Infrastruktur
Öffentliche IT-Infrastruktur
Exponierte IT-Systeme stehen öffentlich im Internet und sind leicht zu erreichende Ziele für Hacker, Crawler und Bots.
Prüfumfang des Pentests
Bei diesem Penetrationstest untersuchen unsere Ethical Hacker Ihre öffentliche IT-Infrastruktur nach Sicherheitsschwachstellen und Konfigurationsfehlern. Unsere Tests erfolgen auf Netzwerk- und teilweise auf Anwendungsebene. Der Test erfolgt i.d.R. von Remote.
Beispielhafte Prüfobjekte:
VPN-Server
Für eine sichere und verschlüsselte Verbindung in Ihr internes Netzwerk
Web-Applikationen
Homepage, Kundenportale oder Webshops mittels IIS, Apache, Nginx
Mobile Device Management
Anwendungen und Netzwerkdienste zur Verwaltung von mobilen Endgeräten
File-Server
Dateienzugriff über Netzwerkprotokolle wie SFTP, FTP oder WebDAV
E-Mail-Server
Verwaltung von E-Mails über Protokolle wie SMTP, POP3 oder IMAP
Cloud-Dienste
IT-Systeme in der Cloud wie z.B. Docker Container oder S3-Buckets
Cloudbasierte Angriffe haben sich in dem Zeitraum Januar bis April 2020 mehr als versechsfacht und sind um 630% angestiegen. ¹
68 Prozent der Führungskräfte in Unternehmen haben das Gefühl, dass ihre Cybersecurity-Risiken zunehmen.²
Laut dem FBI hat sich die Internetkriminalität seit dem Beginn der Corona-Pandemie im Jahr 2020 verdreifacht. ³
Penetrationstest der öffentl. IT-Infrastruktur
Unser Vorgehen
Ein Test Ihrer öffentlich erreichbaren IT-Infrastruktur betrachtet die Sicht eines externen Angreifers und beinhaltet eine Sicherheitsanalyse aller Ihrer aus dem Internet erreichbaren Systeme. Wir simulieren einen realen Angreifer der versucht, Ihre extern verfügbaren Systeme ohne Vorkenntnisse zu kompromittieren (black-box).
Im ersten Schritt kann eine passive Analyse öffentlich zugänglicher Informationen über Ihre Infrastruktur durchgeführt werden (Passive Reconnaissance Addon). Der Schwerpunkt liegt hierbei insbesondere auf der Identifizierung sowie dem Abgleich der identifizierten IT-Systeme mit Ihren Asset-Listen sowie die Zusammentragung von Schwachstellen (CVEs) und Mitarbeiter-Passwortleaks.
Anschließend erfolgen unsere aktiven Tests, bestehend aus einem automatisierten Schwachstellenscan und einer manuellen Analyse aller aktiven Netzwerkdienste Ihrer extern erreichbaren IT-Systeme.
Ziel ist es, Ihnen eine fundierte Aussage über die potentielle Gefahr eines Angriffs auf Ihre externe IT-Infrastruktur zu geben. Unsere Tests werden ohne jegliche Information über die im Umfang enthaltene IT-Infrastruktur sowie ohne gültige Nutzerkonten für eine mögliche Authentifizierung durchgeführt (black-box).
Quellenverzeichnis
1 - https://www.fintechnews.org/the-2020-cybersecurity-stats-you-need-to-know/
2 - Eigenstatistik der Pentest Factory basierend auf Kundenprojekten
3 - https://www.imcgrupo.com/covid-19-news-fbi-reports-300-increase-in-reported-cybercrimes/