Penetrationstest

CREST LogoWir sind ein CREST-anerkannter Anbieter von Penetrationstests. Unsere erfahrenen Experten sind in der Lage, umfassende Methoden und Tools zu verwenden, um die Vorgehensweisen eines Hackers nachzuahmen.

Wir bieten eine breite Palette von Penetrationstests an, die alle Aspekte der organisatorischen Sicherheit abdecken, wie Infrastruktur, Webanwendungen, Social-Engineering und natürlich Mobile Geräte.

Wir wenden einen risikobasierten Ansatz für den Penetrationstest an, um die festgestellten Schwachstellen von einem hohen Risiko bis hin zu einem geringen Risiko zu priorisieren. Identifizierte Schwachstellen werden einer Risikostufe zugeordnet, in dem der Wert der gefährdeten Daten bei erfolgreicher Ausnutzung der Schwachstelle geschätzt wird. Die angewandten Methoden spiegeln das Verhalten eines Hackers und dessen Cyber-Angriff wider.


Die Ziele eines Penetrationstests

  1. Festlegen von Angriffsvektoren
  2. Identifikation aller vorhandenen Schwachstellen, auch aller als gering eingestuften Risiken, die allerdings in Summe ein großes Risiko darstellen, sollten Sie hintereinander angegriffen werden.
  3. Identifikation von Schwachstellen, die mit automatisierter Netzwerk- oder Anwendungs-Schwachstellen-Scansoftware schwierig oder nicht erkannt werden können
  4. Bewertung der potentiellen geschäftlichen und operativen Auswirkungen erfolgreicher Angriffe
  5. Überprüfung der Funktionsfähigkeit von Netzwerkverteidigern, Angriffe zu erkennen und darauf zu reagieren
  6. Begründung erhöhter Investitionen im Sicherheitspersonal und in der Technologie

Penetrationstests sind ein wichtiger Bestandteil eines umfassenden Sicherheitsaudits. Zum Beispiel erfordert der Zahlungskarten-Industrie-Datensicherheitsstandard (PCI DSS) eine Penetrationsprüfung in regelmäßigen Abständen und nach jedem Systemwechsel.


Unsere Penetrationstest-Services

Wir bieten eine Reihe von verschiedenen Penetrationstests an, von Web- und mobilen Anwendungen bis hin zu internen Netzwerk- oder externen Infrastrukturtests, zur Überprüfung von Komponenten wie Servern, Workstations oder Netzwerkgeräten in der Infrastruktur Ihres Unternehmens.

Wir arbeiten mit Ihnen zusammen, um die geeigneten Penetrationstests zu identifizieren. Sie haben die Gewissheit, dass Ihre geschäftlichen Anforderungen bezüglich der Sicherheitslage und des Risikos Ihres Unternehmens erfüllt sind. 

Im Anschluss an die Penetrationstests werden wir einen Bericht auf technischer Ebene liefern, der detaillierte Erkenntnisse und empfohlene Lösungen in einer Managementzusammenfassung enthält.

Nachfolgend finden Sie eine vollständige Zusammenfassung unserer Dienstleistungen:


Infrastruktur-Tests

Wir glauben, dass eine sichere Infrastruktur die Grundlage für ein Unternehmen  ist, Widerstand gegen Cyber-Attacken zu leisten.

Unsere Penetrationstestspezialisten führen sowohl interne als auch externe Infrastrukturtests von Servern, Arbeitsplätzen, Domänen, virtuellen Umgebungen, Netzwerkgeräten sowie Netzwerksegregationskontrollen durch.


Anwendungstests

Viele Unternehmen sind stark auf Anwendungen angewiesen, um ihre operativen Tätigkeiten auszuführen. Diese sind oft das digitale Schaufenster (Shopfront) für ein Unternehmen, auf das von überall auf der Welt zugegriffen werden kann. Häufig beinhaltet dies die Darstellung von Informationen, die Bereitstellung von Funktionalität für Mitarbeiter oder Kunden oder die Bereitstellung eines Rückgrats für alle Datenverarbeitungsanforderungen des Unternehmens.

