Penetration Test

… ist ein elementarer Baustein jeder Sicherheitsstrategie. Mit kontrollierten Angriffen auf zu untersuchende Ziele soll ein Penetration Test realitätsnahe Angriffsvektoren aufdecken. Dabei geht es nicht nur um potentiell ausnutzbare Schwachstellen, sondern auch um die intrinsischen Vertrauensbeziehungen von Anwendungen und Systemen untereinander.

Das übergeordnete Ziel eines Pentests besteht darin, Angriffsmöglichkeiten zu entdecken, damit diese nachgelagert geschlossen werden können, bevor reale Angreifer sie ausnutzen können.

Genau wie Vulnerability Assessments sind Penetration Testings dafür gedacht, Schwachstellen zu finden und deren Schwere und Relevanz für die Organisation zu beurteilen. Allerdings geht Penetration Testing einen entscheidenden Schritt weiter, da unsere Tester versuchen werden, Verwundbarkeiten tatsächlich auszunutzen. Dies kann auf zahlreichen Wegen geschehen, u.a. durch Auffinden anderer Schwachstellen und deren Verknüpfung zu einem Angriffsvektor.

Trotz der Individualität eines jeden Pentests kann der Ablauf durch die vier Phasen: Reconnaissance, Enumeration, Exploitation und Documentation charakterisiert werden. Unter Reconnaissance versteht man die Informationsbeschaffung vor einem Angriff. Bei der Enumeration werden mögliche Angriffsvektoren identifiziert. Die gefundenen Schwachstellen werden in der Exploitation ausgenutzt. Bei der Documentation werden zunächst sämtliche Schritte festgehalten und schließlich auf dieser Grundlage ein ausführlicher Bericht erstellt.

Warum sind wir dafür die Richtigen?

  • wir denken wie kreative Angreifer, nicht wie „Click Monkeys“
  • umfassendes Expertenwissen von > 40 Pentestern innerhalb der SecureLink
  • umfassendes Portfolio an Assessment Services
  • validierte, aufbereitete Ergebnisse und konkrete Handlungsempfehlungen
  • dedizierte Teams für Analyse, Incident Response, Forensik und Notfalleinsätze

Das erhalten Sie:

  • Neutrale Realitätsprüfung der Wirksamkeit von Sicherheitsmaßnahmen
  • Dauer, Art, Umfang und Ansatzpunkte des Penetrationstests individuell anpassbar
  • Neben Webapplikationen, E-Mail-Systemen, Online-Shops und Datenbankanwendungen überprüfen wir auch Firewalls, DNS, Routing, etc. sowie andere Infrastrukturkomponenten
  • Ausführlicher Bericht mit Risikoabschätzung sowie individuellen Lösungs-/Verbesserungsvorschlägen

Technologiepartner:

Synack

Advanced Pentesting

Managed Bug Bounty: Das ist Pentesting neu gedacht. Viele Organisationen beauftragen einen jährlichen Penetration Test, um sich zu vergewissern, wie es um ihre Sicherheit bestellt ist. Aber liefert der klassische Pentest tatsächlich noch ein reales Bild? Welchen Einfluss haben Test-Budget, Zeitrahmen, Expertise der Tester und Einmaligkeit des Tests auf die Aussagekraft der Ergebnisse?

Wäre es nicht viel realitätsnaher, wenn weltweit verteilt arbeitende Pentester ihre Assets kontinuierlich unter die Lupe nehmen würden, vorausgesetzt, sie unterliegen einer strengen Auditierung, führen die Tests von einer standardisierten Service-Plattform aus durch und die Ergebnisse unterliegen einer Qualitätssicherung?

Unser Advanced Pentesting ist ein Full-Service-Angebot, das den vertrauenswürdigen, kontrollierten Aspekt eines High-Touch-Penetration-Testservice mit der Vielfalt, Kontinuität und Anreiz-getriebenen Natur von Bug Bounty vereint. Unser Serviceangebot verschmilzt die besten Eigenschaften von Application Security Testing Tools, Penetration Testing Engagements und Bug Bounty Programmen, um einen pragmatischen Ansatz für digitale Sicherheit zu liefern.

Vorteile:

  • Realitätsnahe Angriffsszenarien mit dem verteilten Wissen eines crowd-based Pentestings
  • Auditierte Red Teams, standardisierte Service Plattform, qualitätssichernde Ergebnisvalidierung
  • Kontinuierliche Tests decken neue Angriffsvektoren infolge neuer Schwachstellen, neuer Services oder Änderungen an Konfigurationen und Infrastruktur auf

Einblick, Durchblick, Weitblick

Holen Sie sich die Informationen, die Sie benötigen! Jede vernünftige Entscheidung basiert auf einer zuverlässigen Datengrundlage. Das gilt im Kleinen wie im Großen, daher unser Angebot: Nehmen Sie direkt Kontakt auf und informieren Sie sich über unsere Tests uns Assessments.

2019-04-11T08:04:51+02:00März 1st, 2019|Advise & Architect|0 Comments