Infrastruktur-Pentest
Neuere Unternehmen haben ihre Netzwerksicherheit möglicherweise noch nicht im Griff. Umgekehrt verfügen reifere Unternehmen oft über große und vielschichtige Netzwerke, die schnell fehleranfällig werden. Wir helfen Ihnen, Ihre Netzwerke und Vermögenswerte zu schützen.

Infrastruktur-Pentest

Neuere Unternehmen haben ihre Netzwerksicherheit möglicherweise noch nicht im Griff. Umgekehrt verfügen reifere Unternehmen oft über große und vielschichtige Netzwerke, die schnell fehleranfällig werden. Wir helfen Ihnen, Ihre Netzwerke und Vermögenswerte zu schützen.

Was ist Infrastruktur-Penetration-Testing?

Ein Infrastruktur-Penetrationstest bietet Ihrer Organisation eine Sicherheitsanalyse über die Wirksamkeit Ihrer internen sowohl auch externen Sicherheitssysteme. Als Basis für sichere Anwendungen und Kommunikation darf das System sowie die Netzwerkinfrastruktur nicht vernachlässigt werden. Diese Richtlinie gilt für Unternehmen jeder Größe besonders für kritische Infrastrukturen (KRITIS). Fortgeschrittene Kenntnisse im Bereich der Server-Betriebssysteme, Transportverschlüsselungen und Infrastruktur-Konfiguration ermöglichen es unseren Pentestern manuelle sowie automatisierte Scans durchzuführen, auszuwerten und geeignete Gegenmaßnahmen einzuleiten.

Sichere IT-Infrastruktur ist die Basis der IT-Sicherheit!

Der Pentest für Infrastrukturen wird von unseren speziell ausgebildeten IT-Sicherheitsberatern nach anerkannten Standards geplant, durchgeführt und ausgewertet.

Wir schützen Ihre Netzwerke und Vermögenswerte vor Innentätern und externen Angreifern!
  • Wir bewegen uns mit Network Lateral Movement durch die Infrastruktur, um schrittweise Schlüsseldaten und Fehler zu suchen.
  • Infrastruktur-Komponenten wie z.B Server-Systeme, VPN-Systeme, Active Directory (AD), IoT-Geräte (Internet of Things), WLAN-Netze und Firewalls können getestet werden.
  • Eine umfangreiche Forschung stellt sicher, dass auch tagesaktuelle Schwachstellen identifiziert werden können.
Wir führen Sicherheitsanalysen auf Basis von anerkannten Standards und Richtlinien durch.
  • Unsere Prozesse sind an den Praxis-Leitfaden für Pentests des Bundesamts für Informationssicherheit (BSI) und an die EU-DSGVO angepasst.
  • Eine Ausrichtung an OSSTMM, NIST, PCIDSS und PTES ist auf Wunsch auch möglich.

Hohes IT-Sicherheitsniveau mit standartisierten Pen-Tests

Grundsätzlich gilt, je länger unsere Consultants Ihre Infrastruktur untersuchen, desto aussagekräftiger sind die Ergebnisse. Unser IT-Sicherheitstest folgt bewährten Abläufen und Modulen. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

  • Informationssammlung

    Es gibt direkte und indirekte Methoden der Suchmaschinen-Suche und -Aufklärung. Direkte Methoden beziehen sich auf das Durchsuchen der Indizes und der zugehörigen Inhalte aus dem Cache. Indirekte Methoden beziehen sich auf das Sammeln sensibler Design- und Konfigurationsinformationen durch die Suche in Foren, Newsgroups und Ausschreibungen von Websites.

  • Firewall-Analyse

    Firewall-Regeln und -Richtlinien kontrollieren den Datenverkehr zwischen LAN und Internet. Mit Hilfe dieser Regeln lässt sich das eigene Netzwerk restriktiv gegen äußere Einflüsse abschotten – und das ohne den allgemein benötigten Internetverkehr zu beeinträchtigen. Gleichzeitig können durch fehlerhafte Regeln aber auch neue Schwachstellen entstehen. Daher ist es ratsam, die Regeln kontinuierlich zu überwachen und zu kontrollieren.

  • Patchmanagement

    Der Begriff Patchmanagement bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen (Updates), mit denen erst nach der Markteinführung erkannte Sicherheitslücken in Software-Anwendungen geschlossen werden. Veraltete Softwarepakete oder Frameworks aus externen Quellen sollten immer auf dem neuesten Stand sein.

  • VPN-Analyse

    Selbst wenn heute normalerweise hochwertige Verschlüsselungen verwendet werden, kann eine Fehlkonfiguration im Server dazu führen, dass eine schwache Verschlüsselung - oder schlimmstenfalls keine Verschlüsselung - erzwungen wird, die es einem Angreifer ermöglicht, Zugang zum vermeintlich sicheren Kommunikationskanal zu erhalten.

  • Privilegien-Eskalation

    Hierfür wird meist eine Fehler (Bug) im Betriebssystem oder der Software genutzt. Meist benötigt wird dazu noch Programmcode benötigt, der die Eskalation durchführt. Meistens wird eine Privilegien-Eskalation verwendet, um sich Root-Rechte zu beschaffen. Solche Tools werden (ggf. in Verbindung mit bestimmten Aktionen) als Exploit bezeichnet.

  • Netzwerkmanipulation

    Ein Angreifer nutzt Merkmale der Infrastruktur aus, um Angriffe auf Netzwerkobjekte durchzuführen oder eine Änderung des gewöhnlichen Informationsflusses zwischen Netzwerkobjekten zu bewirken. Meistens geht es dabei um die Manipulation des Routings von Nachrichten, so dass diese, anstatt an ihrem eigentlichen Ziel anzukommen, auf eine Entität der Angreifer gerichtet werden.

  • Active Directory (AD)

    Wir verwenden die Graphentheorie, um die versteckten und oft unbeabsichtigten Beziehungen innerhalb einer Active-Directory-Umgebung aufzudecken. Auf diese Weise können hochkomplexe Angriffspfade identifiziert werden, die sonst sehr schwer zu erkennen wären.

  • IoT-Geräte (Internet of Things)

    Die Methoden zur Bewertung der Sicherheit und die Härtungsmaßnahmen im Umfeld der IoT-Geräte (Internet of Things) sind keineswegs exklusive Mechanismen, die nur in diesem Bereich vorzufinden sind. Es handelt sich eher um die Anwendung verschiedener Maßnahmen auf der Software-, Betriebssystem- und Netzwerkebene, um Informationssicherheit zu gewährleisten.

Infrastruktur Pentest

Abschlussbericht des IT-Audits

Wir haben ein umfangreiches Berichtsformat entwickelt, das optimalen Einblick in unsere Arbeit und dessen Ergebnisse ermöglicht.

  • Unser Bericht wird nach annerkannten Standards erstellt und enthält u. a. eine Management Summary, eine Schwachstellenübersicht, details zur Schwachstellen und Behebungs-Schritte. Die Bewertung der Findings richtet sich nach dem CVSS 3.0 Standard.
  • Unser ausführliches Berichtsformat gibt nicht nur Aufschluss darüber, welche Schwachstellen während des Pentests identifiziert wurden, sondern auch welche Angriffsvektoren dabei überprüft wurden. Somit können Sie unsere Arbeit optimal nachvollziehen.
  • Der Abschlussbericht wird individuell erstellt und sowohl als klassisches PDF-Dokument, als auch in einem speziellem HTML-Format ausgeliefert. Im dynamischen HTML-Format können Inhalte und Schwachstellen-Funde gefiltert, sortiert und in andere Formate exportiert werden.
  • In einem gemeinsamen Abschlussgespräch besprechen wir mit Ihnen die Details des Berichts und unterstützen Sie bei Bedarf bei der Behebung der identifizierten Schwachstellen.
Pentest-Report

Ablauf vom Infrastruktur-Penetrationstest

Der von uns durchgeführte Pentest ist ein agiler Prozess und wird in enger Absprache mit dem Kunden durchgeführt.

