Syslifters Handbook

Deutsch

English

Deutsch

English

Appearance

Unser Pentesting-Ansatz

Die Effizienz von Pentests, die von kompetenten Pentestern durchgeführt werden, hängt im Wesentlichen von zwei Parametern ab:

1. Zeit

  • Je mehr Zeit Pentester haben, desto mehr Schwachstellen können sie finden.
  • Mit zunehmender Dauer sinkt die Anzahl gefundener Schwachstellen pro Zeiteinheit.
  • Daumenregel: Wenn es ein Pentester in einem gewissen Zeitrahmen nicht schafft, eine Applikation zu kompromittieren, schaffen es Angreifer bei gezielten Angriffen unter ähnlichen Umständen auch nicht.

2. Wissen

  • Je mehr Hintergrundwissen Pentester haben, desto effizienter sind sie.
  • Wissen umfasst beispielsweise technische Dokumentationen, Source Code und Benutzerzugänge (oftmals auch administrative).
  • Ein Wissensvorsprung der Pentestern schafft einen Zeitvorteil echten Angreifern gegenüber.

Aus diesem Grund versuchen wir einen sinnvollen Zeitrahmen für den Scope zu definieren (nicht zu kurz und nicht zu lang), sowie im Austausch mit unseren Auftraggebern ausreichend viel Wissen zu erlangen. Dies umfasst insbesondere Benutzerzugänge, Dokumentationen und die Auswirkungen auf Geschäftsprozesse.
Um die bestmögliche Leistung mit so geringen Kosten wie möglich liefern zu können, empfehlen wir und streben nach Pentests, die zwischen Grey- und White-Box liegen.

In manchen Fällen weichen wir von diesem Bestreben ab. So sind reine Cloud-Tests (etwa Entra ID, Azure Apps, etc.) oftmals als White-Box-Test effizienter, während bei Tests von externen Perimetern mit einer Vielzahl an Zielsystemen und heterogenen Benutzerzugängen ein Black-Box-Test zu bevorzugen sein könnte.

Source-Code-Analysen sind ebenfalls White-Box-Tests, haben jedoch meist den Nachteil mangelnder Effizienz. Wir empfehlen Sourcecode-Analysen vornehmlich für kleine, jedoch geschäftskritische oder risikoträchtige Code-Teile, wie etwa (Aus-)Zahlungs-Logiken, Freigabeprozesse, Schnittstellen zu physischen Geräten, und ähnliche. Hierbei unterstützen wir im Webumfeld gängige Programmiersprachen, darunter Java, C#/.NET, PHP, Python, JavaScript/TypeScript sowie moderne Frameworks wie ASP.NET, Django, Node.js, oder Vue.JS. Zusätzlich beherrschen wir auch C und C++.

Die Entwicklungen der KI machte umfassende Quellcode-Analysen nicht nur umsetzbar, sondern steigerte unsere Effizienz erheblich. Wir empfehlen, den Quellcode von Applikationen für die automatisierte Analyse mit unserem Quellcode-Analyse-Framework zur Verfügung zu stellen. Wir können selbstgehostete Modelle auf unserer eigenen Infrastruktur (in der Regel kleinere) oder in der EU bzw. den USA gehostete Cloud-Modelle verwenden. Cloud-gehostete Modelle nutzen wir für Closed-Source-Anwendungen nur mit der expliziten Genehmigung unserer Kunden.