Penetrationstests

Penetrationstests

Penetrationstest - Wir finden die Schwachstellen finden in Ihren Systemen

Bei einem Penetrationstest überprüfen wir Ihre technischen sowie organisatorischen Sicherheitsmaßnahmen, wobei der Fokus klar auf den technischen Aspekten liegt.

In der Regel stellen Sie uns als Auftraggeber vorab definierte Zugangspunkte zu den zu testenden Systemen bereit. Penetrationstests können je nach Auftrag, Zielsetzung und Umfang der zu testenden Infrastruktur variieren. Manchmal soll nur ein bestimmtes exponiertes System getestet werden. Abhängig davon, in welcher Detailtiefe Sie uns beauftragen, werden wir identifizierte Schwachstellen dabei ausnutzen, um uns Zugriff zu weiteren Systemen zu verschaffen und somit den tatsächlichen Impact ermitteln.

Das Ergebnis gibt Gewissheit

Im Ergebnis haben Sie nach diesem Test Gewissheit, ob Ihre auf dem Papier beschriebenen Absicherungs- und Härtungskonzepte auch in der Realität greifen oder ob Sie noch Handlungsbedarf haben.

 

Penetrationstest Klassifizierung

Wir unterscheiden Penetrationstests in folgenden Klassifizierungen:

Informationsbasis

Durchführung

  1. ohne Vorwissen (Black-Box)
  2. mit teilweisem Vorwissen (Grey-Box)
  3. mit umfänglichem Vorwissen (White-Box)

Scope

Handelt es sich bei dem Penetrationstest um den Test

  1. einer Applikation
  2. eines Netzwerks
  3. eines physischen Zugangs

Aggresivität

Soll der Penetrationstest eher

  1.  aggressiv (damit ggf. zeitsparender)
  2. vorsichtig
  3. passiv
  4. oder abwägend

durchgeführt werden?

Umfang

Soll der Penetrationstest vollständig, durch Faktoren wie Budget begrenzt erfolgen oder sich auf bestimmte Schwachstellen fokussieren.

Vorgehensweise

Soll bei der Durchführung des Penetrationstests offensichtlich (umfangreiche Log-Einträge stellen hier kein Problem dar, die Verteidiger sind eingeweiht) oder verdeckt vorgegangen werden?

Ausgangspunkt

Soll der Test von außerhalb, aus der DMZ oder von innen durchgeführt werden? Wird ein gesondertes Testnetzwerk zur Verfügung gestellt?

Techniken

Welche Techniken sollen bei der Durchführung des Penetrationstests eingesetzt werden? Sind Social Engineering oder physischer Zugang im Scope mitenthalten?

Besonders bei Penetrationstests von Applikationen spielen diese Techniken keine Rolle. In der Regel fokussieren wir uns bei Penetrationstests auf den Netzwerkzugang. Physischer Zugang und Social Engineering werden insbesondere bei unseren Attack Simulationen eingesetzt.

Die hier beschriebenen Klassifizierungen unterstützen bei der zielgerichteten Ausarbeitung eines Angebotes und der planmäßigen Durchführung des Penetrationstests, damit Sie Ihren nächsten Auftrag zielgerichtet erteilen können.

Wenden Sie sich gerne an uns, wenn Sie sich unsicher sind, welche Ausprägung die für Sie Richtige ist.

Unsere PenTest- Spezialisierungen​

Penetrationstests erfordern Spezialwissen. Es gibt nicht die eine Art von PenTest. Jede Art von Penetrationstest erfordert gesonderte Expertise.

Mit unserem Expertenwissen für ActiveDirectory-Umgebungen spüren wir gefährliche Fehlkonfigurationen und Designfehler auf. Wir zeigen Ihnen, wie Angreifer mit Zugriff auf ein internes Netzwerk sich durch Manipulation und Ausnutzen von ActiveDirectory-Schwachstellen bis auf Ihren Domaincontroller vorarbeiten können, damit diese Schwachstellen beseitigt werden können, bevor sie von Angreifern ausgenutzt werden.

