Netzsicherheit prüfen mit Infrastruktur-Pentests

Neuere Unternehmen haben ihre Netzwerksicherheit möglicherweise noch nicht im Griff. Umgekehrt verfügen reifere Unternehmen oft über große und vielschichtige Netzwerke, die schnell fehleranfällig werden. Wir helfen Ihnen, Ihre Netzwerke zu überprüfen und Vermögenswerte mit einem Pentest zu schützen. Von Mail Servern bis hin zu Firewalls testen - wir finden die Schwachstellen in Ihren Systemen!

Servers, Endgeräte, IoT and Netzwerke

Was ist Infrastruktur-Penetration-Testing?

Infrastruktur-Penetration-Testing bietet Ihrer Organisation eine Sicherheitsanalyse über die Wirksamkeit Ihrer internen (Assume-Breach-Pentest) sowohl auch externen Sicherheitssysteme. Als Basis für sichere Anwendungen und Kommunikation dürfen Systeme und Infrastrukturen sowie die Netzwerksicherheit nicht vernachlässigt werden. Diese Richtlinie gilt für Unternehmen jeder Größe, besonders für kritische Infrastrukturen (KRITIS).

infrastruktur

Server, Endgeräte, IoT und Netzwerke

Penetration Tests für Infrastrukturen

Fortgeschrittene Kenntnisse im Bereich der Server-Betriebssysteme, Transportverschlüsselungen und Infrastruktur-Konfiguration ermöglichen es unseren Penetration Testern Sicherheitslücken in Ihrer IT-Infrastruktur zu finden und Problemlösungen anzubringen. Dazu werden manuelle sowie automatisierte Scans durchgeführt und ausgewertet, um geeignete Gegenmaßnahmen einzuleiten.

Infrastruktur-Cyber-Security

Cyber-Security-Lücken finden mit einem Infrastruktur-Pen-Test von turingpoint.

Wir prüfen Ihre Netzwerksicherheit und schützen Ihre Vermögenswerte vor Innentätern und externen Angreifern mit moderner Cyber Security!

Infrastruktur-Komponenten
Infrastruktur-Komponenten wie z.B Server-Systeme, Webserver, Betriebssysteme, allgemeine Netzwerk-Protokolle,
Prozessnetze, Maschinenstraßen, VPN-Systeme, Active Directories (AD), IoT-Geräte (Internet of Things), WLAN-Netze, Datenbanken und Firewalls können getestet werden.
Virtualisierungen oder Containerisierung
Nutzen Sie unser umfangreiches Sicherheitszertifikat, um Kunden das hohe Sicherheitsniveau Ihrer Anwendungen und Infrastrukturen zu belegen. Einer erfolgreichen Akkreditierung gehen ein Cloud Assessment oder Penetration Test voraus.
Einhaltung von Compliance und Sicherheitsempfehlung
In der IT-Sicherheit gibt es viele Richtlinien, die eingehalten werden müssen. Diese stellen bei Nichteinhaltung meistens keine Schwachstelle im klassischen Sinn dar. Wir prüfen auch bestehende Compliance-Richtlinien oder adaptieren unsere Sicherheitsempfehlung für Ihr Unternehmen.
cyber security

Situationsabhänige IT-Sicherheitsanalyse

Szenario basiertere IT-Sicherheitsanalyse

Es möglich einen Penetration Test im Kontext eines bestimmten Szenarios durchführen zu lassen. Dieser Ansatz mach Sinn, wenn man nur einen bestimmten IT-Angriffsvektor überprüfen muss.

Eine Ausrichtung an OSSTMM, NIST, PCIDSS und PTES ist auf Wunsch auch möglich.

Evil Employee
Viele Angriffe werden von Innentätern durchgeführt. Welche Rechte kann ein Mitarbeiter unwissentlich erlangen, um Prozesse oder Daten zu manipulieren?
Stolen Notebook
Der Verstlust von mobilen Endgeräten kann katastrophale Auswirkungen auf die Integrität der Organisationen haben. Wir evaluieren Härtungsmaßnahmen oder Schwachstellen in Handys und Laptops!
Lateral Movment
Ein Server wurde kompromitiert und Sie wollen wissen, wie weit sich ein Angreifer in Ihrer Systemlandschaft bewegen kann?
assessment

Erfahren Sie mehr über die Durchführung von Penetration Tests mit turingpoint!

