AI & Machine Learning
Edge-Netzwerk
Infrastructure as a Service
Platform as a Service
Virtuelle und dedizierte Server
Video Streaming Platform
Security
Cloud for Mobile
Benutzerdefinierte Dienste
Nach Branche
Nach Service
Referral Program
Bug Bounty-Richtlinie
Konformität
Karriere
Internet Peering Points
Events (EN)
Infrastruktur
Die Anzahl der Cyberangriffe pro Organisation ist 2021 weltweit um 40% gestiegen. Es wird schwieriger, Ihre Ressourcen vor Eindringlingen zu schützen.
Selbst in der sichersten Infrastruktur können gefährliche Schwachstellen entdeckt werden. Und wie stellen Sie sicher, dass Sie alles vorgesehen haben und Ihre Ressourcen sicher geschützt sind?
Dafür gibt es einen Pentest — ein spezieller Penetrationstest. Was das ist, erklären wir am Beispiel unseres Dienstes.
Was ist ein Pentest
Pentest — Test von Infrastruktur und Anwendungen auf Penetration. Im Kern geht es darum, einen Angriff durch Eindringlinge zu simulieren und zu prüfen, wie weit diese in das System eindringen können und welcher Schaden dem Unternehmen zugefügt werden kann.
Der Pentest wird aus der Position des Angreifers durchgeführt. Als Ergebnis werden Schwachstellen in der Infrastruktur und den Anwendungen identifiziert, wie gefährlich sie sind und Empfehlungen zu deren Beseitigung gegeben.
Getestet werden können eine Anwendung, die gesamte IT-Infrastruktur oder einzelne Elemente: Datenbanken, verschiedene Netzwerkdienste (z.B. E-Mail), Netzwerkgeräte, Anwendungssoftware, Benutzer- und Serverbetriebssysteme.
Wie funktioniert ein Pentest?
Es gibt verschiedene Testmethodologien. Der Gcore Pentest basiert auf zwei Methoden:
- OWASP Web Security Testing Guide — die Haupt-Testmethodologie der Sicherheit von Webanwendungen, entwickelt vom internationalen Konsortium OWASP. Ein umfassender Leitfaden zum Testen von Web-Ressourcen, der die Best Practices von Pentestern auf der ganzen Welt aufgenommen hat.
- Penetration Testing Execution Standard enthält grundlegende Empfehlungen zum Testen, besonderes Augenmerk wird jedoch darauf gelegt, die richtigen Ziele und Zielsetzungen eines Pentests zu bestimmen, abhängig von den Besonderheiten der zu testenden Ressource.
Der Test findet in 5 Stufen statt:
- Infrastrukturforschung. Experten analysieren Ihre Systeme, sammeln so viele Informationen wie möglich über das potenzielle Ziel von Angriffen durch Eindringlinge und analysieren die gesammelten Daten.
- Bedrohungsmodellierung. Basierend auf den empfangenen Daten werden mögliche Angriffe modelliert. Dabei werden zwei Szenarien berücksichtigt: das Eindringen von außen und das Handeln von Mitarbeitern des Unternehmens, die über bestimmte Zugriffsrechte verfügen.
- Schwachstellenanalyse. Spezialisten suchen nach Fehlern in Ihren Systemen — mögliche Einstiegspunkte, Angriffsvektoren — und wählen Werkzeuge und Methoden für das Hacken aus.
- Betrieb. Experten simulieren Angriffe, versuchen dabei, die Simulation so nah wie möglich an reale Bedingungen heranzuführen und das Sicherheitssystem zu umgehen.
- Post-Betrieb. Ermittelt werden die finanziellen Schäden durch den Angriff und die Kosten zur Beseitigung der Folgen.
Was bekommen Sie nach dem Testen
Das Ergebnis des Pentests ist ein Bericht mit Empfehlungen zur Behebung der gefundenen Schwachstellen.
Unser Penetrationstestbericht enthält beispielsweise:
- zusammenfassende und vollständige Test-Checkliste;
- Beschreibung der Methodik;
- aktuelle mögliche Sicherheitsbedrohungen;
- detaillierte Beschreibung der entdeckten Schwachstellen;
- Empfehlungen zu deren Beseitigung und Stärkung der Infrastruktursicherheit.
Dabei beinhaltet die Schwachstellenbeschreibung CVSS-Assessment (Berechnung quantitativer Einschätzungen der System-Schwachstellen), Szenarien zur Reproduktion von Angriffen und deren möglichen Folgen.
Das heißt, wir erklären Ihnen ausführlich, welche Sicherheitsprobleme wir gefunden haben, zu welchen Folgen sie führen können und wie Sie sie vermeiden können.
Und noch ein paar Worte zum Pentest von Gcore
Wir haben den Pentest-Dienst kürzlich gestartet. Aber wir haben viel Erfahrung im Bereich Sicherheit.
Wir haben unsere eigene WAF (Web Application Firewall) zum Schutz von Webanwendungen vor Cyberangriffen zu und Schutz von Servern vor DDoS-Angriffen auf den Ebenen L3, L4 und L7. Wir haben viele Bedrohungen abgewehrt und wissen, wie Eindringlinge vorgehen. Das bedeutet, dass wir ihre Aktionen simulieren und alle Ihre Systeme im Detail überprüfen können.
Fassen wir zusammen
- Pentest ist ein neuer Dienst von Gcore, der Anwendungen und Infrastruktur auf Schwachstellen testet. Er wird durchgeführt, indem reale Angriffe von Eindringlingen modelliert werden.
- Wir führen den Pentest in 5 Stufen durch: wir analysieren die Infrastruktur, modellieren mögliche Bedrohungen, suchen nach ausnutzbaren Schwachstellen, simulieren einen Angriff und bestimmen dessen Folgen.
- Als Ergebnis des Penetrationstests erhalten Sie einen ausführlichen Bericht, der die Methodik, Informationen über die gefundenen Schwachstellen und die Folgen ihrer Verwendung beschreibt. Außerdem geben wir Empfehlungen, wie Schwachstellen beseitigt und die Sicherheit verbessert werden können.
- Gcore verfügt über eine umfangreiche Erfahrung bei der Abwehr von Cyberangriffen. Wir wissen, wie Eindringlinge vorgehen und finden alle Schwachstellen in Ihren Systemen.