- Artikel
Zertifizierter IT-Sicherheitsdienstleister
CGI ist als zertifizierter IT-Sicherheitsdienstleister für den Bereich IS-Penetrationstests beim Bundesamt für Sicherheit in der Informationssicherheit gelistet.
Kontaktieren Sie unsere Prüfstelle.
Im Penetration Testing setzt CGI die Brille des Angreifers auf, um mit seinen Tools und Wissen technische Infrastrukturen auf Verwundbarkeiten zu prüfen – bevor der wirkliche Angreifer es tut. Die Dokumentation in nachvollziehbaren Berichten über den Stand der Sicherheit überzeugen Kunden und Auftraggeber.
Die Testarten
Penetration Tests sind unter verschiedenen Voraussetzungen möglich. Bei einem Black-Box Test hat der Tester keinerlei Informationen über sein Zielsystem und nimmt so die Rolle eines Außenstehenden ein. Im Gegensatz hierzu bildet ein White-Box Test den Fall eines voll informierten Innentäters ab. Eine häufig genutzte Testvariante ist der sogenannte Grey-Box Test, der mit einem realistischen Maß an gegebenen Informationen einen guten Kosten-Nutzen-Faktor erreicht.
Der Ablauf
Zu Beginn steht immer ein Kick-Off Meeting, bei dem die Randbedingungen des Tests besprochen und festgehalten werden. Anschließend folgt der eigentliche Testblock nach folgendem generischem Muster:
- Informationsbeschaffung aus Sicht des Angreifer
- Scannen der Zielsysteme
- System- und Anwendungserkennung
- Recherche nach Schwachstellen
- Ausnutzen der Schwachstellen
Nach Beendigung des Testblocks wird eine umfangreiche Dokumentation erstellt, die die durchgeführten Tests, die gefundenen Schwachstellen, sowie Verbesserungsvorschläge zum Abstellen der Schwachstellen enthält. Diese Inhalte der Dokumentation können auch durch eine Präsentation, einen Praxisworkshop oder ein Live Hacking anschaulich vermittelt werden. Da ein Penetration Test immer nur eine Momentaufnahme darstellen kann, folgt später ein Nachtest, der im besten Fall die gefundenen Schwachstellen als abgestellt klassifiziert.
Nachvollziehbare Testframeworks
Penetration Testing nach anerkannten Frameworks wie OWASP, OSSTM, SANS CWE Top 25, WebAppSec und PCI DSS garantieren eine nachvollziehbare und überzeugende Arbeit.
Für jede Aufgabe das richtige Werkzeug
Eine Vielzahl von Tools unterstützen den Penetration Tester bei seiner Arbeit. Jede Facette des Tests kann so optimal abgearbeitet werden.
- Netzwerk Sniffer
- ARP Spoofing Tools
- Portscanner
- Vulnerability Scanner
- Man-in-the-Middle Tools
- Web-Attack Proxys
- Fuzzing Tools
- IP Packet Generatoren
- WLAN Decryption Tools
Aggressivität nach Bedarf
Penetration Tests können in verschiedenen Aggressivitätsstufen durchgeführt werden. So können Livesysteme ohne Ausfallgefahr getestet werden, während es für nicht produktive Systeme möglich ist bis zum Ausfall zu testen. Folgende Stufen werden unterschieden:
- Passiv scannend
- Vorsichtig
- Abwägend
- Aggressiv
Verdeckt oder Öffentlich
Verdeckte Penetration Tests ermöglichen das Testen von Alarmsystemen und Eskalationsprozeduren. Dies ist genauso möglich wie offensichtliche Tests, bei denen die Systemverantwortlichen direkt eingebunden werden. Dies ist besonders bei hochkritischen Systemen aufgrund der schnellen Reaktionsmöglichkeiten bei unvorhergesehenen Problemen zu empfehlen.
Kontaktieren Sie unsere BSI-zertifizierten Penetration-Tester, um einen auf Ihre Infrastruktur und Bedürfnisse maßgeschneiderten Test durchzuführen.