Penetrationstest für Server, IoT, WLAN und Firewalls

Höhere Netzwerksicherheit mit einem standardisierten Infrastruktur-Penetrationstest

Grundsätzlich gilt, je länger unsere Security Engineers den Infrastruktur-Penetrationstest durchführen und die Netzwerksicherheit überprüfen, desto aussagekräftiger sind die Ergebnisse. Unser IT-Sicherheitstest folgt bewährten Abläufen und Modulen. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

Informationssammlung

Es gibt direkte und indirekte Methoden der Suchmaschinen-Suche und -Aufklärung. Direkte Methoden beziehen sich auf das Durchsuchen der Indizes und der zugehörigen Inhalte aus dem Cache. Indirekte Methoden beziehen sich auf das Sammeln sensibler Design- und Konfigurationsinformationen durch die Suche in Foren, Newsgroups und Ausschreibungen von Websites. Auch die Host Discorvery mit Port Scans für die Enumeration von Diensten ist in diesem Packet enthalten.

Firewall-Test

Firewall-Regeln und -Richtlinien kontrollieren den Datenverkehr zwischen LAN und Internet. Mit Hilfe dieser Regeln lässt sich das eigene Netzwerk restriktiv gegen äußere Einflüsse abschotten – und das, ohne den allgemein benötigten Internetverkehr zu beeinträchtigen. Gleichzeitig können durch fehlerhafte Regeln aber auch neue Schwachstellen entstehen. Daher ist es ratsam, Ihre Firewall zu testen, kontinuierlich zu überwachen und zu kontrollieren.

Patchmanagement

Der Begriff Patchmanagement bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen (Updates), mit denen erst nach der Markteinführung erkannte Sicherheitslücken in Software-Anwendungen geschlossen werden. Veraltete Softwarepakete oder Frameworks aus externen Quellen sollten immer auf dem neuesten Stand sein.

VPN-Analyse

Selbst wenn heute normalerweise hochwertige Verschlüsselungen verwendet werden, kann eine Fehlkonfiguration im Server dazu führen, dass eine schwache Verschlüsselung - oder schlimmstenfalls keine Verschlüsselung - erzwungen wird, die es einem Angreifer ermöglicht, Zugang zum vermeintlich sicheren Kommunikationskanal zu erhalten.

Privilegien-Eskalation

Hierfür wird meist eine Fehler (Bug) im Betriebssystem oder der Software genutzt. Meist benötigt wird dazu noch Programmcode benötigt, der die Eskalation durchführt. Meistens wird eine Privilegien-Eskalation verwendet, um sich Root-Rechte zu beschaffen. Solche Tools werden (ggf. in Verbindung mit bestimmten Aktionen) als Exploit bezeichnet.

Netzwerkmanipulation

Ein Angreifer nutzt Merkmale der Infrastruktur aus, um Angriffe auf Netzwerkobjekte durchzuführen oder eine Änderung des gewöhnlichen Informationsflusses zwischen Netzwerkobjekten zu bewirken. Meistens geht es dabei um die Manipulation des Routings von Nachrichten, so dass diese, anstatt an ihrem eigentlichen Ziel anzukommen, auf eine Entität der Angreifer gerichtet werden.

Active Directory (AD)

Wir verwenden die Graphentheorie, um die versteckten und oft unbeabsichtigten Beziehungen innerhalb einer Active-Directory-Umgebung aufzudecken. Auf diese Weise können hochkomplexe Angriffspfade identifiziert werden, die sonst sehr schwer zu erkennen wären.

IoT-Geräte (Internet of Things)

Die Methoden zur Bewertung der Sicherheit und die Härtungsmaßnahmen im Umfeld der IoT-Geräte (Internet of Things) sind keineswegs exklusive Mechanismen, die nur in diesem Bereich vorzufinden sind. Es handelt sich eher um die Anwendung verschiedener Maßnahmen auf der Software-, Betriebssystem- und Netzwerkebene, um Informationssicherheit zu gewährleisten.

Erweiterte Schwachstellenanalyse

Unsere Schwachstellensscanns finden zuverlässig Lücken, wie Spectre oder Meltdown, Solorigate, ProxyLogon, Ripple20 oder Ransomware wie z. B. WannaCry.

Public-Key-Infrastrukturen

Die PKI ist ein wichtiger Bestandteil eines soliden Sicherheitskonzepts und beschreibt einen kryptografischen Vertrauensanker. In diesem Rahmen müssen sich jedes Gerät und jeder Benutzer identifizieren. Nur mit einer erfolgreichen Authentifizierung ist es anschließend möglich, eine sichere Kommunikation beziehungsweise Verbindung zwischen zwei Endpunkten zu ermöglichen.

Aktuelle Informationen

Aktuelle Blog-Artikel

Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: