|
|
|
Penetration Test
Positionierung:
Gezielter Auftragshackerangriff aus der Perspektive
eines Angreifers mit Skill Level «Hacker / Cracker».
Ethical Hacking ist die extremste Form der
technischen Sicherheitsüberprüfung. Unsere Security
Consultants versuchen gemäss präzis formuliertem Auftrag
auf elektronischem Weg in das Zielsystem (Komponenten in der DMZ
oder im LAN/WAN) einzudringen. Im Gegensatz zum Penetration
Test, bei welchem ebenfalls versucht wird, in das Untersuchungsobjekt
einzudringen, wird das Untersuchungsobjekt beim Ethical Hacking
modifiziert (was rechtliche Konsequenzen
haben kann). Je nach Auftrag werden hierbei vor den eigentlichen
Angriffen die gleichen Informationskanäle genutzt, die auch
Hacker nutzen (z. B. Social Engineering, Dumpster Diving, Foot-
und Fingerprinting). Der Grossteil der Arbeit ist Brainwork, d.h.
es können nur begrenzt Tools eingesetzt werden.
Da die Qualität und die Aussagekraft dieser Aktivität
direkt von den Rahmenbedingungen inkl. dem zur Verfügung stehenden
Projektbudget abhängt, wird vor Projektstart ausgemacht, wie
viel Zeit für das Ethical Hacking aufgewendet werden
soll und welche Methoden erlaubt sind. Zum Schluss werden das Vorgehen,
die erzielten Ergebnisse und empfohlene Gegenmassnahmen zur Schliessung
aufgedeckter Sicherheitslücken umfassend und OSSTMM-konform
dokumentiert.
Die OneConsult GmbH ist ISECOM
Licensed Auditor (ILA), Gold Level und unsere Security Consultants
sind von ISECOM in verschiedenen Spezialisierungsrichtungen zertifiziert
(OPST = OSSTMM Professional Security Tester, OPSA = OSSTMM Professional
Security Analyst, OSSTMM-Trainer), was eine seriöse und fundierte
Durchführung der Tests und eine aussagekräftige Dokumentation
der Ergebnisse garantiert.
Möglicher Ablauf
Das Projekt wird gemäss den individuellen Anforderungen und
«best practices» durchgeführt. Aus diesem Grund
können die Projektphasen von obenstehender Grafik abweichen.
Bemerkungen
- Unsere Security Consultants kennen und
beherrschen die Methoden und Tricks der Hacker.
- Es werden nur Systeme untersucht, welche
unter direkter Kontrolle des Auftraggebers stehen.
- Je nach Auftrag setzen unsere Security
Consultants dabei auch speziell für diese Aufgabe entwickelte
Test-«Trojaner» (z. B. OneConsult®
Pandora PRO) ein.
- Beim Ethical Hacking wird vom
Auftraggeber meistens nur das Ziel (z. B. Speichern einer vordefinierten
Datei auch einem Server im LAN oder WAN oder das Remote-Administrieren
eines PCs im LAN via Internet), nicht aber der Weg zum Ziel vorgegeben.
Aus Sicht des Hackers bzw. Testers genügt eine einzige Sicherheitslücke,
welche er für seine Zwecke nutzen kann. Nach allfälligen
weiteren Sicherheitslücken mit möglicherweise gleichem
oder höherem Schädigungspotential wird nicht gesucht.
Um das Kosten/Nutzen-Verhältnis zu optimieren, empfiehlt
es sich, die Stärken
der verschiedenen Testtypen zu kombinieren.
Haben wir Ihr Interesse geweckt? Gerne beantworten
wir Ihre Fragen in einem unverbindlichen Gespräch oder senden
Ihnen weitere Informationen. Wie Sie uns erreichen können,
erfahren Sie hier.
Weiterführende Informationen
|  |
