Penetrationstest und manuelle Methoden
Warum Penetrationstests?
Bei einem Penetrationstest wird eine zu definierende Angreiferperspektive eingenommen, so z. B. Innentäter, Außenttäter, versierter Angreifer,
Script-Kiddi, etc. Im Rahmen der vereinbarten Tests werden dann die Systeme aus Angreifersicht einem Netz- oder Hostbasierten Angriff ausgesetzt und die Ergebnisse
ausgewertet.
Im Ergebnis erhält der Überprüfte eine Aussage zur Systemsicherheit des betreffenden Systems und ggf. weiterer Schutzmechanismen. Die reale Angriffswahrscheinlichkeit
kann so direkt abgeleitet werden.
Whitepaper
Das Whitepaper zu Penetrationstests beschreibt detailliert die Vorgehensweisen und Werkzeuge bei einem durch uns durchgeführten
Penetrationstest. Da das Dokument ständig aktuellen Gegebenheiten angepasst wird, sind häufig neue Versionen verfügbar.
zum Download
Beschränkungen eines automatisierten Tests
Ein Vulnerabilty Scan unterliegt gewissen Einschränkungen bedingt durch das automatisierte Testverfahren (hierzu hat einer unserer Geschäftsführer Herr Lorenz bereits auf der Systems 2000 einen Vortrag gehalten, der für Sie als kostenfreier PDF-Download bereit steht).
Sonderfälle
Für folgende Fälle empfiehlt es sich dringend, aufbauend auf einem automatisierten Penetrationstest, weitere spezialisierte Tools und manuelle Methoden hinzuzuziehen. Selbstverständlich können auch weitere Systeme mittels manueller Methoden erfolgreich angegriffen werden.
- Web-Applikationen (SQL-Injection, XSS, Information Leaks, etc)
- Anwendungsanalyse (unverschlüsselte Kommunikation, schwache Authentisierung, etc)
- Authentisierungsmechanismen -und Systeme (RAS, Firewall, VPN)