Penetrationstests als Dienstleistung
Wir sind Anbieter von externen und internen Netzwerkpenetrationsservices, die dazu beitragen können, Schwachstellen aufzudecken, bevor "echte" Hacker dies tun.
Unsere Zertifikate
Unsere Dienstleistungen
Warum ist ein Penetrationstest notwendig?
Um sich effektiv gegen Hackerangriffe zu schützen, können Penetrationstests ein klares Bild der Sicherheitssituation des Systems liefern. Hier sind sechs Gründe, warum Unternehmen en regelmäßige Penetrationstests benötigen:
Schutz von Daten und geistigem Eigentum
Ein Penetrationstest deckt Schwachstellen auf und überprüft, wie anfällig ein System ist. Gemeinsam mit dem Kunden werden dann Sicherheitsmaßnahmen ergriffen, um Daten im Falle eines tatsächlichen Angriffs durch bösartige Hacker zu schützen.
Schutz vor Verlust
des Rufs
Ein Penetrationstest, durchgeführt von einer unabhängigen Third-Party Anbieter, verringert das Risiko eines Angriffs und schützt somit vor einer möglichen Rufschädigung.
Erfüllung gesetzlicher Verpflichtungen
Empfindliche Daten erfordern besonderen Schutz. Im Rahmen der IT-Governance erfordern zahlreiche rechtliche Vorschriften den ordnungsgemäßen Betrieb eines Informationssicherheitsmanagementsystems.
Empfehlungen für Sicherheitsmaßnahmen
Wer einen Penetrationstest durchführen lässt, erhält einen detaillierten Bericht, der Ihrem IT-Management-Team ermöglicht, die Risiken der aktuellen Situation zu verstehen, und IT-Spezialisten Empfehlungen für spezifische Sicherheitsmaßnahmen gibt.
Quality management
Viele Unternehmen richten interne QM-Systeme ein, um die Qualität von Dienstleistungen und Produkten zu gewährleisten. Neben Code-Reviews für Softwareprodukte kann ein Penetrationstest verwendet werden, um die Zuverlässigkeit der Informationstechnologie zu überprüfen und zu messen.
Zertifizierungen und Compliance
Für bestimmte Branchen und Prozesse ist es notwendig, Standards zu erfüllen. Unternehmen, die beispielsweise Kreditkartentransaktionen durchführen, müssen dem PCI-Datensicherheitsstandard entsprechen. Um die Compliance zu erreichen, ist es notwendig, Systeme von einer unabhängigen Third-Party Anbieter überprüfen zu lassen. Ein durch einen Penetrationstest nachgewiesenes Sicherheitsniveau ist hierbei ein klarer Wettbewerbsvorteil.
Wie es funktioniert
Wie unsere White-Hat-Hacker arbeiten
Ein Penetrationstest ist normalerweise grob in sechs Phasen unterteilt:
Vorbereitung
Scanphase
Aufzählung
Recherche aller mit dem Kunden verbundenen Artefakte und Ressourcen (Domainnamen, IPs, Ressourcen von Third-Party Anbieter), einschließlich aus dem Darknet. Abstimmung von Testzielen, Umfang, Testmethoden und Geräten.
In dieser Phase suchen wir nach offenen Pfaden zu Computern und Ressourcen. Das System wird zum ersten Mal "berührt". Hier versuchen wir, Informationen aus verschiedenen Quellen zu erhalten.
Diese Phase läuft oft gleichzeitig mit Phase 2. Ihr Ziel ist es, nützliche Informationen durch den Sicherheitscheck zu erhalten. In dieser Phase suchen wir nach geeigneten Exploits, führen detaillierte Netzwerkanalysen durch, knacken Hashes und koordinieren weitere Angriffe.
Exploit-Phase
Auswertung und
Berichterstattung
Post-Implementierung Überprüfung
Here we conduct the verification tests (exploitation of vulnerabilities, circumvention of security measures and active intrusion, man-in-the-middle attacks, post-exploitation, etc.)
