Als Penetrationstest wird ein umfassender Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Grösse bezeichnet.
Beim Penetrationstest prüft die Sicherheitsfachperson möglichst alle Bestanteile und Anwendungen eines Netzwerks oder Computersystems mit Methoden eines Hackers. Das Ziel der Sicherheitsprüfung ist die Auflistung aller bei den Tests gefundenen Schwachstellen.
Der Detailgrad, die angewendeten Methoden und die Priorisierung orientieren sich an der Art und Exponiertheit des Systems.
Ein Penetrationstest ist weit umfassender als ein Vulnerability Scan (Schwachstellenscan) oder ein Security Scan (Sicherheitsscan) und erfordert manuelle Arbeit bei der Vorbereitung und Durchführung, und somit umfassendes Knowhow und Erfahrung bei der durchführenden Person.
Für eine effiziente und strukturierende Prüfung sowie funktionale Gliederung der Resultate im Bericht orientieren wir uns an OSSTMM und OWASP.
Zerberos führt für Sie Penetrationstests Ihrer IT Infrastruktur durch – ob in einzelnen Bereichen oder als umfassende Sicherheitsprüfung.
So verschieden wie die Strukturen die wir prüfen sind auch die Ansätze nach denen die Prüfung erfolgt – bei einer umfassenden Sicherheitsprüfung hat sich aber der folgende Ablauf als sinnvoll erwiesen:
- Definition der Ziele der Prüfung
- Definition der zu prüfenden Objekte
- Infomationssammlung
- Prüfung auf Schwachstellen
- Dokumentation der Resultate
- Besprechung der Resultate
Da sowohl die Server-Infrastruktur wie auch Applikationen in den meisten fällen immer wieder angepasst werden ist eine periodische Prüfung sinnvoll (z.B. jährlich, nach grösseren Updates, nach Wechseln der Infrastruktur o.ä.)
Der Prüfbericht bietet neben einer Einstufung von “Gut” bis “Hohes Risiko” für jedes Kriterium auch Hintergrundinformationen zu allen Tests und Resultaten.
Die Tests können als Blackbox, Graybox oder Whitebox Tests durchgeführt werden – entsprechend haben wir vor dem Test keine bis detaillierte Angaben von Ihnen zu Ihrem Netzwerk und Ihrer Infrastruktur.
Natürlich lassen können wir auf Wunsch auch nur spezifische Teilbereiche prüfen.
Kontaktieren Sie uns für eine unverbindliche Beratung!