Automatische Scanner
Der Einsatz von automatisierten Security-Scannern, die in Form einer Toolbox alle bekannten Schwachstellen "kennen" und einem Test unterziehen, ist hierfür unabdingbar. Startpunkt für das Aufkommen von Security-Scannern war das Jahr 1994 mit der Freigabe und Verbreitung von "Satan" (Security Administration Tool for Analyzing Networks). Damit stand erstmals ein System zur zentral veranlassten umfassenden Prüfung vernetzter Systeme zur Verfügung. Gute Report-Möglichkeiten verbunden mit Hinweisen zur Behebung der gefundenen Schwachstellen helfen dem Administrator bei der Überprüfung seines Sicherheitsstandes. Kommerzielle Systeme wie zum Beispiel der Internet-Scanner von Internet Security Systems (ISS) kamen bald danach auf den Markt.
Bessere Datenbanken Derzeit findet ein Übergang zu einer neuen Generation von Scannern statt. Diese zeichnen sich neben verbesserten Reports und Informationsdatenbanken vor allem durch die Kombination von Sicherheitstests aus. Idee dabei ist, das Verhalten von Eindringlingen nachzuahmen, deren Vorgehen zumeist durch das kombinierte Ausnutzen mehrerer Schwachstellen gekennzeichnet ist. Die ebenfalls neue Fähigkeit, durch "Auto-Reaktion" gefundene Probleme automatisch beseitigen zu lassen, ist jedoch mit Vorsicht zu genießen und nur in eindeutig geklärten Fällen (zum Beispiel File-Protections) einzusetzen.
Penetrationstests haben im Gegensatz zu Scan-Tests nicht das primäre Ziel, einen möglichst umfassenden Überblick zu Schwachstellen zu liefern, sondern sie sollen aufzeigen, wie weit ein Angreifer in vermeintlich geschützte Systembereiche eindringen kann. Im Gegensatz zum Scan-Test ist dabei das Vorgehen mehrstufig, das heißt, es werden zwar ebenfalls Schwachstellen ermittelt, diese dann aber direkt ausgenutzt, um Systemzugang zu erhalten. Ist dieser Zugang nur mit wenigen Privilegien ausgestattet, versucht der Angreifer, weitere Privilegien zu erlangen.
Simulation eines Angreifers Ein Black-Box-Test kombiniert Scan- und Penetrationstest, um die Angreifbarkeit eines Unternehmens zu demonstrieren. Dabei stehen nur minimale Informationen zur Verfügung. Im Gegensatz zu einem White-Box-Test, bei dem die Ziele genau bekannt sind, muss der Black-Box-Test allein mit der Benennung des zu untersuchenden Unternehmens auskommen. Dies simuliert genau den Fall des anonymen Angreifers, der nicht mehr Basisinformationen besitzt. Das weitere Vorgehen lässt sich dann in insgesamt vier Phasen gliedern.
Eine "typische" Penetration läuft häufig wie folgt ab: