#Penetrationstests sind ein wichtiger Bestandteil eines #ISMS und helfen ein tiefgreifendes Verständnis des Sicherheitsniveaus der eigenen IT-Systeme zu erlangen.

lutrasecurity.com/services/penet…

Was ist das? Ein 🧵
Ein Penetrationstest (oder kurz #Pentest), beschreibt die Untersuchung eines oder mehrerer Assets, zum Beispiel einer Webanwendung oder einem ganzen Netzwerk. Dabei werden Schwachstellen gesucht und ausgenutzt, um möglichst tief in das betrachtete System einzudringen.

2/
Dies gibt einem Unternehmen nicht nur einen Überblick über die vorhandenen Schwachstellen, sondern auch eine Einschätzung, wie tief ein Angreifer in das System eindringen kann.

3/
Hierbei werden unterstützend auch automatische Scanner verwendet, um eine breite Testabdeckung zu ermöglichen. Der Hauptanteil der Arbeit wird allerdings manuell von erfahrenen Experten mit dem Blick eines Angreifers durchgeführt.

4/
Daher sind Penetrationstests ein essentieller Bestandteil zur Risikobewertung und ermöglichen Entscheidungsträgern eine realitätsnahe Risikoeinschätzung.

5/
Jetzt stellt sich natürlich noch die Frage: Wie läuft so ein #Pentest eigentlich ab?

lutrasecurity.com/services/penet…

6/
Natürlich ist jeder Pentest individuell, daher ist der erste Milestone das Scoping. Dabei setzt sich der Pentestdienstleister mit dem Kunden zusammen und der Rahmen des Tests wird abgesteckt. Welche Systeme sollen getestet werden? Gibt es besondere Einschränkungen?

7/
Nach dem Scoping findet ein Kickoff-Termin statt. In diesem Termin werden dem Pentester die zu testenden Systeme (zum Beispiel eine Webanwendung oder ein internes Netzwerk) gezeigt und letzte Fragen geklärt.

8/
Weiterhin wird der Zugriff auf die Systeme sowie weitere Maßnahmen diskutiert, um den Test so effizient wie möglich zu gestalten. Im Falle einer Webanwendung können das zum Beispiel Zugangsdaten, die URL und eine Firewallfreischaltung sein.

9/
Nachdem die Maßnahmen umgesetzt sind und der Tester alle notwendigen Informationen hat, beginnt die Testphase. Je nach Größe der zu testenden Systeme kann die Länge des Tests von einigen Tagen bis einigen Wochen andauern.

10/
Dabei werden die Systeme manuell auf ihre Sicherheit überprüft und etwaige Schwachstellen bzw. Fehlkonfigurationen dokumentiert. Am Ende der Testphase werden die Ergebnisse dann analysiert und in einem Bericht mit Erklärungen und Handlungsempfehlungen aufbereitet.

11/
Nicht nur der Blick eines Angreifers, sondern auch der frische Blick von außen sind extrem hilfreich (Stichwort “betriebsblind”), um verschiedenste Fragen zu beantworten:

• Sind die Daten meiner Nutzer geschützt?
• Können Lücken in der Business-Logik ausgenutzt werden?

12/
Unsere Experten werden im Laufe des Tests diese und mehr Fragen für Sie beantworten und alle identifizierten Schwachstellen und fehlenden Härtungsmaßnahmen dokumentieren, um einen umfassenden Eindruck über das Sicherheitsniveau der Anwendung erhalten.

13/
Zur anschließenden Behebung der Schwachstellen liefert unser Bericht praxisnahe Empfehlungen für jede identifizierte Schwachstelle. Weiterhin enthält der Bericht natürlich eine Risikoeinstufung, um fundierte Managemententscheidungen zu ermöglichen.

14/
Innerhalb einer Ergebnisbesprechung erklären wir gerne unser Vorgehen und besprechen eventuelle Nachfragen zu den gefundenen Schwachstellen.

15/
Mit den Risikobewertungen und Erklärungen an der Hand können Sie anschließend über das weitere Vorgehen, die Priorisierung der Schwachstellen sowie die zu treffenden Maßnahmen entscheiden.

16/

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Lutra Security

Lutra Security Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(