Warum Penetrationstests mit HvS-Consulting?

Neben dem Einsatz hochmotivierter und erfahrener Penetrationstester reichern wir Penetrationstests auch immer mit den Skills aus anderen Bereichen unseres Portfolios an. Durch unsere jahrelange Erfahrung im Bereich Incident Response und Forensik und die Entwicklung des APT Scanners THOR kennen wir die Schwachstellen in Systemen und die Angriffsmethoden moderner Cyber-Hacker sehr genau, insbesondere die Eigenschaften von Advanced Persistent Threats (APT) Angriffen. Berücksichtigt werden hierbei auch Informationen über Sicherheitsarchitekturen, Prozesse und Richtlinien. Dieses Wissen kommt Ihrer Sicherheit zu Gute.

Penetrations-Tests: Qualität

Hohe Qualität

Unsere Spezialisten prüfen keine Standardkataloge, sie denken wie echte Hacker und kombinieren verschiedene Methoden.

Penetrations-Tests: Know-how

Valide Ergebnisse

Sie erhalten als Ergebnis nicht nur Schwachstellen, sondern konkrete Handlungsempfehlungen. Mit Dringlichkeit und Aufwandsschätzung.

 

Penetrations-Tests: Optimierten Kosten

Überschaubare Kosten

Wir setzen im Initialtest auf das Pareto-Prinzip (80% der Schwachstellen in 20% der Zeit). Das führt zu hoher Kosteneffizienz.

Penetrationstests - Wirksamkeitsprüfung Ihrer Sicherheitsmaßnahmen

Die Zahl der kritischen Schwachstellen in Infrastrukturen und Anwendungen ist seit Jahren gleichbleibend hoch. Die erfolgreiche Ausnutzung dieser Schwachstellen bei Cyber-Angriffen legt weiter zu. Deshalb sind regelmäßige Penetrationstests ein enorm wichtiger Baustein in jeder IT-Sicherheitsstrategie.

Ihre Schutzziele - Vertraulichkeit - Integrität - Verfügbarkeit - Authentizität und Nachvollziehbarkeit können durch Penetrationstests und die daraus hervorgehenden geeigneten Gegenmaßnahmen wirksam geschützt werden.

Klassischer Penetrationstest: Wie sicher ist Ihr System?

Der klassische Penetrationstest fokussiert sich auf eine einzelne Webanwendung, eine Applikation oder ein einzelnes IT-System. Ziel ist es, Schwachstellen zu entdecken und Optimierungspotentiale aufzuzeigen, bevor ein Schaden entstehen kann.

  • Webanwendungen / Mobile Apps: Penetrationstest einer Webanwendung, einer App inklusive Backend oder eines Webservices zur Erkennung von technischen und logischen Schwachstellen.
  • Interne Anwendung: Penetrationstest einer geschäftskritischen Anwendung und der zugrundeliegenden Infrastruktur (wie z.B. PCI Zone, E-Mail System, SharePoint Installation, Dokumentenmanagementsystem)
  • Fat-Client Anwendung: Penetrationstest einer Fat-Client Anwendung und deren Backend, wie z.B. Steuerungsanwendungen in Ihrem ICS- oder Produktionsnetzwerk

Bei klassischen Penetrationstests orientieren wir uns an internationalen Standards. Die genaue Ausprägung ob als Black Box - Test (ohne Vorkenntnisse über das Zielsystem) bis hin zu einem White Box - Test (mit ausgewählten Informationen über das Angriffsziel) können Sie individuell wählen.

Da ein Penetrationstest immer nur eine Momentaufnahme ist, bieten wir Ihnen auch die Option "Pentest as a Service" an. Durch kontinuierliche Tests berücksichtigen wir Veränderungen bei kritischen externen Infrastrukturelementen und können neue Schwachstellen zeitnah identifizieren.

IT-Stresstest – Wie sicher sind Ihre Informationen?

In diesem Szenario nehmen wir nicht eine spezielle Anwendung oder ein System ins Visier, sondern schlüpfen in die Denkweise eines echten Cyber-Angreifers und machen Jagd auf Informationen und hoch privilegierte Accounts.

Ziel ist es, in das Netzwerk vorzudringen und schrittweise die Rechte zu erweitern. Welcher Weg zum Ziel führt, ist aber völlig offen und die Angriffstechniken werden entsprechend der gefundenen Schwachstellen variiert. Als Ergebnis erhalten Sie Handlungsempfehlungen, die das Risiko eines erfolgreichen Hackerangriffs auf Ihre Infrastruktur erheblich reduzieren.

