Penetration Test

We recommend a penetration test for systems with critical and sensitive data. These must be specially protected; automated security tests that identify known security gaps are not sufficient here.

With our combination of predominantly manual and customized automated tests, we also identify unknown configurations and programming errors.

Penetration test procedure

Planing:

Each penetration test is individual. For different scenarios there are procedures that can be recommended by us. We can provide you with experts in all areas, from white to grey to black box tests, server infrastructure and applications.

We go through the following points with you:

  • What is the test object?
  • Who is informed
  • Which test is planned, e.g. Black Box or White Box Test
  • Tuning the time of the tests
  • Depth of testing; vulnerabilities are only identified or exploited in a proof of concept
  • Who gets which test results

Basis of the Penetration Tests:

The tests are based on recognized security standards. In addition, we can carry out these tests on the basis of your specific requirements arising from your business.

The best known standards are in this area:

  • PCI DSS (Payment Card Industry Data Security Standard)
  • BSI Guide to IT Security Penetration Testing
  • HIPAA (Health Insurance Portability and Accountability Act)
  • BaFin (Federal Financial Supervisory Authority) IT security regulations
  • OWASP (Open Web Application Security Project) Testing Guide
  • PTES (Penetration Testing Execution Standard)
  • OSSTMM (Open Source Security Testing Methodology Manual)

Test cases

Webapplikations:

Here we check your web application for possible vulnerabilities, such as those described in the OWASP Top Ten (in their current form).

  • Unauthorized access to unauthorized areas
  • Take-over of the web server as a springboard for further attacks
  • Takeover of your web application with the aim of specifically publishing false information
  • Unauthorized tapping of data
  • Manipulation of data

Infrastruktur:

  • Checking their network interfaces from the inside and outside
  • Checking your server operating systems for possible weak points and points of attack
  • Testing these entry points and installing possible backdoors
  • Attacks on your firewall
  • Finding and identifying potential entry points into your network over the Internet
  • Penetrate locked areas in your internal network

WLAN:

With WLAN networks, it is often ignored that these do not end at the office boundaries, but are often visible into the public area and thus represent a potential risk.

  • Finding all accessible WLANs
  • Search for unwanted WLANs via Smartphone or Tablet
  • Attempts to break into the protected WLANs
  • Attempt to break into your internal network via unsecured guest networks

Report

With our report you will receive a management summary including an evaluation of the security level. We usually deliver our reports in a format that is unalterable and protected against unauthorized access.

In addition, you will receive a description and mitigation recommendations for each identified vulnerability. If we have agreed on a specific report in advance, we will of course take this into account.

We also deliver our reports only to the agreed group of people.

After processing

We see our reports as input. We try to find solutions together with you in order to convert the experiences from the penetration test into automated tests. These can then already be used during the development or design phase of a product.

We will also be happy to hold a workshop with your employees after a penetration test, in which we will explain the security gaps and present possible countermeasures.

As an additional service, we can set up a security monitoring system for you so that your critical systems can be monitored regularly and automatically in the future.

After our experts have created the monitoring, we pass on the required knowledge to your employees in a workshop so that they can evaluate and classify the results and, if necessary, adapt the tests to future requirements.

Contact us today and request more information.

Wie funktioniert ein Penetration Test bei imbus?

 

Die Planung:

Jeder Penetration Test ist individuell. Für unterschiedliche Szenarien gibt es Vorgehen, die von uns empfohlen werden können. Von Whitebox-Text, bei dem Sie uns weitestgehend alle nötigen Informationen zukommen lassen, über Greybox-Test bis hin zu Blackbox-Test, bei dem wir uns selbst die meisten Informationen beschaffen. Oft empfiehlt sich ein Whitebox-Text, da es sich hier, vor allem in der Vorbereitung, um ein sehr zeitsparendes Vorgehen handelt.

Folgende Punkte klären wir mit Ihnen vorab:

  • Was ist das Testobjekt (z.B. eine Applikation, Webseite, Software, Embedded System, etc.)?
  • Wer ist informiert?
  • Welche Testdurchführung ist geplant, z.B. Black Box- oder White Box-Test?
  • Zeitpunkt der Tests abstimmen
  • Tiefe der Tests: werden die Schwachstellen nur identifiziert oder in einem Proof-of-Concept auch ausgenutzt?
  • Wer bekommt welche Testergebnisse?

Basis der Penetration Tests:

Als Grundlage bauen die Tests auf anerkannten Security Standards  auf, die es für verschiedene Geschäftsbereiche gibt, wie beispielsweise:

  • PCI DSS (Payment Card Industry Data Security Standard)
  • HIPAA (Health Insurance Portability and Accountability Act)
  • BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) Vorschriften zur IT-Security

 Und auch allgemeine Standards müssen immer berücksichtigt werden. Die bekanntesten sind:

  • OWASP (Open Web Application Security Project) Testing Guide
  • PTES (Penetration Testing Execution Standard)
  • OSSTMM (Open Source Security Testing Methodology Manual)
  • BSI Leitfaden IT-Sicherheits-Penetrationstest

Die vorgegebenen Standards sagen genau, was getestet werden soll, doch jeder Betrieb hat eigene Voraussetzungen und Anforderungen. Durch unsere jahrelange Erfahrung haben wir nicht nur unsere eigenen Standards gesetzt, sondern wir denken auch darüber hinaus. Als Experten wissen wir, wie wir Ihr Testobjekt am effektivsten prüfen, so dass für Sie der bestmögliche Kosten-Nutzen-Faktor entsteht.

