Angriffssimulation: Effizient und gründlich
Als Softwarehersteller und Dienstleister für Informationssicherheit bieten wir seit vielen Jahren realistische Angriffssimulationen auf Unternehmensinfrastrukturen an, um unsere Kunden vor echten Cyber-Angriffen bestmöglich zu schützen.
Unsere spezialisierten IT-Sicherheitsexperten simulieren beim Penetrationtest im Gegensatz zu automatisierten Scans einen echten Angreifer, der mit viel Erfahrung und Kreativität um die Ecke denkt und funktionale Schwachstellen bzw. Konfigurationsprobleme kreativ miteinander kombiniert.
Web-Application
Von der Eingabevalidierung über die API-Sicherheit bis hin zum Konfigurationsmanagement bewertet ein Penetrationstest von Webanwendungen verschiedene Aspekte der Sicherheit einer Webanwendung, um Schwachstellen zu identifizieren. Bei der Durchführung orientieren wir uns an dem aktuellen Web Security Testing Guide (WSTG).
Ausgangspunkt
- Online-Portale
- eCommerce-Anwendung
Mobile-Application
Beim Penetrationstest von mobilen Apps konzentriert sich die Aufmerksamkeit besonders darauf, wie eine App auf einem mobilen Gerät und dessen Betriebssystem läuft. Dabei fokussiert sich der Penetrationstest auf gerätespezifische Schwachstellen, Berechtigungen und Datenspeicherung.
Ausgangspunkt
- Einführung einer neuen App
- Anpassungen an einer App
Client/Infrastruktur
Ein Penetrationstest von Client und Infrastruktur ist eine gezielte und kontrollierte Methode, um die Sicherheit von IT-Systemen und Netzwerken zu bewerten. Dabei werden verschiedene Angriffstechniken eingesetzt. Ziel ist der Tests ist es, Schwachstellen und Sicherheitsrisiken in der IT-Infrastruktur eines Unternehmens zu identifizieren.
Ausgangspunkt
- kompromittiertes Gerät
- Cloud-Lösung
- Netz-Zugang
Reporting
Die Ergebnisse des Pentests werden in einem ausführlichen, gegliederten Report zusammengeführt. Darin sind die identifizierten Schwachstellen beschrieben sowie Empfehlungen für deren Behebung. Einzelne Bereiche des Reports können auch separat herausgelöst werden und an Verantwortliche für die weitere Bearbeitung verteilt werden.
Vom Penetrationtest zur Compliance Automation
Nach Abschluss eines Pentests können die Findings (Ergebnisse) im VASGARD/IAN abgebildet und somit für die Lösung nachverfolgt werden. Durch die Betrachtung der Ergebnisse aus unterschiedlichen Blickwinkeln (IT-Betrieb vs. Geschäftsleitung vs. Auditor) werden die relevanten Zusammenhänge begreifbar. Sicherheitsrisiken werden Silo-übergreifend dargestellt. Resultierende Maßnahmen inklusive Verantwortlichkeiten können ebenfalls erfasst und in ein vorhandenes Ticketsystem übergeben werden. So wird die Nachverfolgung der Findings gewährleistet, ohne dass zusätzliche Reports und Listen gepflegt werden müssen.