Was sind die verschiedenen Arten von Penetrationstests?
Es gibt im Wesentlichen zwei Haupttypen von Penetrationstestmethoden - Inhouse- und Industriestandards - obwohl diese eine nahezu unbegrenzte Anzahl von Variationen beinhalten. Eine firmeninterne Methodik wird von einem Unternehmen entwickelt, in der Regel von dem, der den Test durchführt, und von seinen Mitarbeitern angewendet. Industriestandard-Methoden sind dagegen diejenigen, die von großen Sicherheitsorganisationen entwickelt wurden, um von anderen Unternehmen verwendet zu werden, um eine Standardmethode zu entwickeln, die allgemein anerkannt und genehmigt ist. Beide Arten von Penetrationstests können effektiv sein, und der beste für einen bestimmten Penetrationstest hängt in der Regel stark von der Person ab, die den Test durchführt.
Eine Penetrationstestmethode ist eine Reihe von Regeln oder Richtlinien, die zum Durchführen von Penetrationstests in einem Computersystem oder Netzwerk verwendet werden. Diese Art von Tests wird normalerweise durchgeführt, um festzustellen, welche möglichen Schwachstellen in einem System vorhanden sein können, die von Hackern verwendet werden können, um einen Angriff auf dieses System zu starten. Sobald diese erste Analyse abgeschlossen ist, startet der Tester in der Regel einen simulierten Angriff auf das System, um festzustellen, wie anfällig diese Schwachstellen sind. Eine Penetrationstestmethode wird häufig verwendet, um zu bestimmen, wie diese Abfolge von Bewertungen und Tests durchgeführt werden soll, und um den Testern Richtlinien für die Dokumentation des Verfahrens bereitzustellen.
Eine der häufigsten Arten von Penetrationstests ist die interne Methodik. Hierbei handelt es sich um ein Dokument, das von einem Unternehmen erstellt wurde, um von seinen Mitarbeitern verwendet zu werden, die Penetrationstests an einem System durchführen. Eine hausinterne Penetrationstestmethode kann von einem Unternehmen erstellt werden, das jemanden beauftragt hat, Tests an seinem System durchzuführen, oder von einem Unternehmen, das seine Dienste für andere Unternehmen zum Testen anstellt. Diese Art von Methodik wird von einigen Testern bevorzugt, da dadurch sichergestellt wird, dass etwaige Beschwerden des Kunden über das Testen unter Verwendung der vom Kunden für den Tester bereitgestellten Methodik angefochten werden können.
Eine branchenübliche Penetrationstestmethode ist dagegen ein Dokument, das von einem Computersicherheitsunternehmen zur Verwendung durch andere Tester erstellt wurde. Diese Methode ist normalerweise für Tester gedacht, die nicht von dem Unternehmen eingesetzt werden, das sie erstellt hat. Einer der Vorteile dieser Art von Methodik besteht darin, dass Tester einfacher auf eine einzelne, einheitliche Methode verweisen können, mit der sie ihre Kompetenz erlernen und unter Beweis stellen können. Die Schwächen einer branchenüblichen Penetrationstestmethode bestehen jedoch darin, dass Unternehmen möglicherweise nicht alle darin festgelegten Methoden mögen und es schwierig sein kann, zu bestimmen, welche Methode tatsächlich als Branchenstandard fungiert.