Penetrationstests - Einschränkungen
Aufgrund der rasanten Entwicklung auf dem Gebiet der Information und Technologie ist die Erfolgsgeschichte der Penetrationstests vergleichsweise kurzlebig. Da mehr Schutz für die Systeme erforderlich ist, müssen Sie häufiger als erforderlich Penetrationstests durchführen, um die Möglichkeit eines erfolgreichen Angriffs auf das vom Unternehmen geschätzte Niveau zu verringern.
Im Folgenden sind die wichtigsten Einschränkungen von Penetrationstests aufgeführt:
Limitation of Time- Wie wir alle wissen, sind Penetrationstests zu keiner Zeit an Übungen gebunden. Dennoch haben Experten für Penetrationstests für jeden Test eine feste Zeitspanne vorgesehen. Auf der anderen Seite haben Angreifer keine zeitlichen Einschränkungen, sie planen dies in einer Woche, einem Monat oder sogar Jahren.
Limitation of Scope - Viele Organisationen testen aufgrund ihrer eigenen Einschränkungen nicht alles, einschließlich Ressourcenbeschränkungen, Sicherheitsbeschränkungen, Budgetbeschränkungen usw. Ebenso hat ein Tester einen begrenzten Umfang und muss viele Teile der Systeme verlassen, die möglicherweise viel mehr sind verwundbar und kann eine perfekte Nische für den Angreifer sein.
Limitation on Access- Tester haben häufiger eingeschränkten Zugriff auf die Zielumgebung. Zum Beispiel, wenn ein Unternehmen den Penetrationstest gegen seine DMZ-Systeme aus allen Internetnetzen durchgeführt hat, aber was ist, wenn die Angreifer über das normale Internet-Gateway angreifen.
Limitation of Methods- Es besteht die Möglichkeit, dass das Zielsystem während eines Penetrationstests abstürzt. Daher werden einige der speziellen Angriffsmethoden für einen professionellen Penetrationstester wahrscheinlich vom Tisch genommen. Zum Beispiel eine Denial-of-Service-Flut zu erzeugen, um einen System- oder Netzwerkadministrator von einer anderen Angriffsmethode abzulenken, was normalerweise eine ideale Taktik für einen wirklich bösen Kerl ist, aber für die meisten professionellen Penetrationstester wahrscheinlich außerhalb der Einsatzregeln liegt .
Limitation of Skill-sets of a Penetration Tester- In der Regel sind professionelle Penetrationstester begrenzt, da sie unabhängig von ihrem Fachwissen und ihrer Erfahrung nur über begrenzte Fähigkeiten verfügen. Die meisten von ihnen konzentrieren sich auf eine bestimmte Technologie und haben seltene Kenntnisse in anderen Bereichen.
Limitation of Known Exploits- Viele der Tester kennen nur die Exploits, die öffentlich sind. Tatsächlich ist ihre Vorstellungskraft nicht so entwickelt wie die von Angreifern. Angreifer denken normalerweise weit über das Denken eines Testers hinaus und entdecken den Fehler, den sie angreifen müssen.
Limitation to Experiment- Die meisten Tester sind zeitgebunden und befolgen die Anweisungen, die ihnen bereits von ihrer Organisation oder ihren Senioren gegeben wurden. Sie probieren nichts Neues aus. Sie denken nicht über die gegebenen Anweisungen hinaus. Auf der anderen Seite können Angreifer frei denken, experimentieren und neue Wege zum Angriff finden.
Darüber hinaus können Penetrationstests weder die routinemäßigen IT-Sicherheitstests ersetzen noch eine allgemeine Sicherheitsrichtlinie ersetzen, sondern Penetrationstests ergänzen die etablierten Überprüfungsverfahren und entdecken neue Bedrohungen.