Daher ist die Sicherheit dieser Anwendungen sehr wichtig. Unser Penetrationstest-Team hat umfangreiche Erfahrung in der Bewertung von Anwendungen aller Art, einschließlich Web-Anwendungen, Web-Dienstleistungen, binäre Anwendung (Thick-Client) und Mainframes.


Aufbauüberprüfung

Neben der Infrastruktur und den Anwendungen ist die Sicherheit der zugrundeliegenden Server entscheidend für die Abwehr einer Gefährdung.

Sollte jedoch eine Gefährdung auftreten, ist die Verteidigungshärte wichtig, um sicherzustellen, dass ein Durchbruch in Grenzen gehalten wird und ein Angreifer sich nicht leicht um das System oder die Infrastruktur herum bewegen kann. Unser Service umfasst die Überprüfung zum Aufbau Ihrer Server-Landschaft jeglicher Betriebssysteme inkl. Windows, Linux, Solaris und AIX sowie gemeinsam genutzte Komponenten wie Datenbank- und Webserver. Wir führen auch regelmäßig Aufbau-Reviews über Endbenutzergeräte wie Arbeitsplätze und Laptops durch, mit dem Ziel, böswillige interne Nutzer oder Gerätediebstahl nachzuahmen.

Unter Verwendung üblicher Benchmarking-Empfehlungen, wie z. B. CIS, NIST- oder NCSC, sorgt eine Aufbau-Review von uns für die Sicherheit, die benötigt wird.


Mobile Anwendungen und Geräte

Immer häufiger entwickeln und nutzen Unternehmen mobile Anwendungen, um mit Kunden und Mitarbeitern zu interagieren. Es ist wichtig, dass die Anwendungen das gleiche Maß an Sicherheit wie herkömmliche Web-Anwendungen bieten. Unser umfangreicher Penetrationstest mobiler Anwendungen der üblichen Betriebssysteme, einschließlich Android-, Apple-, Windows Phone- und BlackBerry, bietet den nötigen Schutz für Ihr Unternehmen.

Wenn Ihre Mitarbeiter mobile Geräte verwenden, kann eine Bewertung zur Überprüfung der Konfigurationssperrung von mobilen Geräten und des mobilen Geräteverwaltungsumfelds (MDM-Umfeld) durchgeführt werden.


Netzwerkgeräte Review

Netzwerkgeräte innerhalb eines Unternehmens stellen das Rückgrat für die Kommunikation innerhalb der Infrastruktur zur Verfügung. Eine Sicherheitslücke könnte verheerende Wirkung auf die Gesamtsicherheit des Unternehmens haben.

Unsere Review von Netzwerkgeräten zielt darauf ab, Absicherung für solche Geräte zu liefern, indem die laufende Konfiguration, die Firmware-Version und die Firewall-Regeln von Geräten großer Hersteller wie Cisco, Checkpoint, HP, Juniper, Palo Alto, Brocade, SonicWall und Fortigate bewertet wird.


WLAN-Penetrationstests

WLAN-Access Points bieten Angreifern ein Mittel, eine Infrastruktur aus sicherer Entfernung anzugreifen. Diese Schwachstelle bleibt oft unentdeckt.

Unser WLAN-Netzwerktest und Configuration-Review gewährleistet, dass drahtlose Netzwerke korrekt eingerichtet sind und ein hohes Maß an Sicherheit bieten.

Der Service umfasst Wireless Access Point Reviews, WLAN-Controller und Endgeräte-Bewertungen, sowie Standortanalysen und die Ausnutzung von Zugangspunkten für kriminelle Zwecke.


SCADA und ICS-Tests

Überwachungssysteme und Datenerfassungssysteme (SCADA), die auch als Industriesteuerungssysteme (ICS) bekannt sind, werden häufig in einer Reihe von Branchen eingesetzt, darunter Stromerzeugung, Fertigung, Rohstoffversorger und Wasseraufbereitung.

