Use #consozial2023 #kongressmesse

25. - 26. Oktober 2023 // Nürnberg, Germany

Druckansicht einstellen

Welche Informationen sollen in der Druckansicht angezeigt werden?

Druckansicht erstellen
Ausstellende & Produkte ConSozial 2023
teilen Auswahl merken Auswahl drucken
Bild vergrößern LOGO_Penetration Testing

Penetration Testing

LOGO_Penetration Testing

Penetration Testing

Infos anfordern Infos anfordern

Kontaktieren Sie uns

Bitte geben Sie Ihre persönlichen Informationen und Ihren Terminwunsch an. Gerne können Sie uns auch eine Nachricht hinterlassen.

Ihre persönlichen Informationen

Ihre Nachricht an uns

Ihr Terminwunsch während der Messe

* Pflichtfelder, die von Ihnen eingegeben werden müssen.

Hinweise zum Datenschutz finden Sie hier.

Senden
Ihre Nachricht wurde erfolgreich versendet.

Sie haben noch keine Anmeldedaten? Registrieren Sie sich jetzt und nutzen Sie alle Vorteile der Aussteller- und Produktdatenbank und des Rahmenprogramms.

Es ist ein Fehler aufgetreten.

Standort anzeigen

Was ist das?

Pen Tests sind organisierte Angriffe auf die IT-Infrastruktur eines Unternehmens, um Sicherheitslücken innerhalb von Systemen zu finden und zu lösen. Dafür nutzen Cyberexperten, auch ethische Hacker genannt, ihre Fähigkeiten, unter Beauftragung des Unternehmens, und versuchen Schwachstellen eines Unternehmens zu finden und sicher auszunutzen.

Vergleichbar wäre es, wenn eine Bank jemanden beauftragt sich als Einbrecher zu verkleiden und zu versuchen in ihr Gebäude einzudringen, um sich Zugang zu den Wertgegenständen zu verschaffen. Gelingt es dem vermeintlichen Einbrecher einzudringen, so erhält die Bank wertvolle Informationen über ihre Sicherheitslücken, und wo sie ihre Maßnahmen verschärfen muss.

Wer führt die Penetration Tests durch?

Idealerweise kommen hierfür Personen in Betracht, die keine oder nur geringe Vorkenntnisse über die interne Sicherheit des Netzes haben, da dadurch die Möglichkeit besteht blinde Flecken aufzudecken, die von den internen Administratoren übersehen wurden. Deshalb werden in der Regel externe Unternehmen mit der Durchführung dieser Tests beauftragt.

Arten von Pen Tests:

  • Externer Pentest: Hierbei wird die nach außen hin gerichteter Technologie des Unternehmens angegriffen, beispielsweise die Website, Mailserver und externe Netzwerkserver. Dies kann vom Firmengelände aus durchgeführt werden oder einem entfernteren Standort

  • Interner Pentest: Dabei werden die Angriffe vom internen Netzwerk eines Unternehmens durchgeführt, beispielsweise die Entwicklungsumgebung, interne Netzwerkserver und Fileshares. Dies ist nützlich, um den potentiellen Schaden einschätzen zu können, den ein Mitarbeiter hinter der Firewall anrichten könnte, oder ein Hacker der sich bereits im internen Netzwerk befindet.

  • Black-Box-Tests: Diese sind auch bekannt als „Closed-Box-Pentests“. Dafür werden dem Angreifer außer dem Namen, der Adresse des Zielunternehmens und dem Scope keine zusätzlichen Informationen gegeben.

  • White-Box-Tests: Auch bekannt als „Open-Box-Pentests“. Hierbei werden dem Angreifer bereits im Vorfeld Informationen über die Sicherheitsinfrastruktur des Unternehmens mitgeteilt.

Pentest Methodologie

Penetrationstests können in die folgenden 7 Schritte unterteilt werden:

  • Vorbereitende Maßnahmen
  • Sammeln von Informationen
  • Modellierung der Bedrohung
  • Schwachstellenanalyse
  • Exploitation
  • Post-Exploitation
  • Berichterstattung

Vorbereitende Maßnahmen

Hierbei wird zunächst zusammen mit dem Kunden ein gemeinsames Verständnis über den Auftrag und die Vereinbarung der Ziele hergestellt. Dazu gehören unter anderem der Umfang der Tests, Zeit- und Budgeteinschätzungen, Kommunikationskanäle und die Auftragsregeln, an die sich die G&R Cybersecurity zu halten hat. Zu diesem Zeitpunkt werden alle Tools, Betriebssysteme und Software, die für die Durchführung der Tests benötigt wird, bereitgestellt. Diese Auswahl hängt von der Art und Tiefe des Auftrags ab, den der Kunde gewählt hat.

