IT-Infrastruktur-Penetrationstests On- & Offsite
Offsite-Penetrationstests (extern)
Extern erreichbare IT-Infrastrukturen sind einer Vielzahl potentieller Angreifer ausgesetzt. Im Rahmen eines von unseren ISO 27001 & IEC 62443 zertifizierten Beratern und Lead Auditoren sowie OSCP und OSWE zertifizierten Pentestern durchgeführten Offsite-Penetrationstests (offensive Security) begeben wir uns in die Rolle eines externen Angreifers aus dem Internet, um alle exponierten IT-Systeme und Webapplikationen auf Schwachstellen bzw. Zero-Day Schwachstellen zu überprüfen. So lassen sich Sicherheitslücken schließen, bevor sie von echten Angreifern ausgenutzt werden können.
Unsere Vorgehensweise bei der Durchführung von Offsite-Penetrationstests wird nachfolgend dargestellt:
Onsite-Penetrationstests (intern)
Durch Ausnutzung einer Sicherheitslücke innerhalb eines exponierten Systems oder auch durch Social-Engineering Angriffe wie Phishing könnten externe Angreifer Zugriff auf das interne Firmen-Netzwerk erhalten. Aber auch ein Angriff durch internes Personal lässt sich nicht gänzlich ausschließen.
Mit einem von unseren ISO 27001 & IEC 62443 zertifizierten Beratern und Lead Auditoren sowie OSWE zertifizierten Pentestern durchgeführten Onsite-Penetrationstest (offensive Security) evaluieren wir, wie gut Ihre IT-Infrastruktur vor einem Angriff aus dem internen Netz geschützt ist. Die Überprüfung erfolgt anhand der nachfolgenden Vorgehensweise:
Active Directory Whitebox Assessment
Wird Active Directory eingesetzt, so bietet sich im Rahmen eines Onsite-Penetrationstests auch die Durchführung eines Active Directory Whitebox Assessments an. Mit Hilfe von bereitgestellten Zugangsdaten überprüfen wir Ihre AD-Infrastruktur auf den Stand der Technik. Ein solches Assessment kann die folgenden Prüfpunkte umfassen:
- Enumeration aller AD-Komponenten:
- Forests, Trees, Domänen, OUs, Hosts, Groups, Accounts, GPOs, Password-Information
- Überprüfung der betrieblichen Abläufe
- Überprüfung der privilegierten Konten/Gruppenmitgliedschaft sowie der regelmäßigen Kontohygiene
- Überprüfung der Forest- und Domain-Trusts
- Überprüfung der Konfiguration des Betriebssystems, des Sicherheitspatches und der Update-Level
- Überprüfung der Domänen- und Domänencontroller-Konfiguration im Vergleich zu den von Microsoft empfohlenen Richtlinien
- Überprüfung des Schlüssels Active Directory-Objektberechtigung-Delegation
- Maßnahmen zur Verbesserung vorschlagen