Das Ziel eines Penetration Tests ist das Auffinden von IT-Security-Schwachstellen eines Unternehmens durch einen systematischen Testprozess. Der Fokus eines Penetration Tests kann dabei unter anderem auf dem Netzwerk, (Web-)Applikationen, physischen Standorten oder Mitarbeitern (Social Engineering) liegen.
Die Penetration Tester – auch Ethical Hacker genannt – versuchen während des Tests die Taktiken, Techniken und Vorgehensweisen realer Angreifer nachzuahmen, um ein realitätsnahes Bild der Angriffsoberfläche zu erhalten.
Wozu dient ein Penetration Test?
Überprüfung der implementierten Sicherheitsmaßnahmen
Verschaffen Sie sich einen Überblick über die Wirksamkeit der implementierten Netzwerk-, Applikations- und physischen Sicherheitsmaßnahmen.
Aufdecken von realen Schwachstellen
Erfahren Sie, wo ihr Unternehmen am anfälligsten für reale Bedrohungen ist.
Erfüllen von Compliance Anforderungen
Bewahren Sie Compliance mit regulatorischen oder organisatorischen Anforderungen hinsichtlich Penetration Test-Standards (Bsp. PCI-DSS).
Verbessern der Security Maßnahmen
Wir unterstützen Sie bei der Priorisierung und Behebung von Schwachstellen.
Im ersten Schritt werden öffentlich verfügbare Informationen recherchiert, um möglichst viele Details über die zu testenden Systeme zu erhalten. Diese Informationen werden in den folgenden Schritten verwendet, um die Angriffe zu optimieren.
Mithilfe von Penetration Test Tools werden in diesem Schritt wertvolle technische Informationen beziehungsweise bekannte Schwachstellen zu den Systemen und Applikationen analysiert. Anhand dieser gewonnenen Informationen werden die Ziele der Überprüfung priorisiert bzw. ausgewählt. Mithilfe dieser manuellen Analyse werden darüber hinaus weitere Schwachstellen zu den ausgewählten Zielen identifiziert.
Die in den vorherigen Schritten identifizierten Schwachstellen werden ausgenutzt, um Systeme bzw. Anwendungen erfolgreich anzugreifen. Durch das Ausnutzen und Kombinieren von Schwachstellen wird ein realer Angreifer simuliert und die Konsequenzen aufgezeigt. Dieser Schritt ist iterierend, um die erlangten Berechtigungen zu erweitern und Zugriff auf weitere sensible Informationen zu erhalten.
In dieser Phase werden die erlangten Informationen bzw. Zugriffe hinsichtlich ihrer Kritikalität bzw. der Relevanz für weiterführende Angriffe bewertet und quantifiziert. Alle durchgeführten Änderungen werden dokumentiert und nach Beendigung der Tätigkeiten wieder rückgängig gemacht.
Die identifizierten Schwachstellen bzw. erfolgreichen Angriffe werden durch das Penetration Test-Team nachvollziehbar dokumentiert und mit Beweisen hinterlegt. Die identifizierten Schwachstellen werden in unterschiedliche Risikokategorien klassifiziert. Alle Ergebnisse werden im Penetration Test-Bericht übersichtlich zusammengefasst und mit Maßnahmenempfehlungen versehen. Dadurch können die aufgezeigten Schwachstellen durch Entwickler oder Systembetreiber nachgestellt und behoben werden.
Warum PwC
- Langjährige Erfahrung bei der Durchführung von Penetration Tests
- Expertise bei der Simulation von realen Angriffen
- Expertenwissen bei der Identifikation und Ausnutzung von Schwachstellen
- Weltweites Netzwerk von Experten
- International anerkannte Zertifizierungen im Bereich Penetration Testing und Security Audits
Kontakt
