Penetration Test

Einen Penetration Test empfehlen wir für Systeme mit kritischen und sensiblen Daten. Diese müssen besonders geschützt werden, automatisierte Security Tests, die bekannte Sicherheitslücken identifizieren, reichen hier nicht aus.

Mit unserer Kombination aus überwiegend manuellen und angepassten automatisierten Tests, identifizieren wir auch unbekannte Konfiguration und Programmierfehler.

Vorgehen beim Penetration Test

Planung:

Jeder Penetration Test ist individuell. Für unterschiedliche Szenarien gibt es Vorgehen, die von uns empfohlen werden können. Von White- über Grey- bis Blackbox-Test, Server-Infrastruktur und Applikationen können wir Ihnen Experten auf allen Gebieten zur Verfügung stellen.

Wir gehen mit Ihnen folgenden Punkte durch:

  • Was ist das Testobjekt
  • Wer ist informiert
  • Welche Testdurchführung ist geplant, z.B. Black Box- oder White Box-Test
  • Zeitpunkt der Tests abstimmen
  • Tiefe der Tests; werden die Schwachstellen nur identifiziert oder in einem Proof-of-Concept auch ausgenutzt
  • Wer bekommt welche Testergebnisse

Basis von Penetration Tests:

Als Grundlage bauen die Tests auf anerkannten Security Standards auf. Zudem können wir diese Tests auf Basis Ihrer speziellen Anforderungen, die sich aus Ihrem Betrieb ergeben, durchführen.

Die bekanntesten Standards sind in diesem Bereich:

  • PCI DSS (Payment Card Industry Data Security Standard)
  • BSI Leitfaden IT-Sicherheits-Penetrationstest
  • HIPAA (Health Insurance Portability and Accountability Act)
  • BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) Vorschriften zur IT-Security
  • OWASP (Open Web Application Security Project) Testing Guide
  • PTES (Penetration Testing Execution Standard)
  • OSSTMM (Open Source Security Testing Methodology Manual)

Testszenarien

Webapplikationen:

Hierbei prüfen wir ihre Webapplikation auf mögliche Schwachstelle, wie sie z.B. in den OWASP Top Ten (jeweils in der aktuellen Form) beschrieben sind.

  • Unbefugte Zugriffe auf nicht authorisierte Bereiche
  • Übernahme des Webservers als Sprungbrett für weitere Angriffe
  • Übernahme Ihrer Webapplikation mit dem Ziel, gezielt Falschinformationen zu publizieren
  • Unbefugtes Abgreifen von Daten
  • Manipulation von Daten

Infrastruktur:

  • Überprüfung ihrer Netzwerkschnittstellen von innen und außen
  • Prüfung Ihrer Serverbetriebssysteme auf mögliche Schwachstellen und Angriffspunkte
  • Testen dieser Einstiegspunkte und Installation möglicher Backdoors
  • Angriffe auf Ihre Firewall
  • Finden und Identifizieren von möglichen Einstiegspunkten in Ihr Netzwerk über das Internet
  • Vordringen in gesperrte Bereiche in Ihrem internen Netzwerk

WLAN:

Bei WLAN-Netzen wird oft nicht beachtet, dass diese eben nicht an den Bürogrenzen enden, sondern auch oft in den öffentlichen Bereich hinein sichtbar sind und somit ein potentielles Risiko darstellen.

  • Auffinden aller erreichbaren WLANs
  • Suche nach nicht gewollten WLANs via Smartphone oder Tablet

  • Einbruchversuche in die geschützten WLANs

  • Einbruchversuch in Ihr internes Netz über ungesicherte Gastnetze

Bericht

Mit unserem Bericht erhalten Sie ein Management Summary inklusive Bewertung des Sicherheitsniveaus. Wir liefern unsere Berichte normalerweise in einem Format, das nicht veränderbar und gegen unberechtigten Zugriff geschützt ist .

Zusätzlich erhalten Sie zu jeder identifizierten Sicherheitslücke eine Beschreibung sowie unsere Mitigations Empfehlungen. Sollten wir im Vorfeld einen besonderen Bericht vereinbart haben, werden wir dies natürlich berücksichtigen.

Unsere Berichte liefern wir auch nur an den vereinbarten Personenkreis.

Nachbereitung

Wir sehen unsere Berichte als Input. Wir versuchen, mit Ihnen gemeinsam Lösungen zu finden, um die Erfahrungen aus dem Penetration Test in automatisierte Tests umzusetzen. Diese können dann schon während der Entwicklung oder in der Designphase eines Produkts eingesetzt werden.

Gerne werden wir mit Ihren Mitarbeitern im Nachgang zu einem Penetrationstest auch einen Workshop abhalten, in dem wir dann die Sicherheitslücken erläutern und mögliche Gegenmaßnahmen vorstellen.

Als weitere zusätzliche Dienstleitung können wir für Sie ein Sicherheits-Monitoring aufbauen, damit ihre kritischen Systeme in Zukunft regelmäßig und natürlich automatisiert überwacht werden.

Nach Erstellung des Monitorings durch unsere Experten, geben wir das benötigte Wissen in einem Workshop an Ihre Mitarbeiter weiter, damit diese auch die Ergebnisse bewerten und einordnen können und im Bedarfsfall die Tests auch auf zukünftige Erfordernisse anpassen können.

Kontaktieren Sie uns noch heute und fordern Sie weitere Informationen an.

imbus macht Testen einfach!

Tipp: Buchen Sie den imbus Expert Day Securityund Sie erhalten eine Risiko-Bewertung und Handlungsempfehlungen kompakt in einem nur halbtägigen Workshop!

NEU: Nehmen Sie an einem der Security Testing Days von imbus in Rheinland oder Rhein-Main teil.

Die Termine und die Anmeldung zu den Security Testing Days finden Sie hier.

Haben Sie Fragen zu den Security Days? Kontaktieren Sie uns gerne perE-Mail.