Ist "Penetration Testing" nicht sowieso dasselbe wie "Vulnerability Scan"?
Penetrationstests und Schwachstellenuntersuchungen sind verschiedene Anwendungen.Vulnerability Scan umfasst schnelle Überprüfungen mit automatisierten Fahrzeugen. Es werden keine Arbeiten an der Ausnutzung oder verschiedenen Punkteffekten der nach dem Schwachstellenscreening erkannten Öffnungen durchgeführt.
Der Penetrationstest umfasst neben dem Schwachstellen-Screening die Verifizierung der Scan-Ergebnisse, die Ausnutzung der gefundenen Schwachstellen und die Erkennung verschiedener Schwachstellen mit neuen Analysen auf den Systemen sowie die Untersuchung der Schwachstellen, die sich aus der Geschäftslogik ergeben.
Welche Assets sollte eine Organisation nach ISO/IEC 27001 getestet haben?
Das Institut ist verpflichtet, einen Penetrationstest für alle seine im "Asset Inventory" ausgewiesenen Vermögenswerte durchführen zu lassen. Institutionell; Serversysteme, Netzwerkkomponenten, Webanwendungen, mobile Anwendungen sind Beispiele für diese Ressourcen.
Das Kriterium, das an dieser Stelle zu berücksichtigen ist, ist, ob die vorhandenen Vermögenswerte in die Verantwortung des Instituts fallen. Wenn beispielsweise Anwendungen, die die Organisation entwickelt und an einen Kunden übertragen hat, nicht mehr in der Verantwortung der Institution liegen, sind für sie keine Penetrationstests erforderlich.
Wenn alle Assets für Penetrationstests berücksichtigt werden, gibt es dann sehr hohe Kosten? Wie kann das gelindert werden?
An diesem Punkt kann die "Schwachstellen-Screening" -Methode zur Rettung kommen. Wenn die Institution ein Schwachstellen-Screening anstelle von Penetrationstests für Vermögenswerte mit niedriger Kritikalität durchführt, hat sie eine grundlegende Maßnahme zu geringeren Kosten ergriffen.
Darüber hinaus werden in Systemen, die mit einem Benutzerkonto angemeldet sind, die Testkosten durch das Entfernen der Post-"Login"-Phasen aus dem Testumfang reduziert. Obwohl es sinnvoll ist, die Post-Login-Phasen zu testen, kann auf diese Weise eine Kostenkalkulation vorgenommen werden, um den anonymen Teil der Anwendung in der ersten Phase zu testen.
Eine weitere Praxis, die die Kosten für Penetrationstests senkt, ist die maximale Zusammenarbeit mit dem Testteam im Testprozess. In diesem Prozess wird der direkte Zugriff auf die zu testenden Systeme verhindern, dass das Testteam während der Exploration und des Zugriffs auf die Systeme Zeit verliert, was die Kosten senkt.
Was bedeutet Penetrationsprüfung nach ISO/IEC 27001?
ISO/IEC 27001 bietet oder empfiehlt keine Penetrationstestmethodik. In diesem Zusammenhang wird die Verwendung des Begriffs "ISO 27001-konformer Penetrationstest" allgemein als richtig angesehen.
Um das Thema zu verstehen, können die folgenden Vorschriften, Methoden oder Richtlinien als Beispiele für verschiedene Verwendungen angegeben werden, mit denen dieser Satz kompatibel ist?
- PCI DSS-konforme Penetrationstests
- ISSAF-konforme Penetrationstests
- OWASP-konforme Penetrationstests
[Quelle: Veröffentlicht von BTUYUM am 9. Oktober 2021]