Then we repeat levels 2 to 4.
Um die tatsächliche Sicherheitssituation realistisch beurteilen zu können, ist ein ausführlicher Bericht erforderlich. Während der abschließenden Analyse bewerten und dokumentieren wir die Ergebnisse, erstellen die Zusammenfassung und Präsentation, listen Schwachstellen auf und geben Empfehlungen für Gegenmaßnahmen.
Wir geben spezifische Empfehlungen für erforderliche weitere Maßnahmen und unterstützen Sie bei deren Umsetzung, falls erforderlich. Wir überprüfen alle Korrekturen und Verbesserungen, um sicherzustellen, dass unsere Empfehlungen richtig funktionieren.
Von uns verwendete Methoden
Warum wir
Warum sollten Sie sich für ESKA für Ihren Penetrationstest entscheiden?
Haben Sie immer noch Bedenken, ob die Zusammenarbeit mit uns die Mühe wert ist? Überprüfen Sie 6 Gründe, warum Sie uns unter anderen Unternehmen wählen sollten!
Erfahrung
Wir verfügen über mehr als 8 Jahre Erfahrung auf dem Cybersecurity-Markt.
Zuverlässigkeit
ESKA ist nicht nur ein Auftragnehmer, sondern Ihr Partner. Daher sind wir immer bereit, auch in der Zukunft zu helfen. Unser Fokus liegt immer auf Beziehungen und dem Erfolg des Kunden!
Auf dem Laufenden
Wir erkunden stets den Cybersecurity-Markt und nutzen die modernsten Techniken und Tools.
Sachverstand
Wir haben zertifizierte Experten, die für die anspruchsvollsten Herausforderungen bereit sind.
Unterstützung
Wir liefern nicht nur einen Bericht mit einer unverständlichen Liste von Problemen. Wir überprüfen manuell die Schwachstellen und erklären, auf welche Weise sie geschlossen werden können. Wir bieten Roadmaps und Empfehlungen.
Verifiziert
Wir werden von mehr als 200 Unternehmen (einschließlich Regierungen und internationalen Konzernen) vertraut.
Was wir getan haben
Case Studies in verschiedenen Branchen
Jeden Monat schließen wir erfolgreich Projekte ab. Hier ist eine Liste unserer neuesten Projekte.
BRANCHE
STARTUPS
BRANCHE
VERSICHERUNG
Penetrationstest für das internationale Versicherungsunternehmen
Plattform, die eine Lösung für das Personalmanagement im SMB-Markt
Das Hauptziel dieses Penetrationstests war die Überprüfung der Infrastruktur des Kunden durch externen Dienstleistern, die die Sicherheit von Anwendungen, Infrastruktur und Datenschutz seiner Nutzer beeinträchtigen könnten. Die Bewertung überprüft auch Sicherheitskonfigurationen, die die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Unternehmensdaten und anderer Ressourcen des Kunden gewährleisten.
Unser Kunde, ein junges Startup mit einem überzeugenden Kundencase, bat uns, Tests durchzuführen und einen unabhängigen Bericht über ihre Schwachstellenbewertung zu erstellen. Die Webanwendung wurde bewertet, und wir erstellten einen detaillierten Bericht über ihren Sicherheitsstatus. In der Zukunft half ihnen dieser Bericht, ihr Sicherheitsniveau zu bestätigen und das Vertrauen zukünftiger Kunden zu stärken.
BRANCHE
FINANZIELLE INSTITUTIONEN
GROSS
UNTERNEHMEN
BRANCHE
Die Logistikfirma wollte die mobile Anwendung vor dem Start überprüfen
Ein Finanzunternehmen entschied sich, seine Sicherheit zu verbessern
Die Logistikfirma wollte die mobile Anwendung vor dem Start überprüfen. Ein dominanter Logistikdienstleister hatte seine neue mobile Anwendung, die von einem Third-Party Unternehmer entwickelt wurde, abgeschlossen und bat darum, das Sicherheitsniveau dieser mobilen Anwendung zu überprüfen. Als Ergebnis erhielten unsere Kunden die Bestätigung des Schutzniveaus der mobilen Anwendung, Empfehlungen zur Verbesserung des Sicherheitsniveaus und Informationen zu den Qualifikationen der Auftragnehmer.
