Sicherheitsanalyse / Pentest

Penetrationstests sind ein effizientes Mittel, um die Sicherheit von IT-Infrastrukturen, IT-Lösungen oder eines einzelnen IT-Systems zu überprüfen. Dabei greifen wir auf die Mittel zurück, über die auch potenzielle Angreifer verfügen. Wir simulieren in Ihrem Auftrag einen Cyberangriff und erkennen somit, ob nach neuesten Erkenntnissen Handlungsbedarf besteht. Durch unsere sehr gute Vernetzung über den ganzen Planeten haben wir Informationen über Angriffsmöglichkeiten, die noch nicht genutzt werden, und können so auch präventiv tätig sein.

Vorgehensweise

Zur Erstellung eines Angebots werden die zu testenden Systeme und Dienste von uns erfasst und gemeinsam mit dem Kunden priorisiert. Dieser erste Schritt ist bei uns in der Regel kostenlos. Wir gehen von einem Arbeitstag pro IP-Nummer aus, wenn bis zu zehn Ports geöffnet sind. Sollten eine oder mehrere größere Webapplikationen vorhanden sein, so ist von zwei Arbeitstagen für eine IP-Nummer auszugehen. Wenn mehrere gleiche Server, wie z. B. in Load-Balancer Konfigurationen vorhanden sind, braucht jeweils nur ein Server exemplarisch getestet zu werden. Sicherheitsanalysen und Pentests werden auch in Übereinstimmung mit den BSI-, ISO-, OWASP-Testing-Guide-, OSSTMM- oder PCI DSS-Standards durchgeführt.

Nach der Erfassung der zu testenden Systeme wird gemeinsam die Invasivität des Pentest festgelegt. Je nach Art und Status der Systeme wird von ungefährlichen Passiv-Scans bis hin zu Crash-Exploits eine Auswahl getroffen. Auch Denial of Service (DOS)-Angriffe und der Schutz davor können dazu gehören. Hierfür kann bei aggressiveren Tests anstelle des Produktivsystems auch ein Klon erstellt und getestet werden.

Der gesamte Test wird in enger Abstimmung mit dem Kunden durchgeführt. Auf Wunsch senden wir Ihnen zu Beginn des Tests bei jeder IP-Nummer eine Nachricht, sodass die Tests gemeinsam überwacht werden können.

Der Pentest erfolgt in mehreren Stufen

  • Durchführung von automatisierten Scans zur Erfassung der Datenbasis im Report: Hier kommen Scanner wie Nessus, OpenVAS, Nmap, Nikto usw. zum Einsatz. Alle Ergebnisse werden dem elektronischen Report angehängt.
  • Manueller Abgleich der Dienste mit Vulnerability-Listen wie CVE zur Verifikation der automatisierten Scanergebnisse: Zur Verifikation der Dienstbezeichnungen werden Fingerprint-Programme wie Hmap, SinFP, BlindElephant usw. eingesetzt.
  • Manuelle Angriffe auf die Dienste werden mit Exploits aus ExploitDB, selbst entwickelten Exploits oder Metasploit durchgeführt.
  • Webapplikationen werden mit Burpsuite/SOAP/REST, W3af/Owasp10 und Exploits aus ExploitDB getestet.
  • Ergebnisse werden in dem Report zusammengetragen und ggf. mit Anleitungen zur Reproduktion von Angriffen versehen.
  • Erfassung aller Ergebnisse: Es werden die Scores der Netzwerke, Hosts, Dienste und der Gesamtscore ermittelt und eingetragen.
  • Bei sich wiederholenden Test werden in der Timeline die Graphen erweitert, um in der Timeline Vergleichbarkeit zu erreichen.
  • Testergebnisse können auch für Mitarbeiter ohne tieferes IT-Sicherheitswissen zusammengefasst werden.

Bewertung

Neben den Standard-Vulnerability-Stufen nach BSI oder OSSTM beinhalten unsere Berichte zwei Benotungssysteme, die unterschiedliche Bereiche abdecken:

1. AVI-Score
Der AVI-Score belegt die Stufen Low, Medium, High und Critical mit einer Benotung von 0 bis 12. Ein Dienst mit maximaler Verwundbarkeit bekommt die Note 12 und ein nicht verwundbarer Dienst bekommt die Note 0.

