Security Audit
 
Consulting
 
Emergency Response
 
Computer Forensics
 
Training & Coaching
 
Security as a Service
Home
|
Dienstleistungen
|
Security Audit
|
Penetration Test
Training

TRAINING & COACHING

Profitieren Sie von unserem Know-how: ISECOM OPST, OPSA und OPSE-Zertifizierungskurse, Practical Security Scanning-Kurse, Secure Web Development-Schulungen und zielgruppengerechtes Coaching. mehr

Penetration Test

Gründliche, technische, unprivilegierte, Sicherheitsüberprüfung mit hohem manuellen Test- und Verifikationsanteil aus der Perspektive eines Angreifers mit Skill Level «Hacker / Cracker».

Der Penetration Test ist ein simulierter, realitätsnaher Hackerangriff. Während der zur Verfügung stehenden Testzeit wird systematisch nach allen Sicherheitslücken gesucht. Im Gegensatz zum Security Scan wird beim Penetration Test ein wesentlich grösserer Teil der anstehenden Arbeiten manuell erbracht und die Tester versetzen sich in die Rolle eines Hackers. Im Vergleich zum Application Security Audit werden beim Penetration Test nur unprivilegierte Tests durchgeführt (d.h. ohne Kenntnisse von gültigen Zugangsinformationen wie User ID/Passwort etc.). Unsere Security Consultants verwenden die aktuellsten Methoden und Tricks, welche auch «echte» Hacker / Cracker einsetzen. Der Schlussbericht des Penetration Test enthält sowohl technische als auch organisatorische Massnahmenvorschläge.

Die Hauptunterschiede zwischen einem Penetration Test und dem Ethical Hacking liegen darin, dass beim Penetration Test in der zur Verfügung stehenden Zeit möglichst alle Sicherheitslücken aufgespürt werden und in das Untersuchungsobjekt eingedrungen, es aber nicht dauerhaft modifiziert wird (z.B. durch Veränderung der Daten in der Datenbank oder Einschleusen von Viren oder Trojanern).

Unsere Security Consultants haben für unsere Kunden hunderte technische Security Audits durchgeführt. Es folgt ein kleiner Auszug getesteter Technologien:

  • Client- und Server-Betriebssysteme: Microsoft Windows, Unix, Linux, Android, iOS, BlackBerry OS etc.
  • Implementierungen: Online Shops, Internet Banking Portale, Mobile Apps, Appliances, Mail- und Webserver, Active Directory und LDAP, SharePoint, IAM Systeme, VoIP, SAP, SQL Server, Oracle etc.
  • Server und Services

Vorgehen Penetration Test

Penetration Test

Der Auftraggeber definiert den Informationsgrad beider Parteien (Tester und Administratoren/Anwender der zu testenden Systeme):

  • Double Blind: Die Tester erhalten vorweg keinerlei Informationen über die zu prüfenden Systeme und die Administratoren/Anwender der zu prüfenden Systeme werden nicht über den anstehenden Audit informiert. Dies ist der realistischste Ansatz.
  • Blind: Die Administratoren/Anwender der zu prüfenden Systeme werden nicht über den anstehenden Audit informiert. Ziel ist es, die Reaktion des Security Teams des Kunden zu testen.
  • Black Box: Die Tester erhalten vorweg keinerlei Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist es, Sicherheitslücken aufzuspüren und auszunutzen.
  • Grey Box: Die Tester erhalten vorweg teilweise Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die effiziente Projektdurchführung, indem verhindert wird, dass wertvolle Projektzeit verschwendet wird.
  • White Box: Die Tester erhalten vorweg detaillierte Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die Simulation einer Attacke mit Insiderwissen.

Die Ergebnisse liegen am Schluss in Form eines zielgruppengerechten, detaillierten (ca. 40 - 60 Seiten, exkl. Tool-generierten Reports und Rohdaten) und üblicherweise OSSTMM-konformen Schlussberichts vor. Sämtliche Tool-generierten Reports und Rohdaten, sowie der Mitschnitt des Netzwerkverkehrs (Dump Files) und das Action Log (Protokoll des Testers bzw. der Tester) liegen auf einem Datenträger bei.

Wir bieten Penetration Tests an für:

  • Applikationen und Systeme (Hard- und Software: Clients wie PC, Notebook, Tablet, Mobiltelefon (z.B. Smartphone wie iPhone, BlackBerry, Android-basierte Telefone etc.), Server, Network Components, Appliances, VoIP Telefonie etc.)
  • Kabelgebundene Netzwerke (z.B. Internet, DMZ und LAN/WAN)
  • Kabellose Netzwerke (z.B. WLAN, BlueTooth, GSM/UMTS oder Infrarot)

Der Funktionsumfang des Basismoduls Penetration Test kann mit diversen optionalen Ergänzungsmodulen individuell erweitert werden.

System Hardening

Selbstverständlich unterstützen wir unsere Kunden auf Wunsch auch kompetent bei der Systemhärtung (z.B. mittels Security Patches, Konfigurationsänderungen oder Kernel-Modifikationen).

Security Audit Kompetenz

Unsere Mitarbeiter haben für unsere Kunden seit 2003 mehr als 450 technische Security Audits nach OSSTMM durchgeführt. Die OneConsult GmbH ist ISECOM Licensed Auditor (Platinum Level), ISECOM Partner (akkreditierter Schulungsanbieter) und das - an der Anzahl OSSTMM-konformer Security Audits gemessen - führende Unternehmen in Europa.