Halten Sie Ihr Unternehmen sicher mit unserem Penetration Testing
Erhalten Sie massgeschneiderte Pen-Tests und Beratung zur Optimierung Ihrer Sicherheit.
Einmalige Pen-Tests und PtaaS bei CYBEROPEX
Penetration Testing (kurz: Pen Testing) dient zur Aufdeckung von Sicherheitslücken in der IT. Als Experten für Cyber-Security führen wir von CYBEROPEX Penetration-Tests für Unternehmen durch und zeigen dabei auf, wie widerstandsfähig Ihre Web-Applikationen, Netzwerk- und Serverstrukturen sowie sonstige IT im Falle eines Hacker-Angriffs sind.
Im Anschluss an unsere Penetration-Tests händigen wir Ihnen ausführliche Reports aus, aus denen Sie Massnahmen zur Optimierung Ihrer IT-Sicherheit ableiten können. Gern unterstützen auch wir Sie mit unseren Consulting Services bei der Herstellung eines höheren IT-Schutzes im Anschluss an den Penetration-Test.
Was ist Pen-Testing? Was ist Pentest-as-a-Service (PtaaS)?
Unter Penetration-Testing versteht man eine Dienstleistung von Security-Spezialisten, die der Identifikation und Bewertung von Schwachstellen der IT-Sicherheit dient. Die Pen-Tester informieren sich über das Unternehmen, dessen Security-Niveau sie testen sollen. Daraufhin versetzen sie sich in die Rolle eines Cyber-Kriminellen hinein und suchen im Rahmen der Penetration-Tests nach Schwachstellen (Fachjargon: Vulnerabilities) in der IT des Unternehmens.
Mehr lesen
Neben einzelnen Pen-Tests, die Security-Teams als einmaliges Projekt durchführen, gibt es die Option zu regelmässigen Tests. Falls Kunden einen kontinuierlichen Service mit immer wiederkehrenden Tests wünschen, ist Pentest-as-a-Service (PtaaS) eine Option. Beim durchgehenden PtaaS profitieren Unternehmen davon, dass neue Security-Vulnerabilities (Sicherheitsschwachstellen) zügig erkannt und behoben werden können. So werden Security Threats (Sicherheitsbedrohungen) bereits im Keim erstickt.
Unabhängig davon, ob Sie sich als Kunde für ein einmaliges Pen-Testing oder für Pentesting-as-a-Service (PtaaS) entscheiden, erhalten Sie nach Abschluss der Tests umfassende Reports ausgehändigt. Diese Reports enthalten eine Zusammenfassung der Befunde; d. h. der Security-Vulnerabilities inkl. einer Kategorisierung des Risikos. Zudem entnehmen Sie den Reports Massnahmenempfehlungen zur Behebung der Sicherheitslücken.
Vorteile von Penetration-Testing bei CYBEROPEX
Das Penetration-Testing bei CYBEROPEX erfolgt unter Anwendung modernster Angriffstechniken. Unser Know-How sowie unsere Erfahrung bilden das Fundament, auf dem ein Penetration-Test mit einem überdurchschnittlichen Erkenntnisreichtum entsteht.
Zudem richten wir uns bei den Tests nach offiziell anerkannten Ansätzen, wie beispielsweise OSSTMM und PTES.
Vorteile vom Pen-Testing und Pentest-as-a-Service (PtaaS) auf einen Blick
Testen
Penetrationstests nach modernen Standards
Kontakt
Kontakt mit unseren Experten und laufende Beratung während des gesamten Pentesting-Prozesses
Anpassungen
Individuelle Anpassung von Umfang und Ablauf des Pentest an die Bedürfnisse Ihres Unternehmens
Berichte
Detaillierte Berichte über die Ergebnisse und Sicherheitslücken, die bei den Penetrationstests festgestellt wurden
Empfehlungen
Empfehlungen für Massnahmen zur Beseitigung der Sicherheitslücken
Wahlmöglichkeit
Wahlmöglichkeit zwischen einmaligen Pen-Tests und Pentest-as-a-Service (PtaaS)
- Information
- Penetration Testing
- Vorgehen
Informationen einholen vor den Pen-Test-Services
Einer der grossen Vorteile bei unseren Security- und Development-Teams ist die grosse Hingabe und Detailverliebtheit! Als Experten für Cyber-Security beschäftigen wir uns täglich detailliert mit der Entwicklung, Pflege und Optimierung der IT-Sicherheit. Dies schliesst sowohl die IT-Sicherheit in unserem Unternehmen als auch die IT-Sicherheit bei unseren Kunden ein. Aufgrund von Kunden aus den verschiedensten Branchen sind unsere Security-Teams geübt darin, sich in verschiedenste IT-Strukturen und Geschäftsprozesse einzuarbeiten.