Der AVI-Score hat folgende Aufgaben:
• Die Unterteilung innerhalb einzelner Vulnerability-Stufen
Sowohl ein Webserver, der seine Intranet-IP anzeigt, als auch eine unsichere Verschlüsselung werden von BSI/OSSTM-kompatiblen Scannern als Medium-Schwachstelle eingestuft. Hierdurch ist ersichtlich, dass nicht alle Ergebnisse innerhalb einer Stufe auch die gleiche Gefahr darstellen. Aus diesem Grund sind die einzelnen Vulnerability-Stufen bei uns in jeweils drei weitere Stufen unterteilt.

• Die Berechnung der durchschnittlichen Verwundbarkeit von Diensten, Servern, Netzwerken, Standorten sowie die Gesamtbewertung Die Berechnung erfolgt wie beim Notendurchschnitt in Zeugnissen. So ergeben die addierten Scores, geteilt durch die Anzahl der Dienste, den Gesamtscore eines Servers. Die Gesamtscores der Server wiederum ergeben das Scoring von Netzwerken usw. Hierdurch wird die Verwundbarkeit quantifizierbar und eine gute Vergleichbarkeit von Standorten oder Netzwerken wird erreicht.

• Timeline und Sicherheitswerdegang
Bei wiederholten Pentests werden die Scores in Graphen erfasst und somit die Entwicklung von Standorten bis hin zu einzelnen Diensten leicht erkennbar dargestellt.

2. PCI-Score
Einige Pentestwerkzeuge wie z. B. der Nessus-Scanner stellen seit einiger Zeit auch die Benotung nach dem Standard der Kreditkarten-Industrie bereit. Hierdurch bietet sich eine gute Vergleichsbasis mit einem offiziellen Standard.

Unsere Reports bzw. Berichte bleiben zum BSI/OSSTM-Standard kompatibel, somit ist die Vergleichbarkeit auch zu einem späteren Zeitpunkt immer gegeben. Die Verwundbarkeitsstufen werden beim AVI-Score jedoch granularer dargestellt und bieten so einen schnellen und tieferen Einblick in den Zustand der gesamten IT-Landschaft.

Reporting

(2 Varianten stehen zur Auswahl)

1. Klassischer Bericht

Der Bericht wird auf Papierbasis und/oder als PDF ausgehändigt. Diese Berichtsform beinhalten folgende Punkte:

• Zielsetzung
• Executive Summary
• Die verwendeten Werkzeuge
• Top-Schwachstellen
• Host-basierte Ergebnisse
• Vorschläge und Beispielkonfigurationen, um Sicherheitslücken zu beheben

2. Elektronischer Bericht

Der Bericht wird als Webserver ausgeliefert. Der elektronische Bericht basiert auf einem Drupal Content Management System und bietet sich bei umfangreicheren Pentests an. Diese Berichtsform beinhalten folgende Punkte:

• Suchfunktion für schnellen Zugriff
• Inhalte können mit Kommentaren versehen werden
• Screenshots und Topologiebilder sind verlinkt
• Beschreibung von verwendeten Exploits und Angriffen werden eingetragen
• Mehrere Mitarbeiter können simultan zugreifen
• Executive Summary ist als PDF-Download angehängt
• Druckfreundliche Darstellung

Der Bericht steht in verschiedenen Varianten zur Auswahl

• Auf einem Server Ihrer Wahl
• Als Live-CD (Der Bericht kann nicht bearbeitet werden)
• Auf einem PC oder Laptop
• Als VM-Image

Bei allen Berichtsformen werden, soweit jeweils möglich und gewünscht, die Ausgaben aller eingesetzten Werkzeuge mitgeliefert.

HMM
Haspa
DACS
Stahl
Alster
Novero
Protection One
Klöckner & Co
Finalsystems
Sanoson
AirBerlin
Harke
HypoVereinsbank
Voit
Solaris
RIPE
Debian
lacnic
ICANN
previous arrow
next arrow
Slider

Copyright © 2019 AVI Security GmbH – Alle Rechte vorbehalten.
Impressum | Datenschutz | AGB | NOTFALL?

Sie werden gehackt?

Nutzen Sie unser Kontaktformular oder rufen Sie uns an. Wenn es dringlich ist auch außerhalb der Geschäftszeiten: 49 40 5326 2503.














Nehmen Sie Kontakt auf!



Wir stehen mit unserem Wissen zu Ihren Schutz bereit!


close-link

Click Me