Security1O1 avatar

[DE]Penetration Testing Theorie #4

security101

Published: 22 Oct 2018 › Updated: 22 Oct 2018[DE]Penetration Testing Theorie #4

[DE]Penetration Testing Theorie #4

In dieser kleinen Serie möchte ich eine kurze Einleitung zur theoretischen Vorgehensweise von Penetrationstests geben.
Aufgeteilt ist diese Serie in folgende Beiträge:


Nachdem wir im Rahmen unseres bisherigen Penetrationstests Schwachstellen gefunden haben, werden diese nun bezüglich ihres Risikos bewertet. Anhand dieser Risikobewertung können Entscheidungen zum weiteren Vorgehen getroffen werden. Wie Beispielsweise eine Priorisierung der zu schließenden Sicherheitslücken.

Das Risiko setzt sich hierbei aus der Eintrittswahrscheinlichkeit sowie dem potentiellen Schadensausmaß zusammen.
Dies könnte, wie in dieser beispielhaften Risikomatrix dargestellt, wie folgt aussehen:


risikomatrix.png
Quelle

Eine weitere Möglichkeit ist es die Schwachstellen mittels des CVSS zu bewerten, was ich im Folgenden kurz darstellen möchte.

CVSS

cvss_web.png
Quelle

CVSS (Common Vulnerability Scoring System), aktuell in Version 3 ermöglicht es, Sicherheitslücken in Computersystemen standardisiert zu bewerten. Hierfür existieren drei Gruppen von Metriken die aufeinander aufbauen. Die Gruppe "Base" beschreibt die intrinsischen Qualitäten einer Schwachstelle. Dies ist also eine Grundsätzliche und allgemein gültige Einschätzung. In der Gruppe "Temporal" fließt zusätzlich die Entwicklung der Schwachstelle im Laufe der Zeit ein. Abhängig von der Umgebung in der getestet wurde, können entsprechende Parameter in der Metrik "Environmental" angepasst werden. Die "Base" Gruppe bildet also die Basis, die anschließend noch ergänzt werden kann.

Folgende Attribute werden bei der Berechnung des Base Score berücksichtigt und entsprechend des englischen Ausdrucks abgekürzt.

  • Angriffsvektor (AV)
  • Die Komplexität des Angriffes (AC)
  • Benötigte Privilegien (PR)
  • Interaktion durch den Nutzer (UI)
  • Der Scope (S)
    Sowie die Verletzung der Schutzziele:
  • Vertraulichkeit (C)
  • Integrität (I)
  • Verfügbarkeit (A)

Jede Gruppe wird durch einen Score dargestellt.
Der Score kann einen Wert zwischen 0 und 10 annehmen womit sich folgende Abstufungen von Schwachstellen kategorisieren lassen [S. 16][1]

CVSS-ScoreRisikoklasse
10,0 - 9,0Kritisch
8,9 - 7,0Hoch
6,9 - 4,0Mittel
3,9 - 0,1Gering

Neben dem Score als Zahl lässt sich eine Schwachstelle durch einen Vector-String darstellen. Im komprimierter Form können so alle Informationen eingesehen werden.
Ein beispielhafter Vektor sieht folgendermaßen aus:

CVSS3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

Was die einzelnen Abkürzungen und Werte bedeuten kann über dieses Online-Tool eingesehen werden, mit dem man sich diesen Vector bzw. den Score auch erstellen kann.


Quellen


Vielen Dank fürs Lesen. Fragen beantworte ich wie immer gerne in den Kommentaren :)

Leave [DE]Penetration Testing Theorie #4 to:

Written by

IT Security / Kryptowährungen

Read more #deutsch posts


Best Posts From Security1O1

We have not curated any of security101's posts yet. But you can encourage our curation team to review posts by visiting them regularly and by referring other readers. Because we give priority to frequently read content.

More Posts From Security1O1