Kick-off
Kick-Off-Gespräch

Bei einem gemeinsamen Kick-Off-Gespräch werden die zu prüfenden Rahmenbedingungen spezifiziert, es werden notwendige Benutzerkonten und Zugriffswege abgestimmt, Ansprechpartner und Eskalationswege definiert und der Pentest wird im Detail gemeinsam geplant.

Manual & Automated Research
Manual and Automated Research

Unsere Security Engineers versuchen möglichst viele Informationen zu sammeln. Auf Basis dieser Informationen werden Analysestrategien entwickelt, mit denen mögliche Angriffsvektoren identifiziert werden können. Diese Angriffsvektoren werden dann in umfangreichen Tests auf Schwachstellen untersucht.

Manual Exploitation
Manual Exploitation

Hier wird versucht, die identifizierten Schwachstellen auszunutzen, um Zugriff auf die Zielsysteme zu erlangen. Dabei werden von unserem Pentester, abhängig vom jeweiligen Dienst oder der technischen Umgebung, neue Exploits geschrieben oder bestehende verwendet. Potentielle Schwachstellen können sich hier als False Positives herausstellen. Nur verifizierte Schwachstellen werden in den abschließenden Bericht aufgenommen und entsprechend ihrer Kritikalität nach CVSS 3.0 eingestuft.

Report
Report

Wir haben ein umfangreiches Berichtsformat entwickelt, das optimalen Einblick in unsere Arbeit und dessen Ergebnisse ermöglicht. Dieser besteht aus einer Business-Risk-Analyse, Management Summary und einer umfangreichen Test- und Schwachstellenbeschreibung. Die Kritikalität der Schwachstellen und Handlungsempfehlungen werden darin ausführlich beschrieben.

Remediation (Optional)
Remediation

Wenn die Analyse abgeschlossen ist, dann erfolgt die Behebung der identifizierten Schwachstellen Ihrerseits. Unsere Auswertungen bietet Ihnen detailierte Empfehlungen über die jeweilige Schwachstelle. Bei Bedarf können unsere Security Engineers umfangreiche Hilfestellungen für die Behebung geben.

Kostenlose Nachprüfung (Optional)
Nachprüfung

Gerne überprüfen wir die Sicherheitsschwächen erneut, um sicherzustellen, dass die Verteidigungsmechanismen korrekt umgesetzt worden sind. Uns ist wichtig, dass unsere Empfehlungen umgesetzt werden, deswegen ist diese Prozessaktivität immer kostenlos.

Abschlussgespräch & Zertifizierung (Optional)
Abschlussgespräch

In dem Abschlussgespräch werden alle kritischen Punkte im Ergebnisbericht besprochen und alle Fragen geklärt. Abschließend überreichen wir Ihnen gerne ein Zertifikat als Nachweis für Ihre Kunden.

eBook: Den richtigen Pentest-Anbieter finden

Laden Sie sich unser kostenloses eBook "Den richtigen Penetrationstest-Anbieter" herunter! Dieses eBook unterstützt Sie bei der Auswahl eines für Sie geeigneten Pen-Test-Dienstleisters.

Die Suche nach dem richtigen Anbieter für Pentests kann einen problematischen Prozess darstellen, insbesondere für diejenigen, die mit IT-Sicherheit nicht vertraut sind. Was benötige ich? Wie weiß ich, wer genügend technische Expertise vorweisen kann? Wie identifiziere ich unqualifizierte Anbieter? Wie erkenne ich gute Reputation und Kompetenz? Wie sollte die Dokumentation aussehen?

In diesem eBook nennen wir Ihnen 6 Fragen, die Sie potentiellen Dienstleistern Ihres nächsten Penetration Test stellen sollten. Sie werden wissen, worauf Sie bei der Anbieterauswahl achten müssen, wie Sie die verschiedenen Angebote vergleichen können und schließlich die beste Wahl für Ihre speziellen Anforderungen treffen können.

Loading...
eBook

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link um einen Termin auszuwählen:

 Termin vereinbaren

Schreiben Sie uns alternativ eine Nachricht. Fordern Sie noch heute einen Beispielbericht oder unser Leistungsportfolio an, um einen Überblick über unsere Dienstleistung und die Pentest-Kosten zu bekommen. Wir beraten Sie gerne!

Loading...