Wussten Sie, dass 93% aller durchgeführten Pen-Tests erfolgreich sind und Sicherheitslücken aufzeigen, die schwerwiegende Folgen haben könnten?.
– Paul Lukas Good @lawmeetstech.ch
Der State of Software Security Report Volume 11 von Veracode, der im Oktober 2020 veröffentlicht wurde, zeigt, dass mehr als drei Viertel (75,2 Prozent) aller Anwendungen Sicherheitslücken aufweisen.
Penetration Tests sichern Ihr Unternehmen!
Penetrationstests sind eine wichtige Methode, um die Sicherheit eines Unternehmens zu bewerten. Indem Sie verschiedene Arten von Angriffen auf alle Aspekte – von Fehlkonfigurationen bis hin zu Benutzerfehlern ausprobieren, können Sie proaktiv Massnahmen ergreifen, bevor es zu einem Angriff auf Ihr Unternehmen kommt!
Nachdem wir mehr als zwei Jahrzehnte damit verbracht haben, die Entwicklung von Penetrationstests zu beobachten und daran teilzunehmen, weiss Adnovum, dass es keine Einheitslösung für alle Unternehmer gibt. Verschiedene Unternehmen haben unterschiedliche Anforderungen an die Strategien und Ressourcen, die zum Pentesting aufgewendet werden sollen und müssen.
Ihre Vorteile bei PenTests mit uns
Manuelle Prüfung von potenziellen tieferliegenden Schwachstellen
Klare Sicht des Sicherheitslevel der untersuchten Systeme
Verständlicher, massgeschneiderter Report
Empfehlungen zur Behebung der aufgedeckten Schwachstellen
Mögliche weitere Unterstützung bei der Behebung, wenn gewünscht
Nehmen Sie Kontakt mit uns auf, wenn Sie die Sicherheit Ihres Unternehmens den Profis anvertrauen möchten. Wir stehen Ihnen bei jedem Schritt, den wir gemeinsam gehen, Rede und Antwort.
Vulnerability Scan für zusätzliche Sicherheit bei unseren Pentests
Wenn Sie Daten im Netz Ihres Unternehmens speichern, möchten Sie das Netz so sicher wie möglich halten, ohne Schwachstellen, die von Angreifern ausgenutzt werden können. Vulnerability-Scans, die als Ergänzung zu Penetrationstests und zur Bewertung eingesetzt werden, helfen dabei, diese Schwachstellen zu ermitteln.
Vulnerability-Scans, auch bekannt als „Vuln-Scan“, sind ein automatisierter Prozess zur proaktiven Identifizierung von Netzwerk-, Anwendungs- und Sicherheitsschwachstellen. Dieser Scan wird auch von Angreifern durchgeführt, die versuchen, Zugangspunkte zu Ihrem Netzwerk zu finden.
Der Scan-Prozess umfasst die Erkennung und Klassifizierung von Systemschwächen in Netzwerken, Kommunikationsgeräten und Computern. Neben der Identifizierung von Sicherheitslücken geben die Schwachstellen-Scans auch Aufschluss darüber, wie wirksam die Gegenmaßnahmen im Falle einer Bedrohung oder eines Angriffs sind.
Der Vulnerability-Scan ist Bestandteil unserer Pentesting Suite.
Unsere Zufriedenen Kunden
So gehen wir bei einem Pentest vor
Informationen zusammentragen
Sie geben uns alle wichtigen Informationen, die wir benötigen um das Penetration Testing durchzuführen.
Im Anschluss werden die Tests gemäss den Anforderungen aufgesetzt.
Scanning
der Systeme
Wir beginnen mit dem manuellen und automatischen Scannen Ihrer Systeme um relevante Daten über eventuelle Sicherheitslücken zu erhalten.
Ausnützung &
Eskalation
Nun versuchen wir uns Zugang zu Ihrem System zu verschaffen um mehr Rechte zu erlangen.
Ausserdem wird geprüft, ob der Zugriff auf weitere Systeme möglich ist.
Berichts-
entwurf
Wir erstellen den ersten Berichtsentwurf mit allen Assessment Resultaten und den möglichen Massnahmen, die erledigt werden müssen, um die Schwachstellen zu beseitigen.
Finaler
Bericht
Zum Abschluss erhalten Sie den finalen Report mit unserem eingearbeitetem Feedback.
