| Penetration Test
Positionierung: Intensive
technische Sicherheitsüberprüfung aus der Perspektive
eines Angreifers mit Skill Level «Hacker / Cracker».
Der Penetration Test ist ein simulierter,
realitätsnaher Hackerangriff. Im Gegensatz zum Security
Scan wird beim Penetration Test ein wesentlich
grösserer Teil der anstehenden Arbeiten manuell erbracht und
die Tester versetzen sich in die Rolle eines Hackers. Dabei setzen
unsere Security Consultants die aktuellsten Methoden und Tricks
ein, welche auch «echte» Hacker / Cracker einsetzen. Ausserdem kommen
beim Penetration Test mehr Tools zum Einsatz und der Report
beinhaltet technische und organisatorische Massnahmenvorschläge.
Der Hauptunterschied
zwischen einem Penetration Test und dem Ethical
Hacking liegt darin, dass beim Penetration Test
zwar in das Untersuchungsobjekt eingedrungen, es aber nicht modifiziert
wird (z.B. durch Veränderung der Konfiguration, der Daten in
der Datenbank oder Einschleusen von Viren oder Trojanern).
Die Ergebnisse liegen am Schluss in Form eines zielgruppengerechten,
umfangreichen (ca. 40 - 60 A4-Seiten, exkl. Tool-generierten Reports
und Rohdaten), umfassenden und OSSTMM-konformen Schlussberichts
vor. Als Beilage zum Schlussbericht wird ein separates Dokument
mit den ausgefüllten OSSTMM-Formularen geliefert. Sämtliche
Tool-generierten Reports und Rohdaten, sowie der Mitschnitt des
Netzwerkverkehrs (Dump Files) und das Action Log (Protokoll des
Testers bzw. der Tester) liegen auf einem Datenträger bei.
Die OneConsult GmbH ist ISECOM
Licensed Auditor (ILA), Gold Level und unsere Security Consultants
sind von ISECOM in verschiedenen Spezialisierungsrichtungen zertifiziert
(OPST = OSSTMM Professional Security Tester, OPSA = OSSTMM Professional
Security Analyst, OSSTMM-Trainer), was eine seriöse und fundierte
Durchführung der Tests und eine aussagekräftige Dokumentation
der Ergebnisse garantiert.
Wir bieten Penetration Tests für einzelne
Applikationen oder Systeme (als Ergänzung zum Application
Security Audit) sowie kabelgebundene (z.B. Internet, DMZ
und LAN/WAN) und kabellose Netzwerke (z.B. WLAN, BlueTooth, GPRS
oder Infrarot) an.
Ablauf
Modulare Ausbaubarkeit
Folgende Optionen können als Ergänzungsmodule
beliebig zum Penetration Test geordert werden:
- erweiterte Informationsbeschaffung
- Social Engineering
(Ausnutzen menschlicher Schwächen)
- Footprinting (Webrecherche)
- Dumpster Diving
(Abfall durchsuchen)
- Audit Firewall Ruleset
- VPN (Deep Inspection:
Sniffing, Traffic-Analyse, Agressive Mode Forcing, PSK Brute Forcing)
- Denial-of-Service-Tests
- Protokoll-Tunneling-Test
(überprüft Anfälligkeit auf "covert
channel"/"inside-out"-Attacken (Test-Trojaner-basierter
Ansatz: Einsatz von OneConsult®
Pandora PRO))
- Ethical
Hacking (Auftragshacking)
- System Audit (Betriebssystem und Betriebssystem-nahe Dienste
(Konfiguration und Passwort-Stärke))
- War Dialing (Dial-up
Remote Access Systeme)
- War Driving (kabellose
Netzwerke)
- Software Reverse Engineering
- Systemhärtung
- Diskussion Schlussbericht
- Projektpräsentation
(inkl. Diskussion Schlussbericht)
Wer das Kosten/Nutzen-Verhältnis optimieren will,
sollte die Stärken der
verschiedenen Testtypen kombinieren.
Haben wir Ihr Interesse geweckt? Gerne beantworten
wir Ihre Fragen in einem unverbindlichen Gespräch oder senden
Ihnen weitere Informationen. Wie Sie uns erreichen können,
erfahren Sie hier.
Weiterführende Informationen
| 