Durch den umfassenden Einblick in Ihr Unternehmen und durch unser technisches Know-How ist es uns möglich, eine ähnliche Sichtweise wie Cyber-Kriminelle zu entwickeln und beim Penetration-Testing die IT-Security Ihres Unternehmens auf eine umfangreiche Probe zu stellen. Wir sind dadurch imstande, im Rahmen unserer Penetration-Testing-Services die schwächsten Glieder der IT-Sicherheit zuverlässig zu identifizieren und Sicherheitsvorkehrungen zu umgehen.
Unser Pen-Testing basiert auf einem hybriden Modell mit automatisierten sowie manuellen Testmethoden. Dank dieses vielschichtigen Modells stellen wir sicher, dass wir alle Security-Gaps (Sicherheitslücken) aufspüren und Sie diese im Rahmen eines Vulnerability-Management-Programs (Schwachstellen-Management-Programms) zuverlässig eliminieren können.
Im Anschluss an die Aufdeckung der Security Gaps widmen wir uns im Rahmen eines laufenden PtaaS stetig der Untersuchung neuer Sicherheitslücken. Letztlich bietet Ihnen jeder Penetration-Test durch unsere Arbeit als Security-Professionals ein enormes Erkenntnisreichtum.
Verschiedene Arten im Überblick
Es gibt mehrere Möglichkeiten, Penetration-Testing-Services zu differenzieren. Eine Möglichkeit besteht in der Unterteilung in verschiedene Angriffsszenarien:
Blackbox: Dieses Szenario dient dazu, das Computer-System eines nicht authentifizierten Angreifers nachzuahmen, der die Parameter-Sicherheit durchbrochen hat und auf eine Web-Application (Webanwendung) zugreift. Dieses Szenario im Pen-Testing ist ein wesentlicher Bestandteil des Fachbereiches der „Web-Application-Security“.
Graybox: Bei diesem Pen-Test-Szenario wird der Angriff eines authentifizierten Angreifers – dieser verfügt über Informationen aus der IT-Infrastruktur – simuliert, der die Parameter-Sicherheit überwunden hat.
Targeted Test: Dieses Szenario umfasst alle Arten von Pentests, die ein spezielles Ziel haben. Beispielsweise kann es sich hierbei um die Nachahmung von Ransomware-Attacken handeln, bei denen Schadsoftware den Zugriff auf Daten und Systeme einschränkt.
Neben der Differenzierung in verschiedene Arten von Angriffsszenarien ist eine Unterteilung in verschiedene Bereiche der IT-Security möglich. Beispiele für IT-Sicherheitsbereiche sind die bereits erwähnte Web-Application sowie die Mobile Application (Mobilanwendungen). Im Folgenden drei Beispiele für Pentest-Services aus drei Sicherheitsbereichen.
Netzwerk- und Server-Infrastruktur: Wie gut halten Ihr Netzwerk, Ihre IT-Infrastruktur, Ihre Cloud sowie deren Umgebung und Ihre Server den Angriffen von Hackern stand? Gezieltes Cloud-Pen-Testing deckt beispielsweise Vulnerabilities der Cloud-Security auf.
Kabellose Netzwerke: Vom WiFi bis hin zu individuellen kabellosen Netzwerken prüfen wir in der Rolle des Pen-Testers die Schwachstellen und versuchen, diese auszunutzen. Durch die Ergebnisse aus Reports erfahren Sie, wie die Schwachstellen zu beseitigen sind.
Thick-Client: Durch unseren Service in diesem Security-Bereich erlangen Sie eine Sicherheitsbewertung für Anwendungen, bei der von der Client- bis zur Server-Seite alle potenziellen Vulnerabilities detailliert überprüft werden.
Neben dem klassischen Pen-Test, bei dem Sicherheitslücken gesucht werden, gibt es die Option, einen umfangreichen Angriff auf Ihre IT simulieren zu lassen. Dieser Angriff entspricht einem absoluten Härtetest im Penetration-Testing.
