Penetrationstests

Penetrationstests sind fortgeschrittene Sicherheitsaudits, deren Ziel es ist, Schwachstellen im gesamten IT-Ökosystem eines Unternehmens zu erkennen und zu bewerten – von der Netzwerkinfrastruktur über Web- und Mobilanwendungen bis hin zu Cloud-Lösungen. Diese Maßnahmen identifizieren nicht nur Schwachstellen, sondern simulieren auch realistische Angriffsszenarien, darunter Social-Engineering-Angriffe oder Zero-Day-Exploits, wodurch die Wirksamkeit der Abwehrmechanismen überprüft werden kann. Auf diese Weise kann das Unternehmen seine Fähigkeit zur Erkennung und Reaktion auf Vorfälle sowie zur Minimierung potenzieller Geschäftsverluste bewerten.

 

Bei den Tests verwenden wir einen hybriden Ansatz, der modernste Scan-Tools (u. a. Nessus, Burp Suite, Metasploit) mit einer Expertenanalyse durch zertifizierte OSCP-Spezialisten kombiniert. Unsere Lösungen basieren sowohl auf öffentlichen Schwachstellen-Datenbanken wie CVE MITRE als auch auf proprietären Wissensdatenbanken, die durch die Überwachung des Darknets und von Hackerforen ständig aktualisiert werden. Auf diese Weise können selbst die neuesten Bedrohungen erkannt werden, die für die Branche des Kunden charakteristisch sind – darunter der Finanzsektor, das Gesundheitswesen oder der E-Commerce.

 

Der Testprozess wird unter strikter Einhaltung internationaler Standards durchgeführt, darunter:

  •  PTES (Penetration Testing Execution Standard) – gewährleistet die Konsistenz der Phasen von der Erkennung bis zur Berichterstattung
  •  OWASP Testing Guide – entscheidend für das Testen von Anwendungen im Hinblick auf die TOP 10 der OWASP-Bedrohungen
  •  ISO/IEC 27001, PN-ISO/IEC 17799 und ISO/IEC TR 13335, die die Einhaltung der gesetzlichen Anforderungen und der besten Praktiken im Risikomanagement gewährleisten.

Penetrationstests umfassen je nach Bedarf folgende Tests:

siec_lan

1.

LAN-Netzwerke
wifi

2.

Drahtlose Netzwerke (WiFi)
endpoint

3.

Endgeräte (Server, Computer, Laptops)
internet_of_things

4.

Internetdienste und -anwendungen
maszyny_i_urzadzenia_produkcyjne

5.

E-commerce
aplikacje_mobilne

6.

Resistenz gegen DoS-Angriffe

7.

TLTP-Penetrationstests
strony_www

8.

Mobile Anwendungen

9.

Wiederherstellung von Passwörtern aus Dateien

Das Ergebnis der Tests ist ein Bericht mit identifizierten Bereichen, in denen die Sicherheit verbessert werden kann. Alle gefundenen Schwachstellen werden nach Risiko und Priorität (Common Vulnerability Scoring System – CVSS) gruppiert und mit den gängigsten Standards (OVAL, CVE) gekennzeichnet.
Der Bericht enthält auch eine Liste der Garantieanträge an die aktuellen Lieferanten, sofern solche identifiziert werden.

 

CyberClue bietet auch Unterstützung bei der Umsetzung aller notwendigen Empfehlungen an.