Penetrationstests PENT
Das Testen der Wirksamkeit von Sicherheitskontrollen durch Emulation der Tools und Techniken möglicher Angreifer.
Leitfaden
Penetrationtests können eine eigenständige Aktivität oder ein Aspekt der Abnahmeprüfung vor einer Betriebserlaubnis sein.
Zu den Aktivitäten gehören unter anderem:
- Das ethische Hacken anhand der gleichen Tools und Techniken, die Angreifer nutzen, um Sicherheitsschwachstellen sicher zu finden
- Das Aufzeigen, wie Angreifer Sicherheitsziele untergraben oder bestimmte feindliche Ziele erreichen können
- Das Beurteilen der Wirksamkeit der aktuellen/geplanten Verteidigungsmaßnahmen oder kompensierenden Kontrollen
- Das Gewährleisten der Sicherheit von Netzwerken, Systemen und Anwendungen
- Das Identifizieren von Einblicken in die Geschäftsrisiken unterschiedlicher Sicherheitsrisiken
- Das Testen von Netzwerken, Infrastrukturen sowie Web- und Mobilanwendungen auf Schwachstellen
- Das Überprüfen von Patchebenen und Konfigurationen
- Social Engineering
Ebenen der Verantwortung für diese Fähigkeit
3 | 4 | 5 | 6 |
Penetrationstests: Ebenen 1-2
Diese Fähigkeit wird auf diesen Ebenen der Verantwortung und Rechenschaftspflicht normalerweise nicht beobachtet oder praktiziert.
Penetrationstests: Ebene 3
Befolgt Standardansätze für Entwurf und Ausführung von Aktivitäten zu Penetrationtests. Erforscht und untersucht Angriffstechniken und empfiehlt Möglichkeiten, sich dagegen zu wehren. Analysiert und erstellt Berichte über Aktivitäten, Ergebnisse, Probleme und Risiken zu Penetrationtests.
Penetrationstests: Ebene 4
Wählt geeignete Testansätze anhand einer fundierten technischen Analyse der Risiken und typischen Sicherheitsschwachstellen. Erstellt Testskripte, Materialien und Testpakete und testet neue und bestehende Netzwerke, Systeme oder Anwendungen. Erteilt Ratschläge zu Penetrationtests, um andere zu unterstützen. Zeichnet Maßnahmen und Ergebnisse auf, analysiert diese und ändert Tests bei Bedarf. Erstellt Berichte zu Fortschritt, Anomalien, Risiken und Problemen im Zusammenhang mit dem gesamten Projekt.
Penetrationstests: Ebene 5
Plant und fördert Penetrationtests in einem festgelegten Bereich der Geschäftsaktivitäten. Bietet objektive Einblicke in Sicherheitsrisiken, die Wirksamkeit von Verteidigungsmaßnahmen und kompensierende Kontrollen. Übernimmt Verantwortung für die Integrität von Testaktivitäten und koordiniert ihre Ausführung. Erteilt zuverlässige Ratschläge und Anleitungen zu jedem Aspekt der Penetrationtests. Identifiziert Bedürfnisse und implementiert neue Ansätze für Penetrationtests. Trägt zu den Standards der Sicherheitstests bei.
Penetrationstests: Ebene 6
Bestimmt die Richtlinien für Penetrationtests und übernimmt die unterstützenden Prozesse. Verwaltet alle Aktivitäten zu Penetrationtests im Unternehmen. Bewertet und berät zur Eignung alternativer Testprozesse. Etabliert die Fähigkeit für kontinuierliche Verbesserungen und Erfindungen für Penetrationtests und leitet die Implementierung neuer Ansätze. Bewertet die Entwicklungs- und Testfähigkeiten von Anbietern. Verwaltet Kundenbeziehungen im Hinblick auf Penetrationtests.
Penetrationstests: Ebene 7
Diese Fähigkeit wird auf dieser Ebene der Verantwortung und Rechenschaftspflicht normalerweise nicht beobachtet oder praktiziert.