Pen Test - die zweite

[kimura]

Hallo nochmal,

 

Derzeit befinde ich mich in meiner Ausbildung zum Fisi und befasse mich konkreter mit der Planung meines eventuellen Abschlussprojektes.

Im Dezember habe ich bereits einen Thread eröffnet 

wohl leider ohne eine wirkliche Erkenntnis bzw. ein Ergebnis. Nun geht es jedoch immer weiter auf die Projektarbeit zu und ich möchte gerne meine Idee von einem PenTest als Projekt realisieren.

Unsere Firma ist im Netzwerkbereich tätig, also von Aufbau bis Support in mittelständigen Unternehmen. Hier sehe ich meine Chance:

Ich würde gerne einen PenTest als Projekt einreichen mit der Problemstellung eines potenziellen Datenverlusts bei unbekannten Sicherheitslücken. So wie ich es verstehe muss mein Projekt eine Problemstellung und eine eventuelle Lösung zu diesem Problem besitzen. Gibt es noch andere Wichtige Rahmenbedingungen, welche ich beachten muss um meine Idee von einem Schwachstellentest realisieren und evaluieren zu können? 

Habt ihr eventuell Ideen zu ähnlichen Projekten, oder Ansätze mein Projekt so zu gestalten, dass es von meinem Chef angenommen und auch von der IHK als Projekt würdig erkannt wird? 

 

Vielen Dank schonmal!

[charmanta]

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust
Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden.
Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus.
Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung

Die Prüfungsordnung sagt in §22 dazu:
§ 20 Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration
(1) Im Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration besteht die Prüfung aus zwei Teilen.
(2) Im ersten Teil hat der Prüfling nachzuweisen, dass er in der Lage ist,
1.auftragsbezogene Anforderungen zu analysieren,
2.Lösungsalternativen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte vorzuschlagen,
3.Systemänderungen und -erweiterungen durchzuführen und zu übergeben,
4.IT-Systeme einzuführen und zu pflegen,
5.Schwachstellen von IT-Systemen zu analysieren und Schutzmaßnahmen vorzuschlagen und umzusetzen sowie
6.Projekte der Systemintegration anforderungsgerecht zu dokumentieren.

 

Also: wo ist der kaufmännische Ansatz bei Deiner Idee und was wirst Du auswählen ?

Grundsätzlich kannst Du einen PenTest durchführen, aber hier sehe ich das Problem mit einer kfm fundierten Auswahl. Es sein denn Du entscheidest Dich zb. für einen bestimmten Ablauf dessen Kosten und Nutzen Du in Relation zu anderen Testverfahren setzt.

Ich hebe mal vorsichtig die Hand: im Bereich sowie rechtlicher Grundlagen FÜR die Durchführung eines Pentests inkl Personalmitbestimmung solltest Du sicher sein

[Maniska]

 

 

vor 2 Stunden schrieb kimura:

Im Dezember habe ich bereits einen Thread eröffnet,wohl leider ohne eine wirkliche Erkenntnis bzw. ein Ergebnis.

Du meinst, nicht mit dem Ergebnis das du höre wolltest.

Im Dezember wurde dir von diesem Thema tendenziell abgeraten, warum sollte es jetzt deiner Meinung nach anders laufen?

vor 2 Stunden schrieb kimura:

Ich würde gerne einen PenTest als Projekt einreichen mit der Problemstellung eines potenziellen Datenverlusts bei unbekannten Sicherheitslücken. So wie ich es verstehe muss mein Projekt eine Problemstellung und eine eventuelle Lösung zu diesem Problem besitzen.

Du musst schon eine möglichst konkrete Problemstellung als Ausgangslage nehmen.

Die Auswahl eines professionellen Anbieters für Pentests wäre - ganz vielleicht - ein mögliches Abschlussprojekt, aber wenn, dann nicht für eine FiSi sondern für einen ITK.

Die Auswahl einer professionellen Lösung für Schwachstellenerkennung wäre ein anderer Ansatz, der ggf. FiSi-tauglich sein könnte.

vor 2 Stunden schrieb kimura:

Gibt es noch andere Wichtige Rahmenbedingungen, welche ich beachten muss um meine Idee von einem Schwachstellentest realisieren und evaluieren zu können?

Für den Einsatz bei euch oder beim Kunden?

Je nachdem können Punkte hinzukommen oder wegfallen. Fürs Erste würde ich mich mit der Idee mal an den DSB und den Betriebsrat wenden. Aber bitte den Helm nicht vergessen

Alles in allem: Such dir ein etwas weniger "spannendes" dafür aber solides Thema für die Prüfung. Mit dem hier kannst du dir an so vielen Stellen selbst ins Bein schießen, das macht keinen Sinn.

[Graustein]

OT:
Warum ist der Smiley für Datenschutz ein Opa mit Gehhilfe?!

[Maniska]

vor 6 Minuten schrieb Graustein:

OT:
Warum ist der Smiley für Datenschutz ein Opa mit Gehhilfe?!

Weil @charmanta unser Datenschutzopa ist

[Wissenshungriger]

vor 26 Minuten schrieb Maniska:

Weil @charmanta unser Datenschutzopa ist

Und ich dachte, das Smiley steht für den Betriebsrat 😂

[pentester]

Dein Ausbildungsbetrieb gehört einer IHK an und hat dort auch einen Ansprechpartner. Wenn dein Ausbilder mit dem groben Themenbereich einverstanden ist, würde ich einfach einmal den Ansprechpartner bei der IHK einladen um das Thema mit ihm zu besprechen. Man zahlt als Unternehmen genug IHK-Gebühren, da kann man auch eine entsprechende Gegenleistung erwarten. Erfahrungsgemäß geht manchmal auch etwas, wenn das Unternehmen - höflich - etwas Druck macht.

Zum eigentlichen Projekt-Thema, damit du dich nicht verrennst, was hast du denn für einen "Hacking-Background"? Sagen dir diese Tools etwas: nmap, Metasploit, Nessus, OWASP ZAP, Burp, greenbone... (und ja, ich habe mit Absicht auch Vulnerability Scanner aufgelistet). Welches OS nutzt du privat? Debian, Ubuntu, Gentoo, centos, suse...  - wie würdest du dich selbst einschätzen?