SERVICE
Schützen Sie Ihre Systeme durch Penetration Testing
Untersuchen Sie mithilfe von Penetration Testing die Fähigkeit Ihres Unternehmens, internen und externen Angriffen standzuhalten. Stärken Sie Ihre Abwehrmaßnahmen, verhindern Sie Verstöße und stellen Sie Compliance sicher.
WAS IST DAS
Die Kunst der Penetration Testing für ultimativen Schutz
Ein Penetrationstest, auch Pentest genannt, ist ein simulierter Cyberangriff auf Ihr Computersystem, um nach ausnutzbaren Schwachstellen zu suchen. Wenn es um die Sicherheit von Webanwendungen geht, werden Penetration Testing typischerweise als Ergänzung zu einer Web Application Firewall (WAF) eingesetzt.
enetration Testing können versuchen, in eine beliebige Anzahl von Anwendungssystemen einzudringen (z. B. Anwendungsprotokollschnittstellen (APIs), Frontend-/Backend-Server), um Schwachstellen aufzudecken, wie z. B. nicht bereinigte Eingaben, die anfällig für Code-Injection-Angriffe sind.
Die aus enetration Testing gewonnenen Erkenntnisse können zur Feinabstimmung Ihrer WAF-Sicherheitsrichtlinien und zur Behebung identifizierter Schwachstellen genutzt werden.
SERVICE
Unsere Penetrations- und Sicherheitstests auf einen Blick
Sicherheitstests nach dem Black/Grey- und White-Box-Prinzip
Sicherheitstests von extern und intern
Durchführung von Social-Engineering-Kampagnen
Sicherheitsaufklärung und vorbereitende Aktivitäten für einen simulierten Angriff
Automatische und manuelle Sicherheitsscans
Sicherheitstests nach dem Fuzzing-Prinzip unter Einsatz von maschinellem Lernen
Regelmäßige Sicherheitsscans für definierte Systeme und Systemumgebungen
Regelmäßige Meldung potenzieller Schwachstellen und Fehlkonfigurationen
Erstellung von Testplänen und Organisation von Tests im Rahmen geplanter Maßnahmen
Plan en voer regelmatig beveiligingstests uit
Bewertung von Schnittstellen und potenziellen Risiken beim Penetrationstest
Erstellung von Prüfberichten und Empfehlung geeigneter Maßnahmen zur Abmilderung und Beseitigung der Befunde
PAKETE
Sicherheitstests und -scans
Sicherheitstests und -scans
Reconnaissance
130€ /A Record (*)
Security Scan aus dem Internet
Standard Test-Cases und Prozeduren
Automatisches Reporting per E-Mail
Sicherheitstests und -scans
Security Scan
680€ /Tag
interner und externer Scan
Standard und spezifische Test-Cases
vollständiger Audit-Report
Sicherheitstests und -scans
Black-Box Testing
880€ /Tag
Tool-basierter Test
spezifische Test-Cases
Beratung und abgestimmtes Vorgehen
(*) Ein Scan beinhaltet einen DNS A Record, für eine DNS Domain Alle Daten werden ausnahmslos bei der Übertragung und Speicherung verschlüsselt und sind so immer gegen fremde Zugriffe geschützt. Weitere Anforderungen setzen wir für Sie gerne im Rahmen eines individuellen Projekts mit Ihnen um.
FASEN VAN EEN PENETRATION TEST
Eine Kurzanleitung für robuste Sicherheit
01
Planning
Die erste Phase umfasst: Festlegung des Umfangs und der Ziele eines Tests, einschließlich der zu prüfenden Systeme und der zu verwendenden Testmethoden. Sammeln von Informationen (z. B. Netzwerk- und Domänennamen, Mailserver), um die Funktionsweise eines Ziels und seine potenziellen Schwachstellen besser zu verstehen.
02
Scan
Im nächsten Schritt wird untersucht, wie die Zielanwendung auf Einbruchsversuche reagiert. Bei der statischen Analyse wird der Code einer Anwendung untersucht, um ihr Verhalten vorherzusagen, was in einem einzigen Durchgang geschehen kann. Bei der dynamischen Analyse wird der Code einer Anwendung in Echtzeit untersucht, während sie ausgeführt wird, was Echtzeiteinblicke in ihre Leistung ermöglicht.
03
Gain access
In dieser Phase werden Webanwendungen auf Schwachstellen geprüft, darunter Cross-Site-Scripting, SQL-Injection und Backdoors. Tester versuchen, Schwachstellen auszunutzen, um Schäden wie Datenklau und Datenverkehr-Abfangen zu erkennen.
04
Maintaining access
Ziel dieser Phase ist es, festzustellen, ob die Schwachstelle ausgenutzt werden kann, um eine dauerhafte Präsenz in dem ausgenutzten System zu erreichen - lange genug, damit ein böser Akteur tiefen Zugriff erlangen kann. Die Idee ist, fortgeschrittene anhaltende Bedrohungen zu imitieren, die oft monatelang in einem System verweilen, um die sensibelsten Daten eines Unternehmens zu stehlen.
05
Analysis
Die Ergebnisse der Penetration Testing werden in einem Bericht zusammengefasst, der die ausgenutzten Schwachstellen, den Zugriff auf sensible Daten und die Dauer des unentdeckten Zugriffs enthält. Das Sicherheitspersonal analysiert diese Daten, um WAF und andere Sicherheitsmaßnahmen zur Behebung von Schwachstellen und zur Verhinderung künftiger Angriffe zu konfigurieren.
Penetration Testing methoden
Erkundung effektiver Lösungen für robuste Cybersicherheit
Externe Tests
Externe Penetration Testing zielen auf die Vermögenswerte eines Unternehmens ab, die im Internet sichtbar sind, wie z. B. die Webanwendung selbst, die Unternehmenswebsite sowie E-Mail- und Domain-Name-Server (DNS). Ziel ist es, Zugriff auf wertvolle Daten zu erhalten und diese zu extrahieren.
Interne Tests
Bei einem internen Test simuliert ein Tester, der Zugriff auf eine Anwendung hinter der Firewall hat, einen Angriff eines böswilligen Insiders. Dies täuscht nicht unbedingt einen böswilligen Mitarbeiter vor. Ein häufiges Ausgangsszenario könnte ein Mitarbeiter sein, dessen Anmeldedaten bei einem Phishing-Angriff gestohlen wurden.
Blindtests
Bei einem Blindtest wird dem Tester lediglich der Name des Unternehmens genannt, auf das er abzielt. Dadurch erhält das Sicherheitspersonal in Echtzeit Einblick in den Ablauf eines tatsächlichen Anwendungsangriffs.
Doppelblindtest
Bei einem Doppelblindtest hat das Sicherheitspersonal keine Kenntnis vom simulierten Angriff. Wie in der realen Welt haben sie vor einem Einbruchsversuch keine Zeit, ihre Abwehrkräfte zu stärken.
Gezieltes Testen
In diesem Szenario arbeiten sowohl der Tester als auch das Sicherheitspersonal zusammen und halten sich gegenseitig über ihre Bewegungen auf dem Laufenden. Dies ist eine wertvolle Schulungsübung, die einem Sicherheitsteam Echtzeit-Feedback aus der Sicht eines Hackers bietet.
