STARK Pentest
Angriff ist die beste Verteidigung
In einer Welt voller digitaler Risiken bietet Ihnen die STARK Penetrationstests an, welche die Sicherheit Ihrer IT-Infrastruktur aus der Perspektive eines Angreifers auf die Probe stellen. Mit unserem Team aus erfahrenen und zertifizierten Experten machen wir Ihre Applikation sicherer.
Penetrationstest
Was ist ein Pentest und wofür ist er gedacht?
Web-Applikations Penetrationstest
Web-Applikationen sind der häufigste öffentlich erreichbare Angriffsvektor. Aus diesem Grund müssen Sie höchste IT-Sicherheitsanforderungen erfüllen. Diesen Sicherheitsstandard erreichen Sie mit einem Penetrationstest.
Netzwerk Penetrationstest
Der Netzwerkpenetrationstest legt den Fokus auf eine gesamte Infrastruktur mit all ihren Komponenten. Dabei werden neben den Server- und Clientsystemen auch alle erreichbaren Netzwerkkomponenten wie Router, Switche und Firewalls geprüft.
OT Penetrationstest
Partner aus der Industrie schätzen unsere spezialisierten Penetrationstests für Netzwerke mit Prozess- und Regeltechnik in Industrieanlagen sehr. Anlagen mit KRITIS-Anforderungen und komplexen OT-Systemen im laufenden Betrieb erfordern ein ganz besonderes Vorgehen.
Active Directory Penetrationstest
Active Directory bildet das digitale Rückgrat vieler Organisationen. Aufgrund der vielfältigen Konfigurationsmöglichkeiten gibt es hier viele Fallstricke. Diese werden gerne und häufig zur Verteilung von Ransomware ausgenutzt.
Der Ablauf eines Pentests
Fragen?
Scoping
Zu Anfang eines Projekts definieren Sie gemeinsam mit uns die zu testenden Systeme und Dienste sowie die Schwerpunktsetzung.
Onboarding
Sie erläutern uns die Funktionsweise Ihrer Applikation und Systeme aus Sicht eines Anwenders und stehen für unsere Rückfragen zur Verfügung. Außerdem muss das technische Onboarding sichergestellt werden, indem Netzewerkzugänge und Benutzeraccounts zur Verfügung gestellt werden.
Durchführung des Pentests
Unsere Penetrationstester auditieren Ihr System aus der Rolle eines Angreifers. Für Rückfragen zu Details, bei unerwarteten Ergebnissen oder beim Fund von kritischen Schwachstellen, werden sich unsere Tester sofort bei Ihnen melden.
Dokumentation
Jede gefundene Schwachstelle wird sofort ausführlich und verständlich dokumentiert. Nur mit einem unkompliziert zu verstehenden Bericht kann sichergestellt werden, dass alle technischen Details auch verstanden werden.
Ergebnisworkshop
Der Ergebnisbericht wird Ihnen ausführlich in einem Ergebnisworkshop vorgestellt. Hier wird jede einzelne gefundene Schwachstelle besprochen und ein gemeinsames Verständnis erarbeitet. Ihre Fragen zu den Schwachstellen und möglichen Lösungsmöglichkeiten werden hier detailliert besprochen und diskutiert.
Ein Penetration Test ist eine professionelle und tiefe Analyse einer Applikation oder eines IT-Systems bis ins letzte Detail. Durch die Behebung der gefundenen Schwachstellen und Implementierung weiterer gezielter Sicherheitsmaßnahmen an kritischen Hotspots kann die Applikation das gewünschte Maß an Sicherheit erreichen.
Ziel der Sicherheitsanalyse ist die Erkennung und Dokumentation von Schwachstellen durch einen externen Partner, um das Schadenspotential besser einschätzen zu können, damit das Risiko auch bei komplexen Systemen so gering wie möglich gehalten wird.
Das Vorgehen unserer Sicherheitsanalyse lässt sich in drei Phasen einteilen:
- Bedrohungsanalyse
- Schwachstellenanalyse
- Risikoanalyse
Die Bedrohungsanalyse ist ein Verfahren zur Bestimmung der erwarteten, realistischen und bedeutenden Bedrohungen für ein Produkt unter Berücksichtigung aller relevanten Objekte und Subjekte. In der Bedrohungsanalyse wird zunächst bestimmt, welche Angriffsszenarien für das Zielsystem überhaupt infrage kommen. Ziel ist eine praxisnahe Selektion von Bedrohungsszenarien, welche dann in der zweiten Phase analysiert werden.
