Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top
HomeBeratungIT-SicherheitPenetrationstest
Niklaus Manser
Head of IT Security Consulting
Anfrage

Penetrationstest - der sicherheitstechnische Belastungstest

Ein Penetrationstest (Penetration Test, Pentest, Sicherheitstest) ist eine technische und offensive Überprüfung der Sicherheit von IT-Systemen. Dabei können unterschiedliche IT-Komponenten im Fokus stehen:

  • Webapplikationen
  • APIs
  • Mobile Apps
  • Ganze Netzwerke

Das Vorgehen ist stets mit Ihnen abgestimmt und orientiert sich an Standards und Frameworks wie OWASP Web/Mobile Security Testing Guide und MITRE ATT&CK.

 

Ausführungen

Ein Pentest beginnt mit dem Festlegen von Scope und Rahmenbedingungen: Sie geben vor, welche Netzwerke, Hosts, Applikationen, Benutzerrollen, Funktionalitäten, etc. überprüft werden sollen und unter welchen Bedingungen. Dabei werden u.a. folgende Fragen geklärt:

  • Welche Überprüfungstätigkeiten sollen erlaubt sein?
  • Wie viele interne Informationen über die Systeme sollen im Vorfeld preisgegeben werden, d.h. soll es sich um einen White-, Grey- oder Blackbox-Pentest handeln?
  • Wann und wo (remote/vor Ort) sollen die Überprüfungen stattfinden?

Die Dauer eines Pentests hängt ab von Grösse und Komplexität der Umgebung sowie gewünschter Überprüfungstiefe. Bei Pentests kann eine Vielzahl von Techniken und Werkzeugen zum Einsatz kommen. Typische Aktivitäten beinhalten:

  • Die Identifikation von Hosts, Diensten, Endpunkten, etc.
  • Ausnutzung von Schwachstellen
  • Eskalation von Privilegien
  • Laterale Bewegung
  • Man-in-the-Middle-Angriffe
  • Sammeln und Verwenden von Authentifizierungsinformationen
  • Eingabe bösartigen Inputs
  • Umgehung von Authentifizierung und Autorisierung
  • Clientseitige Angriffe

Gewisse Aktivitäten können unerwünschte Nebeneffekte haben oder mit Risiken verbunden sein. Deshalb legen wir vorgängig mit Ihnen fest, welche Überprüfungen erlaubt sein sollen.

 

Ihr Mehrwert

Nach der Durchführung des Penetrationstests liefern wir Ihnen einen Bericht, der die identifizierten Verbesserungsmöglichkeiten erläutert, nach Kritikalität priorisiert und Massnahmen zu deren Behebung empfiehlt. Dabei legen wir Wert darauf, Ihnen nicht nur punktuelle, sondern auch gesamtheitliche Massnahmen zu empfehlen. Ein Penetrationstest kann auch in einer frühen Entwicklungsphase einer neuen Applikation oder Umgebung von Vorteil sein. Denn so lassen sich Design-Schwachstellen früh erkennen und kostengünstig beheben.

Niklaus Manser
Head of IT Security Consulting
Anfrage

Unverbindliche Anfrage

© Swiss Infosec AG 2024