Investmentdienstleistungsunternehmen arbeitet ständig mit sensiblen Kundendaten und muss deren Sicherheit und Schutz gewährleisten. In der Zukunft konnte das Unternehmen das Sicherheitsniveau signifikant erhöhen und die Sicherheit seiner Kunden gewährleisten.
GESUNDHEITSPFLEGE
BRANCHE
Medizinisches Zentrum im Gesundheitswesen fordert einen Wi-Fi-Penetrationstest
Medizinisches Zentrum im Gesundheitswesen fordert einen Wi-Fi-Penetrationstest an
Ein medizinisches Zentrum, das öffentliche Wi-Fi-Zugangspunkte an Orten mit hoher Besucherzahl hat, musste seinen sicheren Perimeter und Schwachstellen in der Netzwerksicherheit überprüfen.
FAQ
Auf diesem Block finden Sie Antworten auf die beliebtesten Fragen unserer Kunden. Haben Sie nicht gefunden, was Sie brauchen? Senden Sie uns einfach eine Anfrage.
-
Was ist ein Penetrationstest?Kaum eine Woche vergeht, ohne dass Berichte über Angriffe auf sensible Systeme erscheinen. Diese führen zu finanziellen Schäden, und das Vertrauen sowie das Ansehen bei Kunden und Partnern bröckeln. Um sich gegen Angriffe zu schützen, müssen angemessene Gegenmaßnahmen auf verschiedenen Ebenen ergriffen werden. Gut geschulte Mitarbeiter und Prozesse, die auch die IT-Sicherheit berücksichtigen, sind essenziell für einen wirksamen Schutz. Vor allem jedoch stellt der Sicherheitscheck durch einen Penetrationstest von einer unabhängigen dritten Partei ein effektives Mittel dar. Was genau ist also ein Penetrationstest? Ein Penetrationstest ist ein autorisierter, geplanter und simulierter Cyberangriff auf ein Unternehmen oder eine öffentliche Einrichtung. Das Ziel ist es, bisher unbekannte Angriffspunkte zu identifizieren und zu eliminieren, bevor Hacker diese nutzen können, um geistiges Eigentum oder andere sensible Daten zu stehlen oder der Organisation sonstigen Schaden zuzufügen. Während des Penetrationstests versuchen geschulte Tester, Ihre IT-Systeme mit den Methoden krimineller Hacker anzugreifen, um die Verwundbarkeit der Systeme festzustellen, woraufhin dann angemessene Schutzmaßnahmen getroffen werden können.