Testszenarien

1. Webapplikationen:

Hierbei prüfen wir Ihre Webapplikation auf mögliche Bedrohungen, wie sie z.B. in den OWASP Top Ten (jeweils in der aktuellen Form) beschrieben sind.
Das können z. B. unbefugte Zugriffe auf nicht autorisierte Bereiche sein, unbefugter Zugriff auf Daten oder Manipulation von Daten. Manchmal werden Webserver auch übernommen, um als Sprungbrett für weitere Angriffe auf interne Systeme genutzt zu werden. Außerdem können hier auch gezielt Falschinformationen publiziert werden, die Ihrem Unternehmen massiv schaden können.
Diese und noch mehr Sicherheitslücken prüfen wir mit dem Penetration Test.

2. Infrastruktur:

Die Infrastruktur eines IT-Systems ist voller möglicher Sicherheitslücken, die man nicht aus dem Auge verlieren sollte. Deshalb überprüfen wir zunächst alle Ihre Netzwerkschnittstellen von außen nach innen. Auch die Serverbetriebssysteme werden auf mögliche Sicherheitslücken und Angriffspunkte getestet. Sehr wichtig ist es auch, alternative oder in Vergessenheit geratene Zugänge, die vorhandene Sicherheitsmechanismen umgehen, zu identifizieren.

Zur Infrastruktur gehören außerdem diese weiteren Schritte:

  • Angriffe auf Ihre Firewall
  • Finden und Identifizieren von möglichen Einstiegspunkten in Ihr Netzwerk über das Internet
  • Vordringen in gesperrte Bereiche in Ihrem internen Netzwerk

3. WLAN:

Bei WLAN-Netzen wird oft nicht beachtet, dass diese nicht an den Bürogrenzen enden, sondern auch oft in den öffentlichen Bereich hinein sichtbar sind und somit ein potentielles Risiko darstellen.

Alle WLANs müssen zunächst einmal identifiziert werden, sowie alle nicht gewollten WLANs, die man via Smartphone oder Tablett erreichen kann. Danach werden mit dem Penetration Test Einbruchsversuche in die geschützten WLAN-Einrichtungen sowie in das interne Netz über vorhandene ungesicherte Gastnetze durchgeführt.

Tipp vom Profi: Im WLAN-Gastnetzwerk liegen versteckte Risiken. Lassen Sie ihre Gastnetze nie ungesichert und wechseln sie regelmäßig Ihre Passwörter!

Bericht

Mit unserem Bericht erhalten Sie eine Management Summary inklusive Bewertung des Sicherheitsniveaus. Die Ergebnisse können wir in individuelle Formate bereitstellen, z.B. integriert in Ihre Testumgebung.

Zusätzlich erhalten Sie zu jeder identifizierten Sicherheitslücke eine Beschreibung sowie unsere Mitigations Empfehlungen. Sollten wir im Vorfeld einen besonderen Bericht vereinbart haben, werden wir dies natürlich berücksichtigen.

Unsere Berichte liefern wir nur an den vereinbarten Personenkreis.

Nachbereitung der Penetration Tests

Wir sehen unsere Berichte als Input. Wir versuchen, mit Ihnen gemeinsam Lösungen zu finden, um die Erfahrungen aus dem Penetration Test in automatisierte Tests umzusetzen. Diese können dann schon während der Entwicklung oder in der Designphase eines Produkts eingesetzt werden.

Gerne werden wir mit Ihren Mitarbeitern im Nachgang zu einem Penetrationstest auch einen Workshop abhalten, in dem wir die Sicherheitslücken erläutern und mögliche Gegenmaßnahmen vorstellen.

Als weitere zusätzliche Dienstleitung können wir für Sie ein Sicherheits-Monitoring aufbauen, damit Ihre kritischen Systeme in Zukunft regelmäßig und natürlich automatisiert überwacht werden.

Nach Erstellung des Monitorings durch unsere Experten, geben wir das benötigte Wissen in einem Workshop an Ihre Mitarbeiter weiter, damit diese auch die Ergebnisse bewerten und einordnen können und im Bedarfsfall die Tests auch auf zukünftige Erfordernisse anpassen können.

Kontaktieren Sie uns noch heute und fordern Sie weitere Informationen an. 

Weitere Informationen per E-Mail.

Contact show/hide Contact show/hide

Ihr Ansprechpartner bei imbus

Mr. Tobias Esser