Notifications
Clear all

Wie behandle ich die Ergebnisse des Penetrationstests?


(@penetrationstests-moderator)
Moderatoren Moderator
Joined: 3 Monaten ago
Posts: 16
Topic starter  

Der Bericht beinhaltet in der Regel eine Reihe von Schwachstellen bzw. potentiellen Angriffsvektoren die gemäß ihres technischen(!) Risikos gewichtet sind. Neben formalen Bewertungsschemata wie CVSS ( https://www.first.org/cvss/v4.0/specification-document) oder OWASP Risk Ratings ( https://owasp.org/www-community/OWASP_Risk_Rating_Methodology) ist eine vier bis fünfstufige Bewertung (Kritisch/Hoch, Mittel, Niedrig, Informativ) üblich. Da den Tester in den meisten Fällen der notwendige Einblick in interne Prozesse und Finanzdaten des Auftraggebers fehlt, kann das wirtschaftliche Risiko in der Regel nur durch die Auftraggeber selbst bzw. in Zusammenarbeit mit dem Dienstleister erfolgen. Schwachstellen und empfohlenen Gegenmaßnahmen nur anhand der Bewertung des Berichtes umzusetzen, führt unter Umständen zu einer falschen Priorisierung.

Wurden im Verlauf der Tests Schwachstellen in den von Dritten entwickelten Produkten und Lösungen identifiziert, sollte ein "Responsible/Coordinated Disclosure Process" angestoßen werden. Die Schwachstelle wird vom Auftraggeber (oder durch die Tester) an den Hersteller/Lieferanten gemeldet und Fristen für eine erste Reaktion (z.b. 5 Arbeitstage) und die Bereitstellung einer korrigierten Version oder entsprechender Gegenmaßnahmen (z.B. 90 Tage) gesetzt. Mit Bereitstellung der gesicherten Version oder nach Ablauf der Fristen werden die Informationen zu Schwachstellen veröffentlicht, um anderen Nutzern der gleichen Produkte und Lösungen die Chance zu geben, auf das Problem zu reagieren, bevor ein Schaden entsteht.

This topic was modified 3 Monaten ago 2 times by Jan-Tilo Kirchhoff
This topic was modified 3 Monaten ago by alFaraji-admin
This topic was modified 1 Woche ago 4 times by ifis-admin

   
Quote

Leave a reply

Author Name

Author Email

Title *

 
Preview 0 Revisions Saved
Share:
Marktplatz IT-Sicherheit Skip to content