und Penetration Tests primär der Aufdeckung von Software-basierten Sicherheitslücken. Dabei wird während der zur Verfügung stehenden Testzeit systematisch nach möglichst allen Sicherheitslücken im Untersuchungsobjekt gesucht. Das Ethical Hacking dient hauptsächlich der Aufdeckung Design-basierter Mängel – was dazu führt, dass nicht zwangsläufig nach allen Software-basierten Sicherheitslücken gesucht wird. Der Application Security Audit kann abhängig vom Aktivitätsumfang beide Fokusse abdecken.


Black or White?

Vor der Testdurchführung muss vom Auftraggeber auch definiert werden, inwieweit die Mitarbeiter des Auftraggebers über bevorstehende Tests und die Tester über das Untersuchungsobjekt informiert werden. In der Praxis wählt der Auftraggeber meist den «Gray Box»-Ansatz, bei welchem die Tester die wesentlichen Informationen über das Untersuchungsobjekt wie Netzwerkdesign, IP-Adressen, Betriebssysteme, Applikationen und aktive Sicherheitsmechanismen (z.B. Paket-Filter, Intrusion Detection und/oder Prevention-Systeme etc.) erhalten – Informationen, welche die Tester während der Tests eh erlangen würden. Aber es wird keine wertvolle Projektzeit für die Informationsbeschaffung vergeudet


Möglich wären aber auch folgende Ansätze: Der «Double Blind»-Ansatz, wo weder die Mitarbeiter des Auftraggebers noch die Tester informiert werden, oder das Gegenteil, der «Tandem»- oder «White Box»-Ansatz, wobei beide Parteien über alles informiert sind. Dazwischen angesiedelt ist auch noch eine vierte Lösung, der «Black Box»-Ansatz, bei dem die Tester keinerlei Informationen über das Untersuchungsobjekt erhalten, aber die Mitarbeiter des Auftraggebers informiert sind.


Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER