Menu Close

Pentest

Bei den Pentests verwendet AXEN den offiziellen Leitfaden des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die OWASP-Testmethodik. Die Tests werden von einem ethischen Hacker durchgeführt, der über branchenführende Zertifizierungen (OSCP und CEH) verfügt.

WAS IST EIN PENTEST?

Der Pentest oder Penetrationstest ist eine Methode, durch die die Sicherheit eines IT-Systems gewährleistet werden kann. Während des Pentests wird versucht, die Sicherheit dieses Systems mit den gleichen Tools und Techniken durchzubrechen, die auch ein Angreifer verwenden kann.

Der Penetrationstest simuliert einen Hackerangriff in einer gesicherten Umgebung. Eine ausführliche Dokumentation über die Ergebnisse wird zur Verfügung gestellt, um den Entwicklern bei der Schwachstellenbehebung zu helfen. Nach der Schwachstellenbehebung überprüft der Tester erneut die gefundenen Schwachstellen und aktualisiert die Risikoeinstufung.

Durch ein gut konzipierter Penetrationstest wird geprüft, ob die getesteten Produkte und Sicherheitskontrollen gemäß aktuellen Sicherheitsstandards konfiguriert wurden.
Weiters liefert der Test Informationen, ob es zum Zeitpunkt der Durchführung des Pentests öffentlich bekannten Schwachstellen in den getesteten Komponenten gibt.

WAS SIND DIE VORTEILE EINES PENTESTS?

Der Pentest ist der effizienteste Weg das Sicherheitsniveau von Systemen oder Anwendungen einzuschätzen. 

Die regelmäßige Durführung von Pentests ermöglicht eine erhebliche Risikominderung von unerwünschten Ereignissen wie Datendiebstahl, Datenverlust und Verletzung privaten Daten, die mit hohen fiskalischen Kosten und dem Verlust der Vertrauenswürdigkeit des Unternehmens einhergehen.

Nach der Durchführung des Pentests erhalten Sie eine Risikoeinstufung der indentifizirten Software- und Hardware-Schwachstellen. Neben der Schwachstellenidentifizierung und Risikoeinstufung bieten wir unseren Kunden Lösungsansätze für die Behebung der Schwachstellen.

Wir bieten unseren Kunden einen marktführenden Service in offensiver Sicherheit und eine engmaschige Beratung durch den Prozess. 

UNSERE PENTEST DIENSTLEISTUNGEN

WEB PENTEST

Web Anwendung, Web Service und Web Sockets

Webanwendungen sind ein integraler Bestandteil der heutigen Zeit. Unabhängig davon, ob es sich um selbstentwickelte oder SaaS-Anwendungen handelt, Sicherheitslücken können vorhanden sein und ernsthafte Sicherheitsrisiken darstellen. Angreifer könnten die komplette Anwendung übernehmen oder einfach Daten stehlen. Wir prüfen diese Anwendungen sorgfältig mit Hilfe des OWASP-Frameworks, um diese Risiken zu mindern.

MOBILE APP PENTEST

iOS und Anroid Anwendungen

Die zunehmende mobile Nutzung hat mobile Anwendungen in den Vordergrund gerückt, die eine weitere Angriffsfläche für Hacker bieten. Diese Anwendungen könnten gesicherte Systeme eröffnen, wenn sie nicht gründlich getestet werden. Die clientseitig implementierten Sicherheitsmechanismen können von einem Angreifer umgangen werden und die unsicher gespeicherten Daten können kompromittiert werden.

NETWORK PENTEST

Externe und interne Netzwerke
 
Der Betrieb großer Unternehmensnetzwerke ist immer eine Herausforderung. Zu viele offene Ports, eine vergessene Anwendung, eine Software, die seit Jahren nicht mehr aktualisiert wurde, ist eine leichte Beute für Hackers. In unseren Tests greifen wir das Netzwerk aus der Perspektive eines externen/internen Angreifers an.
 
 

IOT UND EMBEDDED PENTEST

Smart devices und Internet-of-Things

 

Dank des raschen Aufkommens intelligenter Geräte sind sie auch im Unternehmensumfeld entstanden. Eine intelligente Kamera, ein Schloss, ein Drucker oder ein Mikrofon kann jedoch eine Lücke im Unternehmensnetzwerk öffnen, wenn die Sicherheit nicht richtig gewährleistet ist.

METHODOLOGIE

Bei Pentest verwendet AXEN Cyber die folgenden Testphasen:

Sammlung von Informationen
Für einen erfolgreichen Angriff ist es wichtig, dass der Tester über genügend Informationen verfügt. Um sich auf den Angriff vorzubereiten, bildet er das Zielsystem ab und definiert den Angriffsvektor.

Scannen
Wenn der Angreifer genügend Informationen gesammelt hat, beginnt er mit dem Scannen, um die verwendeten Technologien und Versionsnummern zu erfassen. Während des Scans erhält der Tester weitere Informationen über die Anwendung / das System / das Netzwerk, die verwendeten Dienste, Konfigurationsfehler. Der Tester, der im Besitz der Versionsnummern ist, sucht nach bekannten Schwachstellen, die zum Starten von Angriffen genutzt werden könnten.

Ausnutzung
Unter Verwendung von Informationen, die aus früheren Arbeitsabläufen gewonnen wurden, entwickelt und führt der Tester einen oder mehrere Angriffe aus.

Dokumentation
Wenn der Tester den Angriff erfolgreich abgeschlossen hat, dokumentieren Sie ihn ausführlich. Es ist eine große hilfe für das Entwicklungsteam, da sie die Angriffsszenarien reproduzieren kann. Eine ausführliche Dokumentation und ein Reparaturleitfaden helfen Sie die Schwachstellen zu beheben und sie in Zukunft zu vermeiden.

Cleaning
Nach Abschluss des Auftrags und einer ausführlichen Dokumentation entfernt der Tester alle Codes, Werkzeuge und anderen Geräte, die bei dem Angriff verwendet wurden, so dass sie später bei einem weiteren Angriff nicht mehr verwendet werden können.

  • WEB ANWENDUNGEN
  • MOBILE ANWENDUNGEN
  • NETZWERK
  • CLOUD
  • IOT
  • INDUSTRIE 4.0
  • BSI Guide
  • OWASP Guide
  • OWASP Top 10
  • SANS Top 25
  • MITRE ATTACK

 

Der Angreifer hat keine Vorkenntnisse über das System. Er simuliert einen echten Hackerangriff, einschließlich der Informationssammlung.

Der Tester hat einige Vorkenntnisse über das System, wie IP-Adressen und verwendete Technologien und Zugangsdaten.

Der Tester hat sämtliche Kenntnisse über das Zielsystem einschließlich Quellcodes und Admin Zugriff.

DER PENTEST BERICHT

Unser ausführlicher Bericht enthält Folgendes:

  • Alle aufgedeckten Sicherheitsprobleme
  • Eine Bewertung durch das Testteam hinsichtlich des Risikoniveaus, dem die Organisation oder das System bei jeder Schwachstelle ausgesetzt ist.
  • Eine Methode zur Lösung des gefundenen Probleme.
  • Verbesserungsvorschläge zur Sicherheitspatch-Verwaltung.
  • Beratung zur Verbesserung Ihres internen Schwachstellenbewertungsprozesses.

Bei einer Nachbesprechung gehen wir gemeinsam die Ergebnisse durch und Ihre Fragen werden beantwortet.

RISIKOEINSTUFUNG

Bei der Bewertung von Schwachstellen ist es üblich, dass Penetrationstester das Common Vulnerability Scoring System verwenden, das versucht, eine numerische Bewertung zu geben, die den Schweregrad einer Schwachstelle angibt.

Um diese Bewertung zu vereinfachen, werden in unseren Berichten die Risikostufung KRITISCH, HOCH, MITTEL, NIEDRIG oder INFO in absteigender Reihenfolge des Risikogrades verwendet. Wenn der Kunde es wünscht, können zusätzlich Scoring-Systeme wie CVSS verwendet werden.