Penetration-Testing mit Angriffssimulationen erfordert eine gründliche Vorbereitung. Bei der Zusammenarbeit mit uns profitieren Sie davon, dass wir im Vorfeld eines simulierten Angriffs die Konditionen des Tests so festlegen, dass es zu keinen Schäden und Systemausfällen kommt. Sie profitieren bei uns somit von der Chance auf absolute Härtetests, ohne dabei die Daten, Applikationen und technischen Infrastrukturen in Ihrem Unternehmen zu gefährden.
Unser Vorgehen
- Kontaktaufnahme und Beratung: Nachdem Sie zu uns Kontakt aufgenommen haben, erörtern wir gemeinsam mit Ihnen, welchen Umfang und welche Arten von Services im Penetration-Testing Sie wünschen bzw. benötigen.
- Zusammenstellung eines individuellen Service-Pakets: Je nachdem, ob Sie ein einmaliges Pentest-Projekt wünschen oder unseren durchgehenden Pentest-as-a-Service (PtaaS) in Anspruch nehmen möchten, schnüren wir unser individuelles Service-Paket. Die Zusammenstellung unseres Service-Pakets umfasst auch die Frage, welche Reporting-Options (Reporting-Optionen) Sie wählen und wie umfassend unser Abschlussbericht nach dem Pentration-Testing ausfallen soll.
- Kennenlernen Ihres Unternehmens: Wir lernen Ihr Unternehmen kennen, denn nur so ist es uns möglich, uns in Ihr Unternehmen hineinzuversetzen und die Denkweise eines Hackers bestmöglich einzunehmen.
- Aktive und passive Aufklärung: Nun sammeln wir – wie die Hacker selbst – Informationen über das Target-System (Ziel-System) und identifizieren die einzelnen Komponenten, wie u. a. die Betriebssysteme und Software. Beispiele für Elemente, die uns in der Rolle des Pen-Testers die Durchführung eines Angriffs erleichtern, sind die DNS-Investigation und die Open Domain Search.
- Identifikation der Vulnerabilities: Wir identifizieren im nächsten Schritt die Schwachstellen, um die sogenannten Attack-Vectors (Angriffsvektoren) auszumachen. Über diese Vektoren ist es uns möglich, einen Weg zum Angriff auf das System zu finden. Wir nutzen sowohl automatisierte Schwachstellen-Scanner als auch manuelle Methoden, um die Vulnerabilites zu identifizieren. Beispiele für Schwachstellen sind Buffer Overflow und ARP Spoofing.
- Ausbeutung der Vulnerabilities: Im letzten Schritt bemühen wir uns im Pen-Testing-Process darum, über automatisierte und manuelle Verfahren einen Zugriff auf das Target-System zu gewinnen. Dies ist auch die Vorgehensweise von Hackern, die mit dem Zugriff die digitalen Assets von Unternehmen manipulieren oder schädigen können.
- Reporting: Falls Sie bei uns ein einmaliges Pen-Testing gebucht haben, kriegen Sie einen abschliessenden Report ausgehändigt. Bei einem dauerhaften und regelmässigen Pentest-as-a-Service (PtaaS) erhalten Sie zwischendurch immer wieder Reports, um permanent die höchstmögliche Security-Posture (Sicherheitslage) zu gewährleisten. Der Umfang unserer Reports hängt davon ab, welche Reporting-Options Sie wählen. In jedem Fall erhalten Sie eine Übersicht über die Vulnerabilites in Ihren Systemen. Zudem geben wir Vorschläge dazu, wie Sie in den betreffenden Bereichen Ihres Unternehmens (Cloud Environment, Applications, etc.) eine adäquate Sicherheitslage herstellen können.
Cyber-Kriminelle entwickeln sich stetig weiter. Mittlerweile machen sie sogar Gebrauch von Künstlicher Intelligenz, um die Vulnerabilities von Unternehmen schneller zu identifizieren und effektiver auszubeuten. Sichern Sie sich mit CYBEROPEX einen Experten für einmalige Pentests und Penetration-Testing-as-a-Service!
Wir schnüren ein individuelles Leistungspaket für Sie und beraten Sie nach dem Penetration-Testing bezüglich der adäquaten Massnahmen zur Beseitigung der Sicherheitslücken und zur Herstellung des bestmöglichen Security-Programs.
Wir sind hier um Ihr Unternehmen zu unterstützen