Web-Anwendungen können ein Einfallstor in Ihre DMZ darstellen. Wir finden Schwachstellen und wenden dabei nicht nur die OWASP TOP 10 an, sondern schauen auch über den Tellerrand.

APIs sind heutzutage fast überall zu finden – sei es bei Web-Anwendungen oder auch im Zusammenspiel mit Applikationen auf dem Smartphone. Das Testen von APIs erfordert besondere Spezialkenntnisse, welche unsere Hacker liefern können.

Klassische Desktop- und Server-Anwendungen, ob in Java, Go oder .NET geschrieben – wir analysieren und testen Ihre Anwendungen auf Herz und Nieren, damit weder Sie noch Ihre Kunden einer Gefahr ausgesetzt werden.

Ob Kubernetes, LXC oder Docker – Ob AWS, GoogleCloud oder Azure. Wir testen Ihre Cloud-Umgebungen, ihre Container-Lösungen und Orchestrierungen auf Schwachstellen. Mit unserem Spezialwissen für die Cloud und unserer Expertise im Härten von Containern Anwendungen in der Cloud unterstützen wir Sie beim sicheren Betrieb.

Die Welt ist vernetzt – und damit gehen Sicherheitsrisiken einher. Wir untersuchen Netzwerk-Infrastrukturen auf Schwachstellen. Könnten Angreifer aus Ihrer DMZ ausbrechen? Gibt es Schwachstellen in der Netztrennung? Wir finden die Einfallstore!

IoT-Geräte und deren Anwendungen bedürfen einer besonderen Härtung, um keine Gefahr darzustellen. Die Versorgung mit Updates ist häufig lückenhaft – die Geräte dürfen auch nach langer Zeit ohne Updates kein Sicherheitsrisiko darstellen.

Sicherer Zugang auf Ihre Systeme

image

Da wir um die hohe Sensitivität beim Zugriff auf Ihre Systeme wissen, haben wir hochsichere Lösungen entwickelt, um während der Penetrationstests auf Ihre Systeme zuzugreifen, ohne dabei zusätzliche Türen für Angreifer zu öffnen. Wir beraten Sie hierzu gerne und finden gemeinsam mit Ihnen eine Lösung. Wir halten uns außerdem an die Empfehlungen des BSI.

Warum Laokoon SecurITy?

Unsere Mitarbeiter haben jahrelange Erfahrung im Bereich Penetrationstests. Durch unsere Erfahrung in den Bereichen Penetrationstests und Incident Response kennen wir die typischen Fallen, die im Bereich der Härtung von IT-Systemen herrschen. Trotzdem prüfen wir mit einem umfassenden Blick all Ihre Systeme.

 

  • Umfangreiche Erfahrung im Umfeld der offensiven Sicherheit
  • Breites Erfahrungswissen im Team
  • Wir dokumentieren die gefundenen Schwachstellen sauber und zeigen pragmatische Lösungswege auf.

    Kontaktformular

    Nehmen Sie gerne mit uns Kontakt auf

    Wir beantworten Ihre Rückfragen gerne und erstellen Ihnen jederzeit ein individuell auf Sie zugeschnittenes Angebot.

    So erreichen Sie uns

    Weitere Dienstleistungen, die wir anbieten

    Cyber Security Assessment (CSA)

    Automatisierte, regelmäßige Schwachstellenanalysen mit einer qualifizierten Aussage zum Status-Quo ergeben im Zusammenspiel mit dem Patch-Management

    Mehr Informationen

    Cloud & IaaS

    Cloud und Infrastructer-as-a-Service, ebenso wie Infrastructure-as-Code, erleichtern die Skalierung. Sie implizieren jedoch keine Sicherheit.

    Mehr Informationen

    ActiveDirectory

    Das ActiveDirectory Ihres Unternehmen beherbergt die Kronjuwelen und ist Ziel Nummer 1 für Hacker, die

    Mehr Informationen

    Follow us:

    Linkedin Twitter Github

    Copyright @2023 Laokoon-SecurITy. All Rights Reserved.

    WordPress Cookie Hinweis von Real Cookie Banner