Die Schwachstellenanalyse beinhaltet den weitestgehend technischen Teil der Sicherheitsanalyse. Bei der Schwachstellenanalyse orientieren wir uns an relevanten Bausteinen des BSI IT-Grundschutz-Kompendiums sowie Vorgehensweisen gemäß OWASP, beschränkt sich aber nicht darauf. Vielmehr wird während der Analyse eine kontinuierliche und individuelle Anpassung auf das Projektziel vorgenommen und bei Bedarf in regelmäßigen Intervallen mit dem Auftraggeber abgestimmt. Bei der Schwachstellenanalyse arbeiten unsere Experten mit gängigen Open Source Werkzeugen, selbstentwickelten Skripten, sowie kommerziellen Lösungen. Der essenzielle Bestandteil dieser Phase ist die Auswahl geeigneter Werkzeuge, deren individuelle Parametrisierung sowie die Auswertung und Interpretation der Ergebnisse. Abhängig von den Ergebnissen und identifizierten Auffälligkeiten werden weitere zielgerichtete Maßnahmen durchgeführt. Identifizierte Dienste und Zugänge eines Systems werden hier auf verschiedene Art und Weise auf die Probe gestellt. Während dieser Phase nehmen unsere Experten die mit dem Auftraggeber gemeinsam festgelegten Perspektiven ein, um unterschiedliche Angriffsszenarien darzustellen und nach Schwachstellen zu suchen. Aus diesen verschiedenen Perspektiven ergeben sich Angriffsszenarien, welche während der Schwachstellenanalyse erarbeitet und durchgeführt werden. Auffälligkeiten und Sicherheitslücken werden dokumentiert.
Im Anschluss erfolgt eine Risikoanalyse der identifizierten Schwachstellen. Je nach Komplexität, Fundort, Eintrittswahrscheinlichkeit, notwendigen technischen Voraussetzungen und weiteren Parametern wird eine Einschätzung der Kritikalität in Anlehnung an CVSS V4.0 vorgenommen. Für identifizierte Schwachstellen werden Handlungsempfehlungen entwickelt, die gemeinsam mit dem Auftraggeber abgestimmt werden.
Muss es ein Pentest sein?
Ein Penetrationstest ist eine sehr spitze Maßnahme. Haben Sie das Ziel große Landschaften einer breiten Maßnahme zu unterziehen anstatt einer einzelnen Applikation?
Hier ist unsere Recon+ die richtige Wahl. Mit der Recon+ erreichen Sie ein einheitliches Sicherheitsniveau für Ihre gesamte IT-Landschaft.
Ihre Vorteile beim STARK Penetrationstest
Fachlicher Schwerpunkt
Ein Sicherheitsdienstleister muss die Usecases und Anforderungen Ihrer Lösung verstehen.
Qualifikation
Unsere Analysten bilden sich ständig fort und sind hochqualifiziert: OSCP, OSWA, CISSP.
Erfahrung
Unsere Pentester zeichnen sich durch große Erfahrung aus und haben schon alles gesehen!
Mindset
Für unsere Penetrationstester spielt Leidenschaft und Ehrgeiz eine zentrale Rolle.
Vertrauen & Loyalität
Ein Penetrationstests deckt sensible Informationen auf. Ihrem Partner müssen Sie zu 100% vertrauen.
Reporting
Individuelle und verständliche Ergebnisberichte mit realisierbaren Gegenmaßnahmen.
Kommunikation
Klare Kommunikation und ein enger Austausch im Projekt sowie ein intensiver Abschlussworkshop.
Faire Preise
Transparente Kalkulationen und effizientes Vorgehen ermöglichen attraktive Konditionen.
Kunden und Partner
„Trotz unserer gut geschulten Softwareentwickler konnte die STARK bei uns einige kritische Schwachstellen aufdecken. Das hätten wir so nicht erwartet!“
„Wir führen regelmäßig Penetrationstests unserer Anwendung durch. Die STARK hat zu unserem Erstaunen trotzdem noch relevante Angriffsszenarien gefunden“
„Sicherheit in der IT sollte kein subjektives Gefühl sein: Sicherheit ist messbar.“
Kontaktieren Sie uns
STARK IT-Security GmbH, Marsbruchstr. 133, 44287 Dortmund
(+49) 231 58007216
Ihren Pentest planen
Wir unterstützen Sie bei der Vorbereitung und Planung Ihres Penetrationstests.