Penetrationstests

Sie haben eine wichtige Anwendung oder einen zentralen IT-Service und möchten wissen, ob sie sicher sind? Sie trauen der Security Ihrer Windows-Clients, eines Linux-Servers oder eines anderen Systems nicht? Ein Penetrationstest wäre genau das Richtige!

Penetrationtests
Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Penetrationstests

Welches Sicherheitsniveau hat ein bestimmtes IT-Asset oder ein IT-Verbund.

Ein Penetrationstest zielt immer darauf ab, alle sicherheitsrelevanten Schwachstellen und Verbesserungspotenziale eines bestimmten Assets zu identifizieren, um das Sicherheitsniveau zu bewerten.

Generische Fehler identifizieren wir oft bereits in automatisierten Tests durch den Einsatz modernster Tools. Kritische Funktionen werden zusätzlich immer manuell durch erfahrene Penetrationstester untersucht. So finden wir auch logische Fehler und vermeiden False Positives.

Als Ergebnis erhalten Sie einen detaillierten Testbericht, der alle identifizierten Schwachstellen beschreibt, ihr Risiko bewertet, sinnvolle Empfehlungen ausspricht und in einer Management Summary zusammenfasst.

Penetrationtests

Pentest Ausprägungen

Vorgehen

Bei einem Pentest von Webanwendungen analysieren wir eine Referenzimplementierung der zu testenden Software in mehreren Stufen. Wir beginnen wie ein normaler Benutzer, um Funktionen, Arbeitsabläufe und den eigentlichen Zweck kennenzulernen.

Darauf aufbauend leiten wir generische und spezifische "Missbrauchsfälle" ab, die die Vertraulichkeit und Integrität der Informationen, die Verfügbarkeit der Anwendung, die Authentizität der handelnden Person oder sogar den ganzen Geschäftsprozess untergraben könnten.

Penetrationstests von Webanwendungen führen wir üblicherweise mit dem Greybox Ansatz durch und betrachten dabei neben der Web GUI selbst auch zugehörige APIs und Webservices sowie die zugrundeliegende Infrastruktur.

Zu einem Penetrationstest gehören die folgenden Schritte:

Vorbereitung

  • Abstimmung des Scopes und der Prüftiefe
  • Kick-Off-Meeting

Durchführung

  • Automatische Scans nach Schwachstellen
  • Manuelle Analysen und Hacking

Auswertung

  • Erstellung eines detaillierten Berichts
Verwendete Methoden und Standards

Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:

Inhaltlich orientieren wir uns hauptsächlich an den etablierten Standards des OWASP-Projekts:

Falls erforderlich bzw. sinnvoll erweitern wir diese um: 

Vorgehen

Bei einem Pentest von Anwendungen analysieren wir eine Referenzimplementierung der zu testenden Software in mehreren Stufen. Wir beginnen wie ein normaler Benutzer, um Funktionen, Arbeitsabläufe und den eigentlichen Zweck kennenzulernen.

Darauf aufbauend leiten wir generische und spezifische "Missbrauchsfälle" ab, die die Vertraulichkeit und Integrität der Informationen, die Verfügbarkeit der Anwendung, die Authentizität der handelnden Person oder sogar den ganzen Geschäftsprozess untergraben könnten.

Penetrationstests von FAT Client Anwendungen führen wir üblicherweise mit dem Greybox Ansatz durch und betrachten dabei neben der GUI der Anwendung auch das Backend sowie die Kommunikationskanäle.

Zu einem Penetrationstest gehören die folgenden Schritte:

Vorbereitung

  • Abstimmung des Scopes und der Prüftiefe
  • Kick-Off-Meeting

Durchführung

  • Automatische Scans nach Schwachstellen
  • Manuelle Analysen und Hacking

Auswertung

  • Erstellung eines detaillierten Berichts
Verwendete Methoden und Standards

Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:

Inhaltlich orientieren wir uns hauptsächlich an den etablierten Standards des OWASP-Projekts:

Falls erforderlich bzw. sinnvoll erweitern wie diese um: 

Vorgehen

Typische Testobjekte sind physische oder virtuelle Windows- oder macOS-Clients, Citrix-Server, sowie Basis-Images von Windows-, Linux- oder AIX-Servern, die beispielsweise als Templates für Cloud-VMs oder in einer Container-Registry eingesetzt werden. 

Bei einem Client- oder Server-Pentest analysieren wir eine Referenzimplementierung hinsichtlich vieler Aspekte: Sind Zugänge auf ein Minimum beschränkt? Ist das System angemessen gehärtet? Sind alle Komponenten auf dem neuesten Stand, einschließlich Treiber, Betriebssystem, Middleware und Anwendungen von Drittanbietern? Wird eine starke Authentifizierung verwendet und sind administrative Zugriffe eingeschränkt?
Sind lokal gespeicherte Informationen zugriffsgeschützt, angemessen verschlüsselt und enthalten sie keine hochsensiblen Informationen wie zum Beispiel Anmeldedaten? Sind Festplatten verschlüsselt und im Falle von Diebstahl oder Verlust angemessen geschützt?

Penetrationstests von Clients und Servern führen wir üblicherweise mit dem Whitebox Ansatz durch.

Zu einem Penetrationstest gehören die folgenden Schritte:

Vorbereitung

  • Abstimmung des Scopes und der Prüftiefe
  • Kick-Off-Meeting

Durchführung

  • Automatische Scans nach Schwachstellen
  • Manuelle Analysen und Hacking

Auswertung

  • Erstellung eines detaillierten Berichts
Verwendete Methoden und Standards

Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:

Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:

Falls erforderlich bzw. sinnvoll erweitern wie diese um Standards aus dem OWASP-Projekt:

Zusätzlich greifen wir auf unsere HvS Schwachstellendatenbank zurück, die durch unsere Incident Response- und Threat Intelligence Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.

Bereit, eine Anwendung, einen Client oder ein Server-Image testen zu lassen?

Lassen Sie uns den Scope abstimmen, die kommerziellen Aspekte klären und Sie von unseren Fähigkeiten überzeugen.
Überzeugen Sie mich!

Individualisierung von Assessments

Penetrationstests sind "der Klassiker" unter den Assessments und in vielen Fällen eine sehr gute Wahl.

Sie stoßen aber an Grenzen, wenn beispielsweise mehrere Komponenten gleichzeitig im Scope sind, aus rechtlichen Gründen oder wegen Ausfallrisiken kein aktives Testen möglich ist oder eine Betrachtung "ohne Betriebsblindheit" gewünscht ist.

Deshalb haben wir unsere Assessmentansätze weiterentwickelt. Sie unterscheiden sich in der Zielsetzung und im Einsatz der verschiedene Methoden und Techniken. Diese Methoden können wir flexibel kombinieren und Ihnen ein individuelles Assessment anbieten.

Wir benötigen lediglich eine konkrete Zielsetzung bzw. Fragestellung, was sie mit den Ergebnissen erreichen wollen. Dann finden wir gemeinsam eine gute Balance aus abgedecktem Scope, Prüftiefe und Realitätsgrad und halten dadurch Aufwand und Kosten für das Assessment im Rahmen. 

Wir beraten Sie gerne zu individuellen Assessment, nehmen Sie einfach Kontakt auf! Bis dahin können Sie sich schon einmal durch andere Assessments inspirieren lassen.