Penetration Testing

Penetrationstests

Identifizieren und beheben Sie Schwachstellen, bevor sie sich auf Ihr Unternehmen auswirken. Web Application Hacker’s Methodology, Information Systems Security Assessment Framework.

BrandCrock - Penetrationstests

  • Penetrationstests sind eine bewährte Methode für die Cybersicherheit, mit der sichergestellt werden kann, dass IT-Umgebungen ordnungsgemäß gesichert und Schwachstellen angemessen gepatcht werden.
  • Ein Penetrationstest versucht festzustellen, ob und wie ein böswilliger Benutzer unbefugten Zugriff auf Informationsbestände erlangen kann. BrandCrock hat Penetrationstests durchgeführt, um Organisationen dabei zu helfen, versteckte Sicherheitslücken aufzudecken. Unsere bewährte Methodik bietet umsetzbare Schritte zur Gewährleistung der Sicherheit Ihrer Systeme.
  • Diese Art von Tests fällt unter ethisches Hacken und die Person, die Penetrationstests durchführt, wird als ethischer Hacker bezeichnet.
  • Pen-Tests werden durchgeführt, um die Probleme herauszufinden, die bei der manuellen Analyse des Systems nicht leicht zu erkennen sind.
  • Der Zustand eines Systems ist ausnutzbar, wenn mehreren Benutzern die Verwendung eines Systems mit weniger Sicherheitskontrollen gewährt wird.
Ausführungsstandard für Penetrationstests
OWASP-Testleitfaden
Handbuch der Open-Source-Sicherheitstestmethodik
Bewertungsrahmen für die Sicherheit von Informationssystemen
Methodik des Webanwendungs-Hackers
SANS 25 Sicherheitsbedrohungen
Ausführungsstandard für Penetrationstests
OWASP-Testleitfaden
Handbuch der Open-Source-Sicherheitstestmethodik
Bewertungsrahmen für die Sicherheit von Informationssystemen
Methodik des Webanwendungs-Hackers
SANS 25 Sicherheitsbedrohungen

Unser Prozess

Unsere Best-Practices-Methodik wurde über Jahrzehnte tausendfach verfeinert
Stunden Erfahrung.

Geltungsbereich definieren

Informationsbeschaffung – Scoping & Pre-Assessment – ​​Pre-Engagement-Interaktion

1

Schwachstellenanalyse

Schwachstelle definieren – Schwachstellenbewertung – Bedrohungsmodellierung

2

Ausbeutung

Ausnutzung von Sicherheitslücken – Fernzugriff erhalten – Angriffsvektor ausführen

3

Nachnutzung

Kompromittieren Sie den Webserver

4

Sanierungsplan

Bericht mit Sanierungsplan

5

Erneutes Testen

Erneutes Testen aller Schwachstellen – Abschlussbericht

6

BrandCrock-Penetrationstests abgedeckt

2715049-200
Risikobewertungen
ip address
Interne und externe IPs
network speed test
Netzwerktests
port scanner
Port-Scannen
Bedienung
Secure-Socket-Checks
responsive design
Spoofing-Test
application layer
Test der Anwendungsschicht
Penetrationstests
DDoS-Angriff
3358758-200 (1)
SQL-Injektion
preview
Brute-Force-Angriffe
images
Angriffe vor Ort
Phishing attack
Phishing-Angriffe
XSS
Cross-Site-Scripting (XSS)
Server Side Request Forgery
Serverseitige Anforderungsfälschung (SSRF)
website security
Fehlkonfiguration des Webservers
removebg preview
Drahtloser Netzwerkverkehr
vulnerability assessment
Netzwerk-Schwachstelle
maxresdefault
Remote-Code-Ausführung (RCE)
icon
Web-Shell-Erkennung
innovation
Industrievalidierter Ansatz

Von uns angewandte Penetrationstestmethoden

black box

Le test de la boîte noire est un test

Wir arbeiten unter realitätsnahen Bedingungen mit streng begrenztem Wissen über Ihr Netzwerk und ohne Informationen über die Sicherheitsrichtlinien, die Netzwerkstruktur, die Software und den verwendeten Netzwerkschutz.
grey box

Grey-Box-Tests

Wir untersuchen Ihr System anhand einiger Informationen zu Ihrem Netzwerk, wie z. B. Benutzer-Login-Daten, Architekturdiagramme oder die Netzwerkübersicht.
white box

White-Box-Tests

Wir identifizieren potenzielle Schwachstellen, indem wir Administratorrechte und Zugriff auf Serverkonfigurationsdateien, Datenbankverschlüsselungsprinzipien, Quellcode oder Architekturdokumentation verwenden.

