NOTFALL-SUPPORT

LOEPRE-Penetration-Testing-ICON

Penetration Test

Umfassende Analyse zur Erfassung von Schwachstellen in IT-Umgebungen

Sicherheitslücken aufdecken, Schwachstellen erkennen und die Effektivität Ihrer Sicherheitsmaßnahmen durch Simulation echter Angriffe prüfen.

Penetration Test bestehen aus verschiedenen Modulen, darunter

Application Penetration Testing:
Service, bei dem aus Sicht eines Angreifers vorgegangen wird. Identifizieren von Anwendungen und Schwachstellen, die missbraucht werden und unbefugten Zugriff ermöglichen können.

 

Zu den untersuchten Anwendungen und Methoden zählen SQLi, OS Injections, Buffer Overflow, XSS, CSRF, Cookie Manipulation, Session Hijacking, DoS und Business Logic Flaws.
Infrastructure Penetration Testing
Service, bei dem interne IT-Netzwerke, untergelagerte Netzwerke und Extranets untersucht werden, die für Public Services, Remote Access Services oder von Zulieferern verwendet werden.

 

OS- und netzwerkspezifische Schwachstellen identifizieren, die missbraucht werden können, um unautorisierten Zugang zu erlangen oder Angriffe mit einem breiter angelegten oder gezielterem Szenario auszuführen.
Combined Penetration Testing
Service, bei dem Application und Infrastructure Penetration Testing kombiniert werden.

 

Durchgeführt von einem hochgradig spezialisierten Team unter Einsatz hochmoderner Technologien und bewährter Methoden. Bietet Unternehmen einen unverstellten Überblick über ihre Bedrohungsszenarien verbunden mit umsetzbaren Vorschlägen für Maßnahmen zur Verbesserung der Abwehr und der Resilienz.

Risk Management Model

Risk Assesment basierend auf Hybrid Security RA Approach (HSRAA), einem von LOEPRE gemeinsam mit Cybrella Research Lab entwickeltem Verfahren. Beim Hybrid Security Risk Assessment Approach werden verschiedene, bewährte Standardverfahren und Risk Assessment-Methoden kombiniert, sodass konkrete, kundenspezifische Anforderungen maßgeschneidert erfüllt werden.

 

  • White Box Application Security Testing/Audit von Systemkomponenten mit Zugriff auf Development-Ressourcen, interne Dokumentation und Quellcode.

 

  • Grey Box Application Security Testing/Audit von Systemkomponenten und Quellcode beispielsweise von Drittanbietern, Librarys oder anderen Tools.

 

  • Black Box Application Security Penetration Testing/Audit von Systemkomponenten, bei denen kein Zugriff auf Development-Ressourcen besteht oder für die Bewertung spezieller Bedrohungsszenarien, beispielsweise ausgehend von Angreifern mit begrenzten Zugriffsrechten (Proof of Value (POV), Reinigungskräfte, böswillige Mitarbeiter).

 

  • Überprüfung des Quellcodes um zusätzliche Erkenntnisse zu gewinnen, die bei herkömmlichen Dynamic Security Testing (DAST)-Methoden häufig übersehen werden. Dabei kommen automatisierte, händische und hybride Technologien zum Einsatz, um Schwachstellen im Quellcode systematisch aufzudecken.

 

Nach durchgeführter Prüfung erhalten Kunden einen praktikablen Leitfaden mit Vorschlägen zur Risikomitigation.