Penetrationstests

security

ZERTIFIZIERUNGSAUDITS
GAP-ANALYSE/SICHERHEITSAUDITS
PENETRATIONSTESTS
DATENSCHUTZ
 
BUSINESS CONTINUITY / NOTFALLMANAGEMENT
REVISION DER INFORMATIONSSICHERHEIT
KRITISCHE INFRASTRUKTUREN

 

Penetrationstests

Penetration Tests auf Netzwerk- und Systemebene

Penetration Tests werden je nach Ziel der Tests auf Netzwerk- und Systemebene oder auf Applikationsebene durchgeführt. Auf Netzwerk- und Systemebene stehen die IT-Systeme, wie z.B. Betriebssysteme, Middleware, Datenbanken, im Fokus der Tests. Bei den Tests auf Applikationsebene sind Webanwendungen, Webshops, Portal o. ä. die Zielobjekte.

Mittels Penetrationstests auf Netzwerk- und Systemebene untersucht die Accuris AG die vom Auftraggeber benannten Zielsysteme aus dem Internet oder lokalen Netz hinsichtlich möglicher technischer Schwachstellen. Voraussetzung für die Durchführung der Tests ist, dass die Systeme auf IP-Ebene erreichbar sind.

Exemplarisch für solche Tests sind:

  • die Ermittlung und der Versuch der Ausnutzung von Implementierungsschwächen des im Zielsystem eingesetzten Betriebssystems
  • die Ermittlung und der Versuch der Ausnutzung fehlerhafter Konfigurationen des Zielsystems (z.B. Zugriff auf beliebige Dateien auf einem IIS-Server)
  • die Untersuchung auf unerwünscht zulässige Dienste (z.B. durch fehlerhafte Konfiguration oder unzureichende Filterregeln) und
  • der Versuch, eingesetzte Dienste (nach Absprache mit dem Kunden) durch Denial-of-Service-Attacken außer Kraft zu setzen

Ein Ziel eines Penetration Tests ist es, Schwachstellen in IT-Systemen oder Software (z.B. durch fehlende Patches) oder deren Konfiguration zu identifizieren, die von einem Hacker potenziell ausgenutzt werden können, um Zugriff auf die Systeme zu erhalten, sensible Informationen zu kompromittieren oder die Verfügbarkeit von Systemen oder Anwendungen einzuschränken.

Penetration Test auf Applikationsebene

Ziel applikationsspezifischer Penetration Tests ist es, Schwachstellen bei der Implementierung auf Applikationsebene zu identifizieren. Insbesondere soll geklärt werden, ob und welche Angriffe von einem entfernten Rechner erfolgreich sein könnten.
Die applikationsspezifischen Tests dienen zur Konstruktion von Angriffen, die über rein netzwerkspezifische Tests nicht abgedeckt werden. Dazu werden individuelle Testfälle ausgewählt, entwickelt und durchgeführt.

Exemplarisch für applikationsspezifische Tests sind:

  • Doppeleinreichung derselben Dialoginitialisierung,Einreichung syntaktisch korrekter, aber überlanger Nachrichten
  • Dialogübernahme durch einen anderen Kunden
  • Wiederaufnahme eines bereits beendeten Dialogs und einzelne gezielte Veränderungen des Nachrichtenaufbaus
  • Absicht dieser Angriffe ist der Gewinn von Aussagen über Möglichkeiten zum unerlaubten Zugriff auf bzw. die unerlaubte Veränderung von Informationen
  • die Beeinträchtigung der Stabilität der Systeme sowie die missbräuchliche Nutzung zulässiger Dienste

Unser Service für Sie

Ausführung der Penetrationstests auf Netzwerk- und Systemebene und auf Applikationsebene durch einen langjährig erfahrenen, zertifizierten PEN-Test-Spezialisten.

Unser PEN-Test Spezialist ist im Besitz der folgenden Zertifizierungen:

  • CEH – Certified Ethical Hacker by International Council of E-Commerce Consultants (EC Council)
  • CISSP – Certified Information Systems Security Professional by (ISC)2
  • GCIA – GIAC Certified Intrusion Analyst
  • GCFA – GIAC Certified Forensic AnalystSFCP – Sourcefire Certified Professional
  • CISA – Certified Information System Auditor