Internet Security Scan / Penetration Test

SEC4YOU ermittelt durch einen Penetration Test die potenziellen Angriffspunkte Ihrer Internetanbindung und Webauftritte und erarbeitet konkrete Lösungsvorschläge. Genießen Sie die Gewissheit, dass Sie für die eigene IT-Sicherheit aktiv wichtige Schritte gesetzt haben.

Bei diesem Test werden die Internetanbindung des Unternehmens sowie die externen Webauftritte automatisiert bzw. manuell auf Sicherheitsschwachstellen und potentielle Angriffspunkte geprüft. Dabei versetzen sich die Tester in die Rolle eines Hackers und verwenden dieselben Methoden und Tools.

Die Tests werden in den Varianten Blackbox und als Whitebox angeboten. Blackbox bedeutet, dass keine über die zu prüfenden IP-Adressen bzw. Domains hinausgehenden Informationen zur Verfügung gestellt werden. Bei Whitebox werden hingegen vor Beginn der Prüfung entsprechende Informationen über die relevante Infrastruktur zur Verfügung gestellt und es findet eine laufende Abstimmung mit dem Auftraggeber statt. Hierdurch erhöht sich die Effizienz der eingesetzten Mittel und der Detaillierungsgrad der Ergebnisse.

Ein Internet Security Scan bzw. Internet Penetration Test sollte regelmäßig durchgeführt werden, um Schwachstellen und potenzielle Risiken zeitgerecht zu erkennen und beheben zu können und somit die Gefahr einer erfolgreichen Hackerattacke zu minimieren.

Die Prüfung wird auf Basis des Durchführungskonzeptes für Penetration Tests des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durchgeführt. Dies gewährleistet eine strukturierte und methodische Vorgangsweise mit nachvollziehbaren Ergebnissen.

 

Lupe mit SQL-Injection_web

Phase 1: Vorbereitung
Definition der zu prüfenden IP-Adressbereiche bzw. Internetdomains und der organisatorischen Rahmenbedingungen sowie die Wahl des Prüfungsansatzes (White- oder Blackbox).

Phase 2: Informationsbeschaffung
Beschaffung aller öffentlich verfügbaren Informationen über die zu prüfende Infrastruktur, wobei bei einem Whitebox-Test zusätzlich die vom Auftraggeber bereit gestellten Informationen berücksichtigt werden. Internet Security Scan und Web Application Security Scan der autorisierten IP-Adressen und Websites.

Phase 3: Bewertung der Informationen / Risikoanalyse
Analyse und Bewertung der ermittelten Schwachstellen und Risiken. Identifikation der Systeme und Anwendungen, bei denen potenzielle Angriffspunkte festgestellt wurden (als Vorgabe für Phase 4).
Die Ergebnisse der Phase 3 werden in Form eines technischen Berichts dokumentiert und an den Auftraggeber übermittelt (nicht bei Blackbox).

Phase 4: Aktive Eindringversuche
Auf Basis des technischen Berichts von Phase 3 wird gezielt versucht, die potenziellen Schwachstellen auszunützen (Penetration Test), um unautorisierten Zugriff auf Daten bzw. Systeme zu erhalten.

Phase 5: Abschlussanalyse
Im Rahmen der Anschlussanalyse werden die Ergebnisse der Prüfungsdurchführung hinsichtlich möglicher Risiken (gering, mittel, hoch) bewertet und konkrete Empfehlungen ausgearbeitet, um diese zu vermindern.

Die Ergebnisse werden in Form eines Prüfberichts, der aus einem Management Summary und aus einer detaillierten technischen Beschreibung besteht, dokumentiert.

img67

Bei Beauftragung eines Internet Security Scan ist die Auftragsdurchführung nach Phase 3 abgeschlossen.

Produktblatt herunterladen