Whitebox-, Greybox- oder Blackbox-Pentests? Offen gesagt, sind meiner Meinung nach Blackbox-Pentests der falsche Ansatz. W\u00e4hrend bei einem Whitebox- oder Greybox-Pentest dem Penetration Tester\u00a0alle notwendigen oder zumindest alle hilfreichen Informationen zum Ziel vorliegen, liegen bei einem Blackbox-Pentest dem Penetration Tester\u00a0gar keine Informationen vor. Er hat sozusagen die gleiche Sicht, wie es ein b\u00f6swilliger externer Angreifer h\u00e4tte. Die Aussagekraft eines Blackbox-Pentests ist somit klar: Wie viel Informationen kann ein Angreifer \u00fcber ein Ziel sammeln, wie weit kann er vorgehen, wie weit kann er in ein Unternehmen oder in ein IT-System eindringen?<\/p>\n
Sorry, aber das ist aus Kundensicht Geldverschwendung.<\/p>\n
Erstens stimmt das mit der Aussagekraft nur bedingt: W\u00e4hrend ein b\u00f6swilliger Angreifer \u00fcberhaupt keine Probleme h\u00e4tte, eine spezifische Zielperson per Xing\/LinkedIn ausfindig zu machen und ihr z.B. gezielten Schadcode am Virenscanner vorbei unterschiebt oder es ganz einfach mit Social Engineering versucht, wird diese Herangehensweise in den meisten F\u00e4llen – und aus guten Gr\u00fcnden – bei einem professionellen Pentest ausgeschlossen (der Betriebsfrieden l\u00e4sst gr\u00fc\u00dfen).<\/p>\n
Zweitens kann es sein, dass ein Penetration Tester\u00a0bei einem Blackbox-Pentest gar nicht in der Lage ist, alle notwendigen Pr\u00fcfungen zu machen – entweder scheitert er an einer Loginmaske und kann gar\u00a0keine Schwachstellen in der Anwendung dahinter sehen\u00a0– oder trotz gutem Information Gathering werden gar nicht alle \u00f6ffentlich erreichbaren Systeme identifiziert.<\/p>\n
Drittens verbringt der Penetration Tester am Ende auch Zeit damit Sachen herauszufinden, die man ihm h\u00e4tte auch einfach mitteilen k\u00f6nnen. Der Aufwand von Blackbox-Pentests ist sehr schwer zu kalkulieren und sind im Zweifel immer mehr Aufwand.<\/p>\n
Insgesamt ist das Verh\u00e4ltnis zwischen Aussagekraft und Aufwand\/Kosten nicht optimal. Ich rate stets davon ab.<\/p>\n","protected":false},"excerpt":{"rendered":"
Whitebox-, Greybox- oder Blackbox-Pentests? Offen gesagt, sind meiner Meinung nach Blackbox-Pentests der falsche Ansatz. W\u00e4hrend bei einem Whitebox- oder Greybox-Pentest dem Penetration Tester\u00a0alle notwendigen oder zumindest alle hilfreichen Informationen zum Ziel vorliegen, liegen bei einem Blackbox-Pentest dem Penetration Tester\u00a0gar keine Informationen vor. Er hat sozusagen die gleiche Sicht, wie es ein b\u00f6swilliger externer Angreifer h\u00e4tte. … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[184,185,186],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-1909","6":"format-standard","7":"category-pentest","8":"post_tag-blackbox","9":"post_tag-greybox","10":"post_tag-whitebox"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=1909"}],"version-history":[{"count":10,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1909\/revisions"}],"predecessor-version":[{"id":2185,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1909\/revisions\/2185"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=1909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=1909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=1909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}