Penetrationstest

Externer Penetrationstest / Interner Penetrationstest / Penetrationstest von Applikationen / Security-Expertise / Social Engineering

In einem externen Penetration Test analysieren wir die im Internet exponierte Infrastruktur und suchen nach Schlupflöchern. Üblicherweise prüfen wir als erstes die Systeme und Dienste mit automatisierten Tools. Danach wird die Analyse mit manuellen Tests verfeinert. Die Befunde werden verifiziert und allenfalls ausgenutzt, um die effektiven Risiken zu quantifizieren.

Typische Aktivitäten bei externen Penetration Tests:

• Identifikation von Systemen und Diensten
• Identifikation von virtuellen Hosts mittels Namen
• Schwachstellenanalyse und Plausibilisierung
• Ausnutzung der entdeckten Schwachstellen
• Angriffe von „infizierten“ Systemen auf benachbarte Dienste ausweiten (pivoting)

Ein unerlaubter Zugriff auf Ihr Netzwerk kann auch durch Schadcodes, frustrierte Mitarbeitende oder durch angebundene Partner erfolgen. Deshalb besuchen wir Sie bei einem internen Sicherheitstest vor Ort und simulieren einen Angriff aus interner Sicht. Wir analysieren die interne Infrastruktur und suchen nach möglichen Angriffsvektoren. Wir nutzen dabei die Erkenntnisse, um zusätzliche Privilegien im Netz zu erlangen, kritische Systeme zu kompromittieren und Zugriff auf sensible Daten zu erhalten.

Typische Aktivitäten bei internen Penetrationstest:

• Schwachstellenanalyse
• Ausnutzung der entdeckten Schwachstellen
• Privilegien eskalieren (auf dem Computer und innerhalb der Domäne)
• Suche nach Passwörtern und Schlüsselmaterial (Dateien, Konfiguration, Software, Repositorien, Firmen-Wiki)
• Überprüfen der internen Netzwerktrennung
• Identifizierung und Ausnutzung von Active Directory Fehlkonfigurationen (Bloodhoud, Pingcastle, etc.)
• Angriffe mittels Windows-Netzwerk Mechanismen (NTLM Relay, Pass-the-Hash, Kerberoasting, Delegation, etc.)

In einem Application Pentest analysieren wir die gesamte Anwendung und suchen nach logischen und technischen Schwachstellen.

Die Sicherheitschecks sind sowohl auf die Anwendungsart und als auch auf die eingesetzten Technologien zugeschnitten. Dabei halten wir uns an bewährte Standards wie die OWASP Top 10 oder den OWASP ASVS. Wir ergänzen diese um technologiespezifische und aktuellste Erkenntisse, um die Gesamtsicherheit der Anwendung beurteilen zu können.

Unsere hohen Prüfstandards werden auf Desktop- und mobile Applikationen angewendet, und zwar unabhängig davon, ob sie auf Web-Technologien oder nativen Frameworks basieren.

Anwendungsarten:

• Webanwendungen, Webservices und RESTful APIs
• Mobile Apps (Android & iOS)
• Client / Server-Anwendung (Fat Client)

Unsere Spezialisten decken ein breites Spektrum an Technologien ab. Wir können sehr spezifische Anforderungen erfüllen und zudem auch zu Themen wie spezielle Cloud-Umgebungen, IoT-Technologien oder proprietären Hardware-Expertise liefern.

Um das Sicherheitsbewusstsein Ihrer Mitarbeitenden zu steigern, führen wir Social-Engineering-Angriffe nach dem Muster von aktuellen Betrugsmaschen durch. Sowohl E-Mail basierte Phishing-Kampagnen als auch Vishing per Telefon oder physisches Social Engineering (wir versuchen Ihre Anlagen zu betreten und Zugang zu den kritischen Zonen zu erhalten) gehören zu unserem Repertoire. Für die kontinuierliche und nachhaltige Weiterbildung Ihres Personals bieten wir ferner Phishing-Abonnemente sowie Live-Hacking-Präsentationen und Sensibilisierungsschulungen an.

Gerne geben wir Ihnen persönlich Auskunft: Ihre Ansprechpartner