So läuft die Zusammenarbeit mit uns ab
Wurden Sie schon einmal gehackt?
Wir führen auch eine ganze Reihe von Sicherheitsprüfungen durch, bei denen alle Aspekte der Datensicherheit und der Einhaltung von Vorschriften für dein gesamtes Unternehmen untersucht werden.
Dies umfasst einen Scan aller Geräte und E-Mail-Server sowie eine Überprüfung der Passwortsicherheit, der Anti-Malware-Lösung und mehr.
Sind Sie auf der Suche nach einem Pentester?
Wir sind die Besten in diesem Geschäft. Unsere Penetrationstester haben zusammen mehr als 50 Jahre Erfahrung und führen über 100 Pentests pro Jahr durch.
Wir stützen unsere Testverfahren auf etablierte Standards und Sicherheitsforschungsprojekte (z.B. PTES, OWASP) und passen sie kontinuierlich an die neuesten Entwicklungen in der IT-Sicherheitsforschung an. Sie können darauf vertrauen, dass wir alle Schwachstellen finden, bevor es Ihre Konkurrenten tun!
Unsere Experten, Ihre Sicherheit!
Wenn Sie bereit sind, die Cybersicherheit Ihres Unternehmens ernst zu nehmen, können wir Ihnen helfen!
Setzen Sie sich noch heute mit uns in Verbindung, um ein Beratungsgespräch mit einem unserer erfahrenen Experten zu führen, der Ihnen gerne alle Fragen dazu beantworten wird, wie wir die Sicherheit Ihres Netzwerks verbessern können oder welche Art von Penetrationstests für Ihr Unternehmen am besten geeignet ist.
Nachhaltige Arbeit zu Ihren Gunsten
Unsere Prüfberichte sind von höherer Qualität als die anderer Unternehmen. Ihr Unternehmen wird davon profitieren, indem Sie umfassende Informationen darüber erhalten, wie es angesichts realer Angriffe positioniert ist.
Sie erhalten Strategien für Massnahmen zur nachhaltigen Verbesserung des Sicherheitsniveaus, ohne dass Sie Ihr Budget sprengen oder sich unnötigen Risiken aussetzen, die ausschliesslich mit der Technologie zusammenhängen.
Für Ihre Sicherheit arbeiten wir mit den Besten Tools
Das können Sie von uns erwarten
- Aufzählung der Server und Services
- Identifizierung von Schwachstellen durch automatisiertes und manuelles Scanning
- Manuelle weitergehende Prüfung von potenziellen tieferliegenden Schwachstellen
- Verifizierung der Ergebnisse
- Klassifizierung nach CVSS und Referenzen zu CVE und OTG
- Erstellung eines Berichtes mit Management Summary und technischen Details
- Beschreibung der Erkenntnisse mit Situations-, Problembeschreibung sowie Empfehlung
Ein Beispiel für unseren Pentest
Pentest bei der Spitch AG
Im November 2020 führte die AdNovum Informatik AG einen Penetrationstest für zwei Web-Applikationen und ein von Spitch AG entwickeltes Spracherkennungs-Backend einen Penetrationstest durch, um die Sicherheitslage der Komponenten zu beurteilen.
Der Test wurde von fünf Mitarbeitenden im Verlauf eines Arbeitstages durchgeführt.
Die Sicherheitsprüfer hatten lokalen Zugang zu den drei Diensten und den Verwaltungskonten der Webanwendung zur Verfügung.
Insgesamt wurden 14 Sicherheitslücken gefunden. Die Tests ergaben zwei Ergebnisse der Kategorie hoch, fünf der Kategorie mittel und fünf der Kategorie niedrig.
Darüber hinaus wurde ein Ergebnis für eine weitere Analyse empfohlen.
Häufig gestellte Fragen zur Application Security
Sind Penetrationstests dasselbe wie Schwachstellenscans?
Der Begriff „Penetrationstest“ steht in der Regel für einen manuellen Prozess, bei dem ein Cybersicherheitsexperte versucht, Schwachstellen in Ihrer IT-Infrastruktur aufzudecken.
