Eine zentrale Komponente im Pentesting beschreibt der letzte Schritt des Pentest Standards. Dabei handelt es sich um die Berichterstattung, die sämtliche Funde dokumentiert und bewertet. Dabei gilt es, den Kontext des Gesamtkonzepts im Auge zu behalten. Zusätzlich erhalten Sie Vorschläge für mögliche Gegenmaßnahmen, mit denen sich die Schwachstellen beseitigen lassen.

Diese Phase ist, wie der Name schon sagt, die Berichterstattungsphase und gleichzeitig die wertvollste Phase für Sie. Hier dokumentieren wir alle Ihre Befunde und klassifiziert diese in verschiedenen Risikokategorien.

Hierzu kann die Informationssicherheitsrisiko-Bewertungsskala verwendet werden: Der Bericht ist in zwei Hauptabschnitte gegliedert:

• Die Zusammenfassung und
• der technische Bericht.

Die beabsichtigte Zielgruppe für das erste wären die Verantwortlichen für die Aufsicht und die strategische Vision des Sicherheitsprogramms. Die beabsichtigte Zielgruppe des letzteren wären die Verantwortlichen des eigentlichen Netzwerks.

• Resultate analysieren
• Empfehlungen für Mitigation-Strategien entwickeln
• Reports erstellen (und damit richtig umgehen)
• Post-Report Delivery Aktivitäten

Sensible Daten dürfen nicht in falsche Hände geraten, wie zB. :

• Adressen
• Netzwerk-Maps
• Security-Details
• Vulnerabilities

Dabei hilft es, wenn alles dokumentiert wird, was man während der Tests gemacht hat:

• Zugang zu gesicherten Umgebungen
• Kompromittierte Webseiten
• Social Engineering Attacken
• Kompromittiertes Netzwerk
• Pivoting - tieferes Eindringen ins Netzwerk
• Gestohlene Dateien
• Aufdeckung interner Seiten
• Umgehung von Detection

Assets wurden schon zuvor kategorisiert, um die Herangehensweise an das Exploiten zu bestimmen. Nun sollten die Resultate kategorisiert werden

• Daten so kategorisieren wie es Sinn für Sie und den Client macht
• Daten nach Typen von Assets, zu denen sie gehören, kategorisieren. Beispiel: Geglückte SQL-Injection ist ein Software-Issue
• Denken Sie an Subkategorien, z.B. Web-App Issues als Subkategorie von Software-Issues
• Kategorisieren Sie außerdem anhand des Severity Levels von Vulnerabilities und Schwachstellen
• Priorisieren
  • Items, die viele Menschen, Systeme und Daten betreffen als High-Priority
  • Items, die wenige Menschen, Systeme, Daten betreffen als Low-Priority

• Implementieren Sie technische Kontrollen.
• Lassen Sie das Management den Sicherheits-Ton angeben und mit gutem Beispiel vorangehen.
• Trainieren Sie Personen in angemessenen Sicherheitsmaßnahmen.
• Konstante Wiederholung und Erinnerungen.
• Verhängen Sie Strafen für Nichteinhaltung.
• Belohnen Sie Gruppen, die keine „Incidents“ haben.
• Vermeiden Sie Selbstzufriedenheit.
• Geben Sie Personen dabei ein Gefühl der Eigenverantwortung.

• Implementieren Sie technische Kontrollen.
• Lassen Sie Manager eine aktive Rolle übernehmen.
• Überprüfen Sie Prozesse.
• Setzen Sie KPls ein. (Key Performance Indicator)
• Aktualisieren Sie Prozesse bei Bedarf.

Das Implementieren von Mitigation-Lösungen auf technologischem Weg ist häufig mit direkten Kosten verbunden, für die die Organisation ein Budget benötigt.

• Das Management versucht, den maximalen Nutzen aus den Investitionen herauszuholen.
• Sie könnten zögern, mehr Geld für Technologielösungen auszugeben.

Zu den Mitigation-Strategien und -Techniken gehören:

• Lassen Sie die IT monatliche Vulnerability-Scans durchführen.
• Lassen Sie jährliche Sicherheitsaudits und Pentests durchführen.
• Verwenden Sie KPls, die das Management verwenden kann, um auf einen Blick die sicherheitsrelevante Effektivität neuer Technologien zu sehen.
• Folgen Sie der 80/20-Regel zur Risikominderung.
  • 80 % der Vulnerabilities können mit 20 % der Kosten und des Aufwands behoben werden.
• Implementieren Sie mehrere Sicherheitsebenen, die jeweils mindestens 80 % der Abdeckung abzielen.

Zu den zu berücksichtigenden Technologielösungen gehören:

• Wirken Sie Downgrade-Angriffen entgegen, indem Server nur die neueste Version von TLS verwenden und kein Legacy-SSL zulassen.
• Um SSL-Strip entgegenzuwirken, konfigurieren Sie Server für die Verwendung von HSTS
• Um ARP-Poisoning entgegenzuwirken, schreiben Sie statische ARP-Tabellen oder implementieren Sie ein IDS. (Intrusion Detection System)

• Finden Sie eine Balance zwischen Technologie, Prozessen und Menschen.
• Berücksichtigen Sie die Abwägung „Benutzerfreundlichkeit vs Sicherheitsbedürfnisse“.
  • Wenn die Sicherheitsprozedur zu kompliziert ist, finden Benutzer Wege, sie zu umgehen.
• Passwort-Cracking ist oft auf Probleme mit Menschen, Prozesse und Technologieprobleme zurückzuführen.
  • Die Kennwortrichtlinie ist nur schriftlich, nicht technologisch implementiert.
  • Zu einfache Passwörter lassen sich leicht knacken.
  • Zu komplizierte Passwörter werden oft niedergeschrieben.

• Studie Durchführungskonzept für Penetrationstests des BSI
• Pentest Beispielbericht