Wie erhöht Allow Listing die Effektivität Deiner Penetrationstest? Timo Sablowski, Senior Security Consultant bei carmasec, erläutert in seinem Blogbeitrag, warum es sinnvoll sein kann, gezielt Ausnahmen für Sicherheits-Systeme wie IPS und WAFs mittels Allow Listings zu definieren. Er zeigt, wie diese Methode es Pentestern ermöglicht, effizient und störungsfrei arbeiten zu können.

Den englischen Originalbeitrag findest Du auf Timos Blog.

 

Wann ist der Einsatz von Allow Lists bei Pentests sinnvoll?

Blogbeitrag von Timo Sablowski, Cyber Security Consultant, Hacker, Digital Defender

Wenn ein Penetrationstest ansteht, taucht schnell die Frage auf: Soll die IP-Adresse der Pentester auf eine „Allow List“ gesetzt werden, um Systeme wie Intrusion Prevention Systeme (IPS) oder Web Application Firewalls (WAFs) zu umgehen? Meine Erfahrung zeigt: Das kann die Testergebnisse nicht nur präziser, sondern auch wertvoller machen.

In meinem Blogbeitrag zeige ich Dir, wann es von Vorteil ist, Pentester die üblichen Sicherheitsbarrieren überspringen zu lassen.

Eine Einordnung: Welche Aufgabe haben IPS und WAFs und warum können sie einen Pentest verzögern?

IPS-Systeme und WAFs sollen Angriffe erkennen und blockieren – etwa durch die Erkennung von Port-Scans, SQL-Injections oder massenhaften automatisierten Anfragen. Wenn diese Systeme eine als „verdächtig“ eingestufte Aktivität aufspüren, reagieren sie oft mit einer Drosselung des Datenverkehrs oder der Sperrung der Quell-IP-Adresse, manchmal für eine gewisse Zeit – manchmal sogar komplett. Im Alltag ist dies ein erwünschtes Verhalten. Im Falle eines Pentests können diese Sicherheitsmaßnahmen jedoch das eigentliche Testziel stark beeinträchtigen.

Zeit ist der entscheidende Faktor

IPS und WAFs sind darauf ausgelegt, Angreifer abzuwehren und Dir Zeit zu verschaffen, bei einem Angriff angemessen zu reagieren. Doch bei einem Penetrationstest können diese Schutzmaßnahmen den Ablauf erheblich stören. Ein Security Assessment ist auf ein festes Zeitfenster begrenzt. Erkennen die Security-Systeme Pentester fälschlicherweise als Angreifer, könnten beispielsweise ihre IP-Adressen blockiert werden. Das führt zu Verzögerungen im Testablauf, wodurch Schwachstellen übersehen werden und die Effizienz des Tests sinkt.

Am Ende zahlst Du als Kunde für ein Assessment, das nicht sein volles Potenzial entfalten konnte.

Bei realen Angriffen hingegen haben die Hacker alle Zeit der Welt. Sie können ihre Aktionen verlangsamen und ein paar Anfragen über Tage oder Wochen hinweg senden, um unentdeckt zu bleiben.

Eine Allow List ermöglicht es den Pentestern, ohne Unterbrechung zu arbeiten und Schwachstellen direkt und effizient zu analysieren. So bleibt der Fokus auf der eigentlichen Aufgabe: Deine Systeme auf Herz und Nieren zu prüfen.

Der Testfokus liegt auf Deinen Systemen, nicht auf der Sicherheitsperipherie

In den meisten Fällen hat ein Pentest zum Ziel, die Sicherheit Deiner Applikationen oder Infrastruktur zu überprüfen – nicht die vorgelagerten IPS- oder WAFs-Systeme. Diese Schutzmaßnahmen erschweren es Angreifern, in Dein System einzudringen.

Pentester, die direkten Zugriff haben, können Deine tatsächlichen Assets auf Schwachstellen testen – und nicht nur die Security-Systeme davor.

Natürlich kann das Testen von IPS oder WAFs selbst sinnvoll sein, aber das ist ein gesondertes Ziel, das separat beauftragt und im Scope entsprechend festgehalten werden sollte.

Sind Allow Lists auch für interne Pentests sinnvoll?

Allow Lists sind nicht nur für externe Pentests nützlich. Auch bei internen Tests kann es sinnvoll sein, einzelne Ordner oder Systeme für Antivirenprogramme (AV) und für die Endpoint Detection and Response Systeme (EDR) gezielt auszuschließen. Das hängt vom Testziel ab: Wenn Du beispielsweise Deine SIEM-Erkennungsmechanismen oder die Reaktion auf Sicherheitsvorfälle evaluieren möchtest, kannst Du mit Allow Lists wertvolle Zeit sparen, da sich Deine Pentester auf die wesentlichen Aufgaben konzentrieren können.

Fazit: Solltest Du Allow Lists bei Pentests verwenden?

Ob Allow Lists sinnvoll sind, hängt letztlich von den spezifischen Zielen Deines Pentests ab. Wenn Du direkt Deine Kernsysteme und Anwendungen testen möchtest, ohne dabei durch Sicherheitsmechanismen ausgebremst zu werden, lohnt sich der Einsatz. Deine Pentester können somit effizient und ungestört arbeiten und die Situation von Angreifern simulieren, die oft über unbegrenzte Zeit verfügen. Du erhältst so ein realistisches Bild Deiner Schwachstellen und kannst gezielt Maßnahmen ergreifen.

Du hast Fragen zu unseren Pentest-Angeboten? Hier findest Du eine Übersicht über unser Portfolio.