| Penetration Test
Positionierung: Intensive,
technische, unprivilegierte Sicherheitsüberprüfung aus der Perspektive
eines Angreifers mit Skill Level «Hacker / Cracker».
Der Penetration Test ist ein simulierter,
realitätsnaher Hackerangriff. Im Gegensatz zum Security
Scan wird beim Penetration Test ein wesentlich
grösserer Teil der anstehenden Arbeiten manuell erbracht und
die Tester versetzen sich in die Rolle eines Hackers. Dabei setzen
unsere Security Consultants die aktuellsten Methoden und Tricks
ein, welche auch «echte» Hacker / Cracker einsetzen. Ausserdem beihaltet der Report des Penetration Tests sowohl technische als auch organisatorische Massnahmenvorschläge.
Die Hauptunterschiede
zwischen einem Penetration Test und dem Ethical
Hacking liegen darin, dass beim Penetration Test
in der zur Verfügung stehenden Zeit möglichst alle Sicherheitslücken aufgespürt werden und in das Untersuchungsobjekt eingedrungen, es aber nicht modifiziert
wird (z.B. durch Veränderung der Konfiguration, der Daten in
der Datenbank oder Einschleusen von Viren oder Trojanern). Die detaillierte Funktionstabelle zeigt die Merkmale der verschiedenen von OneConsult angebotenen technischen Testtypen auf.
Ablauf
Der Auftraggeber definiert den Informationsgrad beider Parteien (Tester und Administratoren/Anwender der zu testenden Systeme):
| Black Box |
Die Tester erhalten vorweg keinerlei Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist es, Sicherheitslücken aufzuspüren und auszunutzen. |
| White Box |
Die Tester erhalten vorweg detaillierte Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die Simulation einer Attacke mit Insiderwissen. |
| Gray Box |
Die Tester erhalten vorweg teilweise Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die effiziente Projektdurchführung, indem verhindert wird, dass wertvolle Projektzeit verschwendet wird. |
Die Ergebnisse liegen am Schluss in Form eines zielgruppengerechten,
umfangreichen (ca. 40 - 60 A4-Seiten, exkl. Tool-generierten Reports
und Rohdaten), umfassenden und auf Wunsch OSSTMM-konformen Schlussberichts
vor. Sämtliche
Tool-generierten Reports und Rohdaten, sowie der Mitschnitt des
Netzwerkverkehrs (Dump Files) und das Action Log (Protokoll des
Testers bzw. der Tester) liegen auf einem Datenträger bei.
Die OneConsult GmbH ist ISECOM
Licensed Auditor (ILA), Platinum Level und ISECOM Partner (Accredited Trainer). Unsere Security Consultants
sind von ISECOM in verschiedenen Spezialisierungsrichtungen zertifiziert
(OPST = OSSTMM Professional Security Tester, OPSA = OSSTMM Professional
Security Analyst, OSSTMM-Trainer). Dies garantiert eine seriöse und fundierte
Durchführung der Tests und eine aussagekräftige Dokumentation
der Ergebnisse.
Wir bieten Penetration Test für einzelne
Applikationen oder Systeme (als Ergänzung zum Application
Security Audit) sowie kabelgebundene (z.B. Internet, DMZ
und LAN/WAN) und kabellose Netzwerke (z.B. WLAN, BlueTooth, GSM/UMTS
oder Infrarot) an.
Modulare Ausbaubarkeit
Der Funktionsumfang des Basismoduls Penetration Test kann mit diversen optionalen Ergänzungsmodulen modular erweitert werden.
Haben wir Ihr Interesse geweckt? Gerne beantworten
wir Ihre Fragen in einem unverbindlichen Gespräch oder senden
Ihnen weitere Informationen. Wie Sie uns erreichen können,
erfahren Sie hier.
Weiterführende Informationen
| 