-
Weißkasten, Graukasten, Schwarzkasten: Was ist der Unterschied?Bei der Auseinandersetzung mit dem Sicherheitssystem eines Kunden können wir verschiedene Ansätze wählen, die farbbasierte Bewertungen einschließen. Schwarzkasten Schwarzkasten-Tests (Black Box) sind die am häufigsten verwendeten und werden von vielen Organisationen bevorzugt, da die Analysten auf derselben Ebene arbeiten wie ein typischer Hacker. Der Penetrationstester kennt die Details des zu bewertenden Systems nicht im Voraus. Schwarzkasten-Tests ermitteln und detaillieren die Schwachstellen eines Systems von außen. Auf technischer Ebene stützt sich diese Art von Tests auf die dynamische Analyse der laufenden Programme und Netzwerke. Obwohl diese Art von Tests sehr schnell sein kann, abhängig von der Fähigkeit des Pentesters, Schwachstellen sowie implizite Netzwerkausfälle zu finden, hat sie einen Nachteil. Sie impliziert, dass, wenn es dem Analysten nicht gelingt, das Perimeter zu durchdringen, die intern gefundenen Fehler verborgen bleiben. Weißkasten Im Gegensatz zu Graukasten- oder Schwarzkasten-Tests haben Weißkasten-Tests (White Box) vollen Zugriff auf den Quellcode eines Systems sowie auf die Architektur, Infrastruktur und Dokumentation. In diesem Sinne sind diese Arten von Tests diejenigen, die die längste Zeit in Anspruch nehmen, da die Analysten eine immense Menge an Informationen durchsuchen müssen, um das zu finden, was wirklich nützlich für die Mission ist. Einer der Mängel dieser Art von Test ist, dass sie Blindheit aufgrund des tiefen Wissens über das System erzeugen können, was oft die Handlungen, die ein Hacker ohne Wissen begehen kann, übersehen lässt. Jedoch ist dies kein realistischer Angriff, da der Cyberkriminelle möglicherweise nicht alle Angriffsdetails kennt. Graukasten Ein Graukasten-Test (Gray Box) ist eine Weiterentwicklung eines Schwarzkasten-Tests, bei dem der Analyst denselben Netzwerkzugang wie ein durchschnittlicher Systembenutzer hat. Der Graukasten-Test beginnt mit unvollständigen Informationen über das angegriffene System. Das kann einige Schlüsseldaten, Netzwerktopologie, Betriebssysteme, deren Versionen usw. sein. Typischerweise wird diese Information eine logische Balance haben und kann simulieren, was ein Cyberkrimineller nach einer gewissen Zeit des Studiums des Systems hätte. In diesem Sinne hat er mehr Wissen über die Netzwerkinfrastruktur und -architektur und verfügt über größere Privilegien, was eine viel fokussiertere und effizientere Analyse ermöglichen kann. Dies hilft auch, Simulationen von anhaltenden Bedrohungen innerhalb eines Systems zu generieren, um die Reaktionsfähigkeit der Benutzer zu bewerten. Die Graukasten-Methodologie ermöglicht eine tiefere Penetration und umfassendere Tests als der Schwarzkasten, ohne das Simulationselement völlig zu verwerfen.
-
Arten und Modelle von Penetrationstests, die wir anbieten?External network penetration testing. Anything exposed to the Internet needs some form of security testing. If an external host is compromised, it can lead to an attacker digging deeper into your internal environment. External network penetration testing is focused on the perimeter of your network and identifies any deficiencies that exist in the controls that protect against remote attackers targeting the Internet-facing systems in your environment. When performing external penetration testing, our penetration testers mimic real scenarios as best as possible to root out all potential vulnerabilities. Our external network penetration testing techniques include the following: ● Port scans and other network service interactions and queries ● Network sniffing, traffic monitoring, traffic analysis, and host discovery ● Spoofing or deceiving servers via dynamic routing updates (e.g., OSPF, RIP spoofing) ● Attempted logins or other use of systems with any account name/password ● Use of exploit code for leveraging discovered vulnerabilities ● Password cracking via capture and scanning of authentication databases ● Buffer overruns/underruns ● Spoofing or deceiving servers regarding network traffic ● Alteration of running system configuration except where denial of service would result ● Adding user accounts. Internal network penetration testing. Whether it’s disgruntled workers, previously terminated employees, or someone trying to steal trade secrets, there is a high chance of potential internal threats. Even without malicious intent, simple configuration issues or employee mishaps can also result in a network