7 Best Tools for Performance Testing
Automatisierung Bewährte Methoden Verwaltung
5 min lesen
November 10, 2022

5 Tipps für die Erstellung eines effektiven Penetrationstest-Workflows

Wenn Sie sich an den Film „Hackers“ mit Angelina Jolie in der Hauptrolle erinnern, dann haben Sie wahrscheinlich gedacht, wie cool es sei, ein Hacker zu sein. Nach ein paar Klicks auf der Tastatur waren sie im System. Wenn man sich diesen Film jedoch heute noch einmal ansieht, würden viele QS-Ingenieure zusammenzucken.

photo
Olga Ryan

Allen Entwicklern und Testern ist klar, dass ein Angriff, sei es ein kleiner Angriff oder ein Versuch, Daten zu kompromittieren, viel Planung erfordert. Dies veranlasst die Entwickler dazu, große Anstrengungen zu unternehmen, um zu verhindern, dass jemand wie „Angelina“ ihr Produkt in weniger als drei Minuten hackt.

In vielerlei Hinsicht liegt es in der Verantwortung der Ingenieure zu prüfen, ob Ihr Produkt gegen Angriffe gewappnet ist. Je besser ihre Strategie für Penetrationstests ist, desto größer sind ihre Chancen, alle möglichen Schwachstellen im System zu finden.

Immer wieder in ein Kaninchenloch fallen

Wikipedia gilt als die beliebteste Quelle, um in ein Kaninchenloch zu fallen. Es wäre ein Verbrechen, dieses Prinzip nicht zu nutzen, um Fehler bei Ihren Penetrationstests zu vermeiden – „… nach dem Prinzip der Schräglage kann der gewundene Weg schließlich produktiver sein als ein direkter Ansatz.“

Die Schwachstellen sind wahrscheinlich miteinander verbunden und bilden einen Angriffspunkt.

Sie müssen mindestens eine Sicherheitslücke finden und jedes Gerät, jeden Browser, jede Datenbank usw. untersuchen. Dadurch werden mögliche Lücken, Schwachstellen und Präventionsmethoden für jedes entdeckte Problem ermittelt.

Behandeln Sie Pen-Tests nicht mehr wie einen Zahnarzttermin

Ein Penetrationstest ist nicht wie ein Termin beim Zahnarzt. Ja, jährliche Kontrolluntersuchungen werden empfohlen, aber wenn man dann endlich kommt, hat man schon ein großes Loch im Zahn. Deshalb ist es besser, sich regelmäßig untersuchen zu lassen, auch wenn es unnötig erscheint.

Untersuchungen von HelpSystems zeigen, dass die meisten Befragten nur ein- oder zweimal im Jahr Pen-Tests durchführen (16 % zweimal im Jahr, 17 % vierteljährlich); das ist nicht gut. Leider kann das Fehlen regelmäßiger Tests Hackern mehr Zeit geben, verschiedene Angriffsmethoden zu planen.

Bewertung von Geschäftszielen und Risiken

Wenn Sie immer noch glauben, dass ein Unternehmen aus einer Gruppe von Leuten besteht, die in einem Konferenzraum sitzen und über Geld reden, ohne dass es eine Qualitätssicherung gibt, dann liegen Sie falsch. Geschäfte sind immer mit Risiken verbunden, und das gilt auch für die Maßnahmen, die zur Minderung dieser Risiken ergriffen werden; das macht vorbildliche Geschäftsleute aus.

Werfen Sie also einen Blick auf die Sicherheitsziele Ihres Unternehmens, um einen besseren Pentest-Workflow festzulegen: Worauf basieren sie, welche Werte sind kritisch und welche können später behandelt werden? Sobald Sie alle Risiken bewertet haben, können Sie geeignete Abhilfemaßnahmen ergreifen, um Malware-Angriffe zu entschärfen und einen optimalen Arbeitsablauf für Penetrationstests einzurichten.

Hören Sie auf, sich auf Ihr Glück zu verlassen

Viele QS-Neulinge verlassen sich beim Testen auf zufällige Entdeckungen. Sie neigen dazu, an dieser Ideologie festzuhalten, was den Schutz ihres Systems angeht. Sie hoffen, dass die Entwickler keine Lücke für einen Hackerangriff gelassen haben; das ist töricht, denn Hacker denken nicht auf diese Weise.

Um sicherzustellen, dass sie das richtige Ziel haben, müssen sie jedes verfügbare Gerät, jede Anwendung oder Datenbank identifizieren und untersuchen.

Die besten QS-Ingenieure gehen in der Regel einen ähnlichen Weg — sie denken wie ein Krimineller, um ihn in seinem eigenen Spiel zu schlagen. Nehmen Sie sich also eine Minute Zeit und überlegen Sie, was Sie tun würden, wenn Sie eine Sicherheitslücke verursachen oder bestimmte Daten gefährden wollten. Bitte erstellen und dokumentieren Sie Testfälle für jeden dieser Schritte.

Wählen Sie Ihren Kämpfer mit Bedacht

Nehmen wir an, Sie haben bereits alles getan, was wir oben beschrieben haben…, wollen aber noch weitergehen. Die Verwendung des richtigen agilen Testwerkzeugs ist eine hervorragende Möglichkeit, Penetrationstests zu verbessern.

Da es gängige Praxis ist, nach einem Penetrationstest Änderungen an der Produktinfrastruktur vorzunehmen, wäre es großartig, den Unterschied zwischen vorher und nachher zu sehen. Beispielsweise verfügt aqua über eine Funktion für sehr detaillierte Berichte, die prozentual darstellen kann, wie viel von jedem Teil des Systems noch ungetestet oder ungeschützt ist. Zusammenfassend lässt sich sagen, dass Sie eine umfassende Testmanagementlösung suchen sollten.

 

aqua item comparison

 

Schlussfolgerung

Penetrationstests sind nach wie vor ein Grundpfeiler für hochwertige Produkte. Man darf ihre Wirkung nicht unterschätzen, auch wenn die Chance groß ist, sie zu vermasseln, ganz gleich, wie fantastisch Ihre Penetrationstest-Plattform oder Ihre Testfälle sind. Nur ein komplexer und durchdringender Ansatz mit einem starken Plan kann zufriedenstellende Ergebnisse für Ihre Pen-Tests erzielen. In Kombination mit den Tipps, die wir Ihnen in diesem Artikel gegeben haben, können Sie diesen Ansatz jedoch erheblich verbessern.

On this page:
See more
Beschleunigen Sie Ihre Releases x2 mit aqua ALM
Gratis starten
closed icon