Im Gegensatz dazu ist das Scannen auf Schwachstellen automatisiert, d. h. Sie können Ihre Systeme so oft wie nötig regelmässig scannen lassen, um einen Einbruch zu vermeiden. Es ist auch erwähnenswert, dass Vulnerability-Scans häufig der erste Schritt sind, den Penetrationstester durchführen, um den Gesamtzustand Ihrer Systeme zu ermitteln, bevor sie mit einer gründlicheren manuellen Überprüfung fortfahren.
Warum brauchen Sie einen Penetrationstest?
Es gibt viele Gründe, warum ein Unternehmen einen Pen-Test durchführen lässt. Vielleicht wollen sie ihre Kunden oder ihren Ruf schützen – beides gute Gründe. Vielleicht wollen sie Ausfallzeiten, Schäden und Demütigungen im Falle eines Sicherheitsvorfalls vermeiden.
Vielleicht bringen sie eine neue Software heraus und wollen sicherstellen, dass die vorgenommenen Änderungen keine unvorhergesehenen Probleme verursacht haben. Oder vielleicht müssen sie einer dritten Partei versichern, dass sie sicher sind – dies kann dazu beitragen, die Haftung zu begrenzen, wenn etwas schief geht.
Wie oft sollten Sie einen Penetrationstest durchführen lassen?
Wir raten Unternehmen dringend, Penetrationstests als bewährte Sicherheitspraxis einzusetzen. Das ist eine gute Gewohnheit, die man sich angewöhnen sollte. Pen-Tests sind der beste Weg, um die Sicherheit Ihrer internen Prozesse zu überprüfen.
Es ist eine gute Idee, jedes System, das sensible Daten verarbeitet, regelmässig einem Penetrationstest zu unterziehen. Und wenn Sie die von Ihnen erstellte oder geschriebene Software ändern, indem Sie neue Funktionen hinzufügen, den Code umgestalten oder ändern oder auf neue Versionen aktualisieren, ist es vielleicht an der Zeit, einen Penetrationstest der Anwendung durchzuführen.
Was muss ich vor einem Pentest wissen?
Um sich auf Ihren Pentest vorzubereiten, müssen Sie einige wichtige Fragen beantworten: Was ist meine Motivation? Was möchte ich wirklich herausfinden? Wie lauten meine Compliance-Anforderungen? Anhand dieser Antworten können wir erkennen, wie wir an die Tests herangehen sollten.
Oft sind es Dritte, die den Nachweis verlangen, dass man Ihnen ihre Daten anvertrauen kann. In anderen Fällen müssen Sie gesetzliche und behördliche Vorschriften einhalten: ISO, HIPAA, PCI, usw.
Wie läuft ein Penetrationstest ab?
Nachdem Sie Ihre Ziele festgelegt haben, müssen Sie diese mit Ihren Erwartungen abgleichen. Möchten Sie einen tiefen Einblick in Ihre Systeme? Soll der Pentester eine kleine Anzahl von Schwachstellen aufspüren und sehen, wie weit er damit kommt, oder soll er nach einer grossen Anzahl von Schwachstellen suchen, damit Sie die Sicherheit Ihrer Systeme insgesamt verbessern können?
Sie sollten während des Tests mit einem gewissen Rauschen oder Datenverkehr rechnen. Die Tester versuchen nicht, ihre Angriffe zu verbergen oder zu verschleiern, wie es ein echter Angreifer tun würde. In der Regel wollen sie die Probleme so schnell wie möglich erkennen und ausnutzen, da Penetrationstester nach einem Zeitplan arbeiten.
Sie können auch einen detaillierten Bericht mit Ihren Sicherheitsproblemen und Schritten zur Reproduktion der Probleme erwarten. Der Penetrationstester sollte in der Lage sein, Ihnen bei der Verbesserung Ihrer Sicherheit zu helfen, indem er diese Probleme aufdeckt.
Was sind Vulnerability-Scanner?
Ein Schwachstellen-Scanner ist ein automatisiertes Tool, das alle mit einem Netzwerk verbundenen IT-Ressourcen (einschließlich Servern, Desktops, Laptops, virtuellen Maschinen, Containern, Firewalls, Switches und Druckern) identifiziert und ein Inventar davon erstellt.
Für jede Anlage versucht er außerdem, betriebliche Details wie das Betriebssystem und die darauf installierte Software sowie andere Attribute wie offene Ports und Benutzerkonten zu ermitteln. Mit einem Schwachstellen-Scanner können Unternehmen ihre Netzwerke, Systeme und Anwendungen auf Sicherheitsschwachstellen überwachen.
