#Penetrationstests sind ein wichtiger Bestandteil eines #ISMS und helfen ein tiefgreifendes Verständnis des Sicherheitsniveaus der eigenen IT-Systeme zu erlangen.
lutrasecurity.com/services/penet…
Was ist das? Ein 🧵
lutrasecurity.com/services/penet…
Was ist das? Ein 🧵
Ein Penetrationstest (oder kurz #Pentest), beschreibt die Untersuchung eines oder mehrerer Assets, zum Beispiel einer Webanwendung oder einem ganzen Netzwerk. Dabei werden Schwachstellen gesucht und ausgenutzt, um möglichst tief in das betrachtete System einzudringen.
2/
2/
Dies gibt einem Unternehmen nicht nur einen Überblick über die vorhandenen Schwachstellen, sondern auch eine Einschätzung, wie tief ein Angreifer in das System eindringen kann.
3/
3/
Hierbei werden unterstützend auch automatische Scanner verwendet, um eine breite Testabdeckung zu ermöglichen. Der Hauptanteil der Arbeit wird allerdings manuell von erfahrenen Experten mit dem Blick eines Angreifers durchgeführt.
4/
4/
Daher sind Penetrationstests ein essentieller Bestandteil zur Risikobewertung und ermöglichen Entscheidungsträgern eine realitätsnahe Risikoeinschätzung.
5/
5/
Jetzt stellt sich natürlich noch die Frage: Wie läuft so ein #Pentest eigentlich ab?
lutrasecurity.com/services/penet…
6/
lutrasecurity.com/services/penet…
6/
Natürlich ist jeder Pentest individuell, daher ist der erste Milestone das Scoping. Dabei setzt sich der Pentestdienstleister mit dem Kunden zusammen und der Rahmen des Tests wird abgesteckt. Welche Systeme sollen getestet werden? Gibt es besondere Einschränkungen?
7/
7/
Nach dem Scoping findet ein Kickoff-Termin statt. In diesem Termin werden dem Pentester die zu testenden Systeme (zum Beispiel eine Webanwendung oder ein internes Netzwerk) gezeigt und letzte Fragen geklärt.
8/
8/
Weiterhin wird der Zugriff auf die Systeme sowie weitere Maßnahmen diskutiert, um den Test so effizient wie möglich zu gestalten. Im Falle einer Webanwendung können das zum Beispiel Zugangsdaten, die URL und eine Firewallfreischaltung sein.
9/
9/
Nachdem die Maßnahmen umgesetzt sind und der Tester alle notwendigen Informationen hat, beginnt die Testphase. Je nach Größe der zu testenden Systeme kann die Länge des Tests von einigen Tagen bis einigen Wochen andauern.
10/
10/
Dabei werden die Systeme manuell auf ihre Sicherheit überprüft und etwaige Schwachstellen bzw. Fehlkonfigurationen dokumentiert. Am Ende der Testphase werden die Ergebnisse dann analysiert und in einem Bericht mit Erklärungen und Handlungsempfehlungen aufbereitet.
11/
11/
Nicht nur der Blick eines Angreifers, sondern auch der frische Blick von außen sind extrem hilfreich (Stichwort “betriebsblind”), um verschiedenste Fragen zu beantworten:
• Sind die Daten meiner Nutzer geschützt?
• Können Lücken in der Business-Logik ausgenutzt werden?
12/
• Sind die Daten meiner Nutzer geschützt?
• Können Lücken in der Business-Logik ausgenutzt werden?
12/
Unsere Experten werden im Laufe des Tests diese und mehr Fragen für Sie beantworten und alle identifizierten Schwachstellen und fehlenden Härtungsmaßnahmen dokumentieren, um einen umfassenden Eindruck über das Sicherheitsniveau der Anwendung erhalten.
13/
13/
Zur anschließenden Behebung der Schwachstellen liefert unser Bericht praxisnahe Empfehlungen für jede identifizierte Schwachstelle. Weiterhin enthält der Bericht natürlich eine Risikoeinstufung, um fundierte Managemententscheidungen zu ermöglichen.
14/
14/
Innerhalb einer Ergebnisbesprechung erklären wir gerne unser Vorgehen und besprechen eventuelle Nachfragen zu den gefundenen Schwachstellen.
15/
15/
Mit den Risikobewertungen und Erklärungen an der Hand können Sie anschließend über das weitere Vorgehen, die Priorisierung der Schwachstellen sowie die zu treffenden Maßnahmen entscheiden.
16/
16/
• • •
Missing some Tweet in this thread? You can try to
force a refresh
