Penetrationstest
KURZBESCHREIBUNG DER DIENSTLEISTUNG:
Zielsetzung
- Erhöhung der Sicherheit der technischen Systeme
- Identifikation von Schwachstellen
- Bestätigung der IT Sicherheit durch einen externen Dritten
- Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur
Vorgehensweise
- Vorbereitung
- Informationsbeschaffung und -auswertung
- Bewertung der Informationen / Risikoanalyse
- Aktive Eindringversuche
- Abschlussanalyse
Durchführung der Tests
- Informationsbasis (Black Box oder White Box)
- Aggressivität (passiv bis aggressiv)
- Umfang (vollständig bis fokussiert)
- Vorgehensweise (verdeckt oder offensichtlich)
- Technik (Netzwerkzugang bis Social Engineering)
- Ausgangspunkt (von innen oder von außen)
Auswertungen und Reports
- Dokumentation der Vorgehensweise und Methodiken der durchgeführten Arbeitsschritte
- Dokumentation der gefundenen Schwachstellen
- Analyse und Interpretation der gefundenen Schwachstellen
- Detaillierte Empfehlungen zum weiteren Vorgehen im vorliegenden Fall
NUTZEN FÜR DEN KUNDEN:
- Darstellung des Kundennetz aus der Sicht eines Hackers
- Identifikation der Schwachstellen
- Sind die teuren Sicherheitsmaßnahmen optimal umgesetzt
- Die Analyse kann für einen Investitionsantrag genutzt werden
- Das Thema Security ist nicht mehr virtuell, sondern anfassbar
VORGEHENSWEISE:
Voraussetzungen
- Klärung der einzusetzenden Tools
- Klärung des Durchführungszeitraumes
- Klärung rechtlicher Gegebenheiten
- Aufwandsabschätzung im Vorwege
- Festlegung der Reporting-Strukturen
Durchführung
- Passive Informationsbeschaffung (z.B.: Internetsuche)
- Scanning (z.B.: TCP / UDP Scan)
- Interpretation und Dokumentation der Schwachstellen
- Durchsprache der gefundenen Fakten und Abstimmung der weiteren Vorgehensweise.
- Berichtserstellung und –abstimmung in Ihrem Hause