Vorteile von Sicherheitstests

data collection

Vollständige Ansicht der Schwachstellen

Wir stellen detaillierte Informationen zu echten Sicherheitsbedrohungen bereit, helfen bei der Identifizierung der kritischsten und weniger bedeutenden Schwachstellen sowie bei Fehlalarmen, sodass der Kunde die Behebung priorisieren, erforderliche Sicherheitspatches anwenden und Sicherheitsquellen zuweisen kann.
regulatory compliance

Einhaltung gesetzlicher Vorschriften (GLBA, HIPPA, PCI, DSS, FISMA/NIST)

Die nach Penetrationstests erstellten detaillierten Berichte helfen, Bußgelder wegen Nichteinhaltung zu vermeiden, und ermöglichen es, Prüfern die Sorgfaltspflicht durch die Aufrechterhaltung der erforderlichen Sicherheitskontrollen zu veranschaulichen.
costs

Vermeidung der Kosten für System-/Netzwerkausfallzeiten

Das Team von Brandcrock bietet spezifische Anleitungen und Empfehlungen, um finanzielle Fallstricke zu vermeiden, indem Risiken identifiziert und angegangen werden, bevor Angriffe oder Sicherheitsverletzungen auftreten.

Geschäftsrisiken gemildert

201054-200

Finanzieller Verlust

download

Reputationsschaden

Trust Icon

Verlust des Kundenvertrauens

2040631-200

Datenverlust

Vollständige Kompromittierung von Webanwendungen
Vollständige Kompromittierung von Webanwendungen
Kompromittierung von Administratorkonten
Kompromittierung von Benutzerkonten
Vollständige Kompromisse bei der Infrastruktur

Gründe zum Testen

Während Sie regelmäßige Schwachstellen-Scans durchführen, tun Hacker dasselbe – sie scannen Ihr Netzwerk und versuchen, die Schwachstellen zu finden, an denen sie einbrechen können. Der Unterschied besteht darin, dass Hacker nicht aufhören, wenn sie eine Schwachstelle finden; Sie werden angreifen. Hier kommt der Penetrationstest ins Spiel.

1. Hacker nutzen ständig neue Fehler aus
Hacker entwickeln neue Tools und Exploits mit unglaublicher Geschwindigkeit und
oft schneller, als die Sicherheitsteams mithalten können.
2. Penetrationstests bieten eine unabhängige Bewertung Ihrer Sicherheit
Die Ergebnisse von Penetrationstests zeigen die Effektivität Ihrer Sicherheit
Umfeld.
3. Ein Penetrationstest kann Lücken in Ihrer Sicherheit finden, bevor ein Hacker dies tut
Das Identifizieren von Schwachstellen ermöglicht es der Organisation, Schwachstellen zu patchen
bevor ein Hacker sie ausnutzen kann.
4. Priorisieren Sie Ihr Sicherheitsbudget
Die Ergebnisse von Penetrationstests können dabei helfen, Ihr Sicherheitsbudget zu verbessern und Prioritäten zu setzen
Ausgaben.
5. Unterstützung bei der Vorbereitung auf einen potenziellen Verstoß
Ein Penetrationstest kann als Katalysator für die Entwicklung eines Vorfalls dienen
Reaktionsplan im Falle eines Verstoßes.
6. Penetrationstests können eine behördliche Anforderung sein
Periodische Penetrationstests sind eine branchenweit bewährte Methode und eine Anforderung
für PCI DSS und mehrere andere Branchenvorschriften.

Wenn Sie Penetrationstests benötigen

Mindestens jährlich sollte ein Penetrationstest durchgeführt werden. In einigen Fällen kann ein vierteljährlicher oder sogar monatlicher Penetrationstest die richtige Notwendigkeit für ein Unternehmen sein.