Unser fachkundiges SCADA Penetrationstest-Team bietet eine umfassende Überprüfung Ihres SCADA / ICS-Systems. Diese Bewertung umfasst viele verschiedene Formen, wie z.B. die Überprüfung der relevanten Strategien und Verfahren, Architektur-Überprüfungen, physische Sicherheitsbewertung, Infrastruktur-Penetrationstests, Segregationstests und Aufbau-Review-Aufgaben.

Durch die Bewertung von Systemen aus mehreren Blickwinkeln erreichen wir eine ganzheitliche Sicht auf die Sicherheitsposition Ihrer SCADA / ICS-Systeme.


Secure-Code Review

Um einen gründlichen Verteidigungsansatz für die Sicherheit Ihrer Anwendungen zu gewährleisten, führen wir Source-Code Reviews durch.

Ein Source Code Review ist eine systematische Untersuchung des Source Codes, einer Anwendung aus manueller und automatisierter Perspektive. Dieser "White-Box"-Ansatz dient dazu, Fehler zu finden und zu beheben, die in der anfänglichen Entwicklungsphase übersehen wurden. Solche Fehler lassen sich nicht immer mit "Grey-Box"- oder "Black-Box"-Testmethoden finden. Der „White-Box“-Ansatz verbessert sowohl die Gesamtqualität der Software als auch die Fähigkeiten des Entwicklungsteams.

Wir bieten diesen Service in einer Vielzahl von Programmiersprachen an, darunter unter anderem C#, Java, Python und PHP.


Visualisierungstests

Immer häufiger verlagern Unternehmen ihre Infrastruktur in virtualisierte Umgebungen, sowohl lokal als auch Cloud hostet. Oft bieten diese Umgebungen ein uneingeschränktes Mittel zur Durchquerung der gesamten IT-Infrastruktur an. Daher darf die Sicherheitsposition von virtualisierten Umgebungen nicht unterschätzt werden.

Wir führen eine Kombination aus Aufbau-Review und Infrastruktur-Tests von virtuellen Umgebungen oder privaten Clouds durch, sowohl in kommerziellen als auch in eingeschränkten Netzwerken. Unsere Erfahrung umfasst wichtige Produkte wie VMware, Hyper-V sowie Cloud Dienstleister wie Skyscape oder Amazon EC2.


Stolen Laptop Review

Da viele Laptops oder mobile Geräte verloren gehen oder gestohlen werden, überprüfen wir Geräte, um zu ermitteln, welche Informationen erhalten werden können, wenn sie in die falschen Hände geraten.

Dazu gehört die Beurteilung der Gefährdungslage für das Unternehmen, wenn ein Gerät abhanden gekomen ist. Wesentlicher Bestandteil der Prüfung sind Boot Methoden, die Umgehung der Verschlüsselung sowie alle Informationen, die genutzt werden können, um die IT-Sicherheit eines Unternehmens zu umgehen.


Gold Build Image Review

Wir können eine detaillierte Malware und forensische Überprüfung aller Master Gold Images durchführen.

Unsere Überprüfung stellt sicher, dass das Master-Image nicht infiziert oder manipuliert wurde, bevor es aufgespielt und verwendet wird.


Datenbankprüfung

Wir können eine detaillierte Überprüfung der eingesetzten Datenbankserver durchführen. Unser Fokus konzentriert sich auf Berechtigungen, Versionen und Konfigurationen aller gängigen Datenbankmanagementsystemen wie Microsoft SQL, MySQL, PostgreSQL, Oracle und MongoDB.


Environment Breakout

Um einen eingeschränkten Zugriff auf Dienste, Netzwerke oder bestimmte Anwendungen zu ermöglichen, kann eine Organisation eine gesperrte Umgebung wie Citrix, Terminaldienste (RDP), eingeschränkte Benutzer-Desktop oder eine Kiosk-Umgebung implementieren.

Unser Environment-Breakout-Service ist dafür gemacht, dass der Low-Level-Endbenutzer nicht aus dem kontrollierten Desktop in andere Programme, Ebenen von Rechten oder anderen eingeschränkten Bereichen der angeschlossenen Infrastruktur ausbrechen kann.