compromise, leading to the majority of attacks originating from within. Our internal network penetration tests target the networked environment that lies behind your public-facing devices. This service is designed to identify and exploit issues that can be discovered by an attacker who has gained access to your internal network: ● Internal subnets ● Domain servers ● File servers ● Printers ● Network devices ● Phones ● Buffer overruns/underruns ● Workstations and laptops Web applications penetration testing. Web applications are unique constructs, mixing various forms of technology and providing an interactive front for others to use. Some web applications are made public, while others might be internal applications existing on an intranet. No matter the location, there are always security variables. How well does your application handle input? Does it work with backend servers in a secure manner? Will your session management scheme hold up to penetration testing? Web application penetration testing tests for the following: ● Application logic flaws ● Forced browsing ● Access and authentication controls ● Session management ● Cookie manipulation ● Horizontal escalation ● Vertical escalation ● Brute-force password guessing ● Poor server configuration ● Information leakage ● Source code disclosure ● Response splitting ● File upload/download attacks ● Parameter tampering ● URL manipulation ● Injection attacks for HTML, SQL, XML, SOAP, XPATH, LDAP, Command ● Cross-site scripting ● Fuzzing
-
Wie viel kostet ein Penetrationstest und welche Faktoren beeinflussen seinen Preis?Der Preis für unseren Service ergibt sich aus der Größe und Komplexität des Penetrationstests. Der Umfang der zu testenden Objekte und Netzwerke, die Lizenzgebühren für die verwendeten Scan-Tools und die Art der Tests beeinflussen die Kosten. Falls Nachfolgetests notwendig sind, erhöht dies ebenfalls den Gesamtpreis. Alle Preisfaktoren besprechen wir mit Ihnen und erstellen in einem persönlichen Beratungsgespräch ein unverbindliches Angebot. Diese Formulierung ist auf die Verständlichkeit für deutsche Bürger zugeschnitten und verwendet klare, präzise Begriffe, die im deutschen Geschäftsumfeld gebräuchlich sind.
-
Wie oft sollte ein Penetrationstest durchgeführt werden? Wie lange dauert er?Es wird empfohlen, den Penetrationstest mindestens zweimal pro Jahr durchzuführen, jedoch wird die optimale Häufigkeit nach einer Analyse des spezifischen Unternehmens bestimmt. Standardmäßig erhalten Sie unseren Abschlussbericht innerhalb von 1-2 Wochen nach Abschluss des Penetrationstests. Sollten Sie eine frühere Übermittlung der Ergebnisse benötigen, teilen Sie uns dies bitte im gemeinsamen Kick-off-Meeting mit. Für zeitkritische Projekte sind wir gerne bereit, Ihnen unsere Ergebnisse früher zur Verfügung zu stellen, sofern dies möglich ist. Diese Übersetzung berücksichtigt die direkte und formelle Kommunikationsweise, die in Deutschland üblich ist, und stellt sicher, dass die Informationen klar und präzise übermittelt werden.
-
Welche Dokumentation und Berichte erhalte ich als Ergebnis des Penetrationstests?Nach Abschluss des Penetrationstests erhalten Sie einen Abschlussbericht, der in verschiedene Abschnitte gegliedert ist: Management-Zusammenfassung Hier erhalten Sie eine nicht-technische Zusammenfassung des Projekts und der identifizierten Befunde für die Managementebene. Alle kritischen Befunde werden prägnant zusammengefasst. Verfahren, Umfang und Werkzeuge Es handelt sich um eine detaillierte Beschreibung der verwendeten Testmethoden, des analysierten Testobjekts und des Umfangs, sowie der während des Penetrationstests verwendeten Tools und Skripte. Befunde und Maßnahmen Ein wichtiger Teil unseres Abschlussberichts ist die detaillierte, technische Beschreibung aller identifizierten Befunde. Sie erhalten auch eine umfassende Empfehlung, wie jede Schwachstelle behoben werden kann, geeignet für technisches Personal (wie Entwickler oder Administratoren). Standardisierte Risikobewertung Zur Bewertung unserer Befunde folgen wir bekannten Standards wie der OWASP-Risikobewertungsmethode. Das Risiko einer Schwachstelle basiert auf der Eintrittswahrscheinlichkeit und ihrer Auswirkung. Wenn Sie an einem Penetrationstest für Netzwerke interessiert sind, würden wir Ihnen gerne ein unverbindliches Angebot machen. Sie müssen lediglich Ihre Kontaktinformationen und Daten über Ihr Unternehmen in unserem Kontaktformular hinterlassen, und wir werden Sie so schnell wie möglich kontaktieren.