Mit einer Schwachstellenbewertung können Sie sich auf einen Penetrationstest vorbereiten, und mit einem Penetrationstest können Sie nachweisen, dass Sie auf Schwachstellen reagieren. Daher ist es wichtig, dass eine Schwachstellenbewertung durchgeführt (und identifizierte Schwachstellen behoben) werden, bevor ein Penetrationstest eingeleitet wird.

Ein spezieller Penetrationstest kann auch für Folgendes erforderlich sein:

  • Wenn Ihrer Umgebung eine neue Netzwerkinfrastruktur oder Anwendungen hinzugefügt werden
  • Upgrades oder Modifikationen werden entweder an Ihrer Infrastruktur oder Ihren Anwendungen vorgenommen
  • Bürostandorte werden hinzugefügt oder stark an die Organisation des Unternehmens angepasst
  • Unternehmensverfahren oder -richtlinien werden überarbeitet oder eingeführt
  • Regelmäßig geplante Analysen und Bewertungen sind gesetzlich vorgeschrieben.
  • Neue Netzwerkinfrastruktur oder Anwendungen wurden hinzugefügt.
  • Es wurden bedeutende Upgrades oder Änderungen an der Infrastruktur oder den Anwendungen vorgenommen.
  • Es wurden bedeutende Upgrades oder Änderungen an der Infrastruktur oder den Anwendungen vorgenommen.
  • Die Unternehmens-IT wurde stark verändert.

Darüber hinaus sind Penetrationstests durch Vorschriften wie GDPR, PCI-DSS erforderlich. Die meisten Penetrationstester sollten in der Lage sein, Best Practices für die spezifischen Anforderungen eines Unternehmens zu überprüfen und zu empfehlen.

Preise für Test

Wir gestalten den Endpreis basierend auf der Anzahl der Targets und den erforderlichen Testmethoden. Gerne erstellen wir Ihnen einen Kostenvoranschlag für Ihr Projekt.

Die Kosten hängen auch davon ab, ob Sie möchten, dass Penetrationstests eine einmalige Sache, ein fortlaufender Service oder ein Engagement sind, bei dem Systeme erneut getestet werden, nachdem Sie die erforderlichen Änderungen vorgenommen haben, um Ihren Betrieb und Ihr Netzwerk zu schützen.

Komplexe Systeme mit umfangreichen Daten benötigen mehr Zeit zum Testen. Die Anzahl der angeschlossenen Geräte, Zugriffspunkte, physischen Standorte, Netzwerke, IP-Adressen und verschiedenen Sicherheitsebenen spielen alle eine Rolle bei der Bestimmung eines fairen Preises.

Die Kosten für einen Penetrationstest richten sich nach der

  • Anzahl der IP-Adressen und URLs
  • Größe und Komplexität der IT-Infrastruktur
  • Anzahl der physischen Standorte und Rechenzentren
  • Netzwerksegmentierung
  • Zeitpunkt des Dienstes.

Schritt 1 von 5

Was Sie im Penetrationstest-Lebenszyklus erwarten können

-
BRANDCROCK
KUNDIN
PLANUNG
Geben Sie einen Zeitplan für die Bewertung an
Zeitleiste bestätigen
PRÜFVORBEREITUNG
Stellen Sie einen technischen Fragebogen bereit
Senden Sie den ausgefüllten Fragebogen und andere Daten zurück.
AUTOMATISIERTE / MANUELLE PRÜFUNG
Führen Sie Scans durch und bewerten Sie dann die Sicherheit des Ziels weiter
Teammitglieder stehen zur Verfügung, um bei Fragen oder Problemen während des Testens zu helfen
BERICHTERSTATTUNG
Ergebnisse zusammenstellen und Bericht hochladen
-
ABHILFE
-
Korrigieren Sie Elemente und planen Sie erneute Tests mit Brandcrock
NOCHMAL TESTEN
Führen Sie eine Wiederholungsprüfung durch und erstellen Sie einen überarbeiteten Bericht.
Korrigieren und testen Sie wie gewünscht innerhalb von 90 Tagen nach dem ersten Berichtsdatum
Entfesseln Sie Ihr geschäftliches Potenzial online und ergreifen Sie Chancen für noch größeren Erfolg.
Erfahrungen & Bewertungen zu BrandCrock GmbH