Lässt sich Ihr Netzwerk erfolgreich angreifen?

Mit einem Pentest schaffen Sie Klarheit!

Bei einem Penetrationstest geht es darum, die Sicherheit des Netzwerks durch aktives Ausnutzen von Schwachstellen zu testen. Dabei greift man das Netzwerk mit den Mitteln eines echten Angreifers (externen/internen/Insider) an. Das Ziel dabei ist, die vorhandenen Schwachstellen in dem Netzwerk zu entdecken und zu einem möglichst weitreichenden Angriff zu kombinieren. Damit bekommt man den belastbaren Nachweis eines erfolgreichen Angriffs und die Kenntnis über die in dem Netzwerk vorhandenen Schwachstellen.

Das zeichnet unsere Penetrationstests aus

  • Vollständige Untersuchung des Netzwerks gemäß etablierter Vorgehensweise
  • Effektive Sicherheitsanalyse der gesamten Infrastruktur
  • Maximale Rechteeskalation unter der Ausnutzung der Schwachstellen
  • Sinnvolle Empfehlungen zur Härtung der Infrastruktur

Vorgehensweise

  • Meeting

    In einem Gespräch stellen wir unsere Vorgehensweise vor, stecken die Rahmenbedingungen ab und klären für den Test relevante Details der Infrastruktur.

  • Pentest

    Während des Penetrationstests sammeln wir erst Informationen über die Infrastruktur und nutzen dann gezielt die Sicherheitschwachstellen aus.

  • Bericht

    Die gesammelten Informationen und die erfolgreich ausgenutzten Schwachstellen werden detailliert dokumentiert und deren Risiko bewertet.

  • Präsentation

    Die Ergebnisse des Penetrationstests werden besprochen und die empfohlenen Gegenmaßnahmen gemeinsam diskutiert.

Penetrationstest

Den Pentest führen wir je nach gewünschter Vorgehensweise (verdeckt/offen) weitestgehend autark durch, nachdem wir mit Ihnen den Zeitraum der Durchführung abgestimmt haben. Ein gelungener Pentest benötigt eine abgestimmte Planung und eine Kombination der entdeckten Schwachstellen, um die Rechte des Angreifers zu eskalieren.

Wir führen Untersuchungen unter anderem in folgenden Bereichen durch:

  • Öffentliche Informationen aus Suchmaschinen bei einem externen Pentest
  • Passiv gewonnene Informationen aus dem Netzwerk-Verkehr
  • Netzsegmentierung/Zugriffsbeschränkungen zwischen den Netzwerkbereichen
  • Aktiv gewonnene Informationen über Infrastruktur z.B. die Versionen der eingesetzten Komponenten
  • Zugriffbeschränkungen bei den Netzwerk-Freigaben
  • Einsatz von Standard-Passwörtern bei den Infrastrukturkomponenten
  • Wiederverwendung von Passwörtern bei den administrativen Benutzern
  • Schwache Passwörter (Passwort-Richtlinie) bei den Domain-Benutzern
  • Aktualität der eingesetzten Software und ggf. Ausnutzung der Schwachstellen

Dokumentation

Unser Bericht besteht aus mehreren Abschnitten:

  • Management Report enthält eine leicht verständliche Zusammenfassung der Ergebnisse des Penetrationstest, inklusive der Aufzählung der "dringendsten Baustellen". Dieser Abschnitt richtet sich vor allem an Entscheider, IT- und Budget-Verantwortliche.
  • Ergebnisse des Penetrationstests beschreiben den genommen Angriffsweg, um in die Infrastruktur einzudringen. Dabei werden die entdeckten Schwachstellen von uns beschrieben, zusammen mit den zugehörigen Empfehlungen zur Behebung der Schwachstelle oder Minderung des Risikos. Bei ausgenutzten Schwachstellen führen wir jeweils eine individuelle, transparente und objektive Risikobewertung durch. Durch die Risikoanalyse der gefundenen Schwachstellen erhalten Sie eine Übersicht an welcher Stelle der Infrastruktur die am dringendsten zu behebenden Schwachpunkte liegen.
  • Gesammelte Informationen über die Infrastruktur ermöglichen die Korrelation der Ergebnisse und einen Vergleich mit späteren Untersuchungen.

Empfehlungen

Im kontinuierlichen Sicherheitsprozesses ist die Analyse nur eine Phase des Zyklus. Um den Übergang in die nächste Phase der Verbesserung und Optimierung zu vereinfachen, schlagen wir Ihnen in unserem Bericht mögliche Lösungen zur Beseitigung der Sicherheitsmängel vor. Durch die individuelle und objektive Risikobewertung der Schwachstellen bekommen die Lösungsvorschläge eine sinnvolle Priorisierung. Dabei versuchen wir unsere Lösungsvorschläge möglichst individuell auf Ihre Bedürfnisse und Umgebung anzupassen.