Welche Vorteile habe ich durch einen Vulnerability Scan?
- Klarheit über Ihre Risiken und Ihr benötigtes Sicherheitsniveau
- Einschätzung durch unabhängige Experten garantiert ein effizientes Cyber Security Assesment
- Abgleich mit State-of-the-art IT-Sicherheit nach ISO 27002
- Einhaltung der Compliance-Anforderungen
- Identifizierung zentraler Handlungsfelder
- Objektive Ergebnisse und Verbesserungsmöglichkeiten im Einklang mit den Unternehmenszielen und der Sicherheitsstrategie.
Wozu dient das Scannen auf Sicherheitslücken?
Vulnerability Scans sind ein wesentlicher Bestandteil bei der Minderung der Sicherheitsrisiken Ihres Unternehmens. Durch den Einsatz eines Schwachstellen-Scanners zur Ermittlung von Schwachstellen in Ihren Systemen können Sie die Angriffsfläche, die Kriminelle ausnutzen könnten, verringern und Ihre Sicherheitsanstrengungen auf die Bereiche konzentrieren, die am wahrscheinlichsten angegriffen werden.
Schwachstellen-Scans können auch dabei helfen, IP-Adressbereiche routinemäßig zu überprüfen, um festzustellen, ob nicht autorisierte Dienste offengelegt werden oder ob redundante IP-Adressen verwendet werden.
Wie funktioniert ein Vulnerability-Scan?
Es gibt zwei Hauptarten von Vulnerability-Scans:
Unauthentifizierte Scans finden Schwachstellen in Ihrem Sicherheitsperimeter.
Authentifizierte Scans verwenden privilegierte Anmeldeinformationen, um weiter zu gehen und Sicherheitsschwachstellen in Ihren internen Netzwerken zu finden.
Unabhängig davon, für welchen Typ Sie sich entscheiden, verwenden Vulnerability-Scan-Tools Referenzdatenbanken mit bekannten Schwachstellen, Programmierfehlern, Anomalien, Konfigurationsfehlern und potenziellen Zugangswegen zu Unternehmensnetzen, die von Angreifern ausgenutzt werden können. Diese Datenbanken werden ständig aktualisiert.
Warum sind Schwachstellen-Scans wichtig?
Schwachstellen sind in Unternehmen aller Größenordnungen weit verbreitet. Neue werden ständig entdeckt oder können durch Systemänderungen eingeführt werden.
Kriminelle Hacker verwenden automatisierte Tools, um bekannte Schwachstellen zu erkennen und auszunutzen und sich Zugang zu ungesicherten Systemen, Netzwerken oder Daten zu verschaffen.
Die Ausnutzung von Schwachstellen mit automatisierten Tools ist einfach: Angriffe sind billig, leicht auszuführen und wahllos, so dass jedes Unternehmen, das mit dem Internet verbunden ist, gefährdet ist.
Ein Angreifer braucht nur eine Schwachstelle, um sich Zugang zu Ihrem Netz zu verschaffen.
Was wird bei einem Schwachstellen-Scan geprüft?
Automatisierte Vulnerability-Scan-Tools suchen nach offenen Ports und erkennen gängige Dienste, die auf diesen Ports laufen.
Sie ermitteln Konfigurationsprobleme oder andere Schwachstellen bei diesen Diensten und prüfen, ob bewährte Praktiken wie die Verwendung von TLSv1.2 oder höher und starken Verschlüsselungen eingehalten werden.
Wie sieht das Vorgehen bei einem Scan aus?
- Leistungsdefinition: Klares gemeinsames Verständnis des Vorhabens
- Voranalyse: Analyse von Dokumenten und Schutzbedarfserstellung
- Risikoanalyse: IT-Risiken sind transparent und nachvollziehbar
- Präsentation/Report: IT-Risiken und mögliche Massnahmen sind bekannt, um sie zu minimieren
Das ist Ihnen zu viel Fachchinesisch? Dann nehmen Sie direkt Kontakt mit uns auf, wir erklären Ihnen alles, was Sie wissen müssen.
– Paul Lukas Good @lawmeetstech.ch