Sammeln von Informationen

Die Informationsbeschaffung (auch OSINT genannt) ist die erste Phase des Einsatzes. Hierbei werden Aufklärungsmaßnahmen gegen das Ziel durchgeführt, um einen effektiven Angriffsplan zu erstellen. Es werden alle relevanten Informationen gesammelt über das Unternehmen und seine Mitarbeiter, welche uns helfen könnten Zugang zu Systemen zu erhalten. Dabei werden automatisierte und manuelle Analysen kombiniert, um zusätzliche Informationen zu erhalten zum Beispiel über den Standort, die Geschäftsbeziehungen, Ablaufpläne und Organisation.

Modellierung der Bedrohung

In dieser Phase werden aus den zuvor gesammelten Informationen verschiedene Angriffsvektoren ausgearbeitet, durch deren Analyse die G&R die Ziele im Unternehmen für eine Schwachstellenanalyse bewerten kann. Dabei werden stets nach möglichen Sicherheitslücken in Systemen, Designs und Richtlinien gesucht. Durch eine effektive Bedrohungs-Modellierung wird ein realistischer Angriff auf das Ziel simuliert.

Schwachstellenanalyse

Hierbei werden die Ergebnisse der zuvor aufgedeckten Lücken im System bewertet. Zunächst werden die Schwachstellen aus den Berichten der zuvor verwendeten Bewertungstools ermittelt. Danach werden diese nach ihrem Bedrohungsgrad individuell für das Unternehmen bewertet und nach ihrer Priorisierung genauer betrachtet. Mithilfe manueller Methoden werden Fehlalarme ausgeschlossen und ein Angriffsbaum erstellt.

Exploitation

Nachdem die Liste der Schwachstellen mit hohem Risiko erstellt wurde, werden nun echte Angriffe durchgeführt. Dabei verwendet die G&R verschiedene automatisierte Frameworks und Tools, die von Ihr selbst entwickelt wurden oder die als Open-Source verfügbar sind, um die Systeme zu kompromittieren. Das Hauptziel hierbei ist es unter Umgehung verschiedener Sicherheitsmechanismen Zugang zum Zielsystem oder der Zielressource zu erlangen, um den Zugriff, auf die in der ersten Phase vereinbarten Daten, Ziele, nachzuweisen.

Post Exploitation

Im Anschluss werden die Ergebnisse der vorherigen Phasen analysiert und der Wert des kompromittierten Systems bestimmt und die Wahrscheinlichkeit, dass es zu einer weiteren Kompromittierung des Netzwerkes führen kann. Der Wert des Systems wird anhand der Sensibilität der darauf gespeicherten Daten und der Auswirkungen, die ein solcher Verstoß auf ihr Unternehmen haben kann, bewertet. Es werden von der G&R alle sensiblen Daten, Konfigurationseinstellungen, Kommunikationskanäle und Beziehungen zu anderen Geräten, die genutzt werden können, um Zugang zum System zu erhalten, identifiziert und dokumentiert.

Berichterstattung

In dieser letzten Phase der Bewertung werden die Ergebnisse aller vorangegangenen Tests in eine für den Kunden verständliche Form gebracht. Hierbei werden die Sicherheitsmängel, die es einem Angreifer ermöglichen das System zu kompromittieren, sowie diverse Abhilfemethoden detailliert beschrieben. Dieser Bericht konzentriert sich auf die Auswirkungen für das Geschäft, während er die allgemeine Sicherheitslage, das Risikoprofil und die Empfehlungen zu den besten Praktiken für ihr Unternehmen darlegt. Die detaillierten technischen Aspekte der Tests werden ebenfalls dokumentiert, inklusive des Umfangs der Angriffsmethoden und der Auswirkungen, die ihrem IT-Team zur Verfügung gestellt werden können.

Weitere Produkte von

G&R Cybersecurity
LOGO_Cloud Security


Drucken
top

Der gewählte Eintrag wurde auf Ihre Merkliste gesetzt!

Wenn Sie sich registrieren, sichern Sie Ihre Merkliste dauerhaft und können alle Einträge selbst unterwegs via Laptop oder Tablett abrufen.

Hier registrieren Sie sich, um Daten der Aussteller- und Produkt-Plattform sowie des Rahmenprogramms dauerhaft zu speichern. Die Registrierung gilt nicht für den Ticket- und AusstellerShop.

Jetzt registrieren

Ihre Vorteile auf einen Blick

  • Vorteil Sichern Sie Ihre Merkliste dauerhaft. Nutzen Sie den sofortigen Zugriff auf gespeicherte Inhalte: egal wann und wo - inkl. Notizfunktion.
  • Vorteil Erhalten Sie auf Wunsch via Newsletter regelmäßig aktuelle Informationen zu neuen Ausstellenden und Produkten - abgestimmt auf Ihre Interessen.
  • Vorteil Rufen Sie Ihre Merkliste auch mobil ab: Einfach einloggen und jederzeit darauf zugreifen.