Ein Penetrationstestversuch für IT-Infrastruktur und Webanwendungen.
- Das Ziel ist es, einen möglichen Angriff zu simulieren und zu bestimmen, wie tief ein Angreifer in das System eindringen und wie viel Schaden für ein Unternehmen entstehen kann.
- Dadurch können vorhandene Schwachstellen identifiziert und die aktuellen Risiken für die Informationssicherheit bewertet werden.
- Wir testen zwei Szenarien: Externe Penetration (wenn die Zugriffsrechte auf die Anwendung nicht verfügbar sind) und interne Handlungen von Unternehmensmitarbeitern, die Zugriffsrechte haben.
Fünf Stadien von Penetrationstests
Das Testen basiert auf dem OWASP-Web-Security-Testhandbuch und dem Penetration Testing Execution Standard und umfasst fünf Hauptphasen.
- 1
Infrastructure research
Simulation potenzieller Bedrohungen basierend auf gesammelten und strukturierten Daten über die Infrastruktur und Dienste.
- 2
Bedrohungsmodellierung
Bestimmung des Werts eines kompromittierten Computers für das Unternehmen und Beibehaltung der Kontrolle darüber für zukünftige Zwecke.
- 3
Vulnerability analysis
Ein Versuch, auf ein System oder eine Webressource zuzugreifen, indem Sicherheitsbeschränkungen umgangen werden.
- 4
Operation
Ein Versuch, auf ein System oder eine Web-Ressource zuzugreifen, indem Sicherheitsbeschränkungen umgangen werden.
- 5
Nach der Operation
Bestimmung des Wertes eines kompromittierten Computers für das Unternehmen und Beibehaltung der Kontrolle darüber für zukünftige Nutzung.
Was der Penetrationstestergebnisbericht enthält
Wie wir erkannte Schwachstellen beschreiben
CVSS-Evaluation
Angriffsvektoren
mögliche Einstiegspunkte
Empfehlungen zur Behebung von Schwachstellen