IT-Stresstests bieten wir Ihnen in zwei Varianten an:

  • Externe Infrastruktur: Penetrationstest Ihrer öffentlich erreichbaren Systeme zur Erkennung und Analyse der angebotenen Dienste (wie z.B. Firewalls, VPN-Gateways, Webserver, E-Mailserver oder TK-Anlagen). Sie erhalten einen detaillierten Überblick, welche Systeme vom Internet aus zugänglich und ggf. ein lohnenswertes Ziel für Gelegenheitstäter sind. Es lassen sich zudem Aussagen treffen, ob Ihre IT-Sicherheit tendenziell eher durch Cyber-Attacken oder durch Social Engineering gefährdet ist.
  • Interne Infrastruktur: Wir bewegen uns in vier Phasen (Reconnaissance, Analyse, Exploitation, Lateral Movement) durch Ihr Netzwerk und versuchen die Kontrolle über wichtige IT-Backend Systeme (z.B. Active Directory, Storage, Virtualisierungsinfrastruktur, Softwareverteilung) und damit Ihre geschäftskritischen Informationen zu erlangen. Sie erhalten von uns Beurteilungen und Handlungsempfehlungen zu den Themen Netzwerksicherheit, Hardening, Patching, Berechtigungskonzepten und Informationsablage. Die Bedrohungslage durch externe Angreifer und Innentätern lässt sich so sehr gut beurteilen.

Die genaue Ausprägung Black Box- / White Box-Test können Sie auch hier individuell wählen.

 

"Red Team versus Blue Team": Wie gut ist Ihre Cyber Security?

Im Fokus dieser Variante steht ein strategisches Ziel – beispielsweise der Zugriff auf besonders wertvolle Unternehmensinformationen oder die Erlangung weitreichender Administratorrechte. Im Gegensatz zum IT-Stresstest geht es hier aber nicht ausschließlich um Ihre Resilience, sondern auch die Detection- und Response-Fähigkeiten Ihrer Security Organisation. HvS übernimmt die Rolle des Angreifers (Red Team) und versucht über eine Kombination verschiedener Angriffstechniken die definierten Ziele zu erreichen. Ihre Security Teams (SOC oder CERT) sind die Verteidiger (Blue Team) und sollten die richtigen Incident Response Maßnahmen ergreifen, um den Angriff abzuwehren - wenn sie ihn denn überhaupt entdecken.

Mehr erfahren

Nach diesen Standards führen wir Penetrationstests durch

BSIDas Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem "Durchführungskonzept für Penetrationstests" ein Vorgehensmodell entwickelt:

  1. Recherche über Zielsystem: Über das World Wide Web erreichbare Rechner haben eine offizielle IP-Adresse. Frei zugängliche Datenbanken liefern Informationen über IP-Adressblöcke, die einer Organisation zugewiesen sind.
  2. Zielsystem scannen: Zu überprüfende Rechner werden einem sog. Portscan unterzogen. Denn geöffnete Ports lassen häufig Rückschlüsse auf die zugeordneten Anwendungen zu.
  3. System- und Anwendungserkennung: Über das sogenannte "Fingerprinting" werden Namen und Versionen von Betriebssystemen und Anwendungen auf den Zielsystemen in Erfahrung gebracht.
  4. Schwachstellen untersuchen: Anhand der gewonnenen Informationen suchen wir zielgerichtet nach Schwachstellen bestimmter Betriebssysteme und Anwendungen des Zielsystems.
  5. Schwachstellen ausnutzen: Gefundene Schwachstellen werden für den unberechtigten Zugriff auf das System genutzt. Sie dienen außerdem der Vorbereitung weiterer Angriffe.
  6. Dokumentation: HvS-Consulting dokumentiert identifizierte Schwachstellen (mit Bildmaterial), beschreibt die Schwere der potenziellen Gefahr und liefert konkrete Empfehlungen zur Beseitigung.

Zur BSI Publikation

OSSTMMDas OSSTMM (Open Source Security Testing Methodology Manual) ist ein offener Leitfaden und de-facto Standard für Methoden zu Sicherheitsanalysen und Penetrationstests. Er wurde vom Institute for Security and Open Methodologies (ISECOM) entwickelt und wird als Open Source Standard von Fachleuten kontinuierlich überprüft und optimiert.

Dieser umfassende Leitfaden beinhaltet Testmethoden für alle Kommunikationskanäle eines Unternehmens (Mitarbeiter, TK-Anlagen, WLAN, Netzwerk) und definiert Richtlinien für Security Tests (Rules of Engagement).

Ziel des OSSTMM ist es, durch die Schaffung einheitlicher Methoden die Ergebnisse von Sicherheitstest vergleichbar zu machen.

Zum OSSTMM Leitfaden

OWASPDas Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Internetdiensten zu verbessern. Innerhalb der OWASP-Community (bestehend aus Firmen, Bildungseinrichtungen und Einzelpersonen aus aller Welt) werden frei verfügbare Informationsmaterialien, Methoden, Werkzeuge und Technologien erarbeitet.

Das OWASP steht nicht mit Soft- oder Hardwareherstellern in Verbindung und kann somit unvoreingenommene, praxisnahe und wirtschaftliche Informationen über Applikationssicherheit bereitstellen.

Das OWASP veröffentlicht in regelmäßigen Abständen eine Top 10-Liste mit Sicherheitslücken, unter anderem für (mobile) Webanwendungen. Zu den Spitzenreitern zählen seit Jahren SQL-Injections oder Cross-Site-Scripting. HvS orientiert sich bei seinen Penetrationstests am OWASP Web Testing Guide.

 

Zum OWASP