Security Services

Penetration Testing

IT-Organisationen entwickeln, pflegen und optimieren täglich ihre Netzwerksicherheit gegen interne und externe bösartige Benutzer und Angreifer. Um eine langfristige und nachhaltige Stärkung der Informationssicherheit zu erreichen, ist es von grösster Bedeutung, Risiken frühzeitig zu erkennen, zu bewerten und zu beseitigen.

wizlynx group nimmt sich die nötige Zeit, die Geschäftsprozesse unserer Kunden zu verstehen. Dadurch gewinnen wir sowohl einen ganzheitlichen Überblick als auch eine technische Sichtweise, die uns eine ähnliche Denkweise wir ein Angreifer ermöglicht. Anhand von festgelegten Zielen identifizieren wir zunächst das schwächste Glied der Kette und eskalieren danach die Vorgehensweise bis eine oder mehrere Sicherheitsvorkehrungen umgangen werden können, und bekommen damit privilegierten Zugang zu Informationen oder Systemen.

Unsere Penetrationstests basieren auf einem hybriden Ansatz, die sich aus automatisierten und manuellen Testmethoden zusammensetzten. Die Bestrebungen, privilegierten Zugriff auf Firewalls, Netzwerke und entsprechende Geräte wir Server, IoT, Webanwendungen und andere Expositionspunkte zu erhalten, werden auf sichere und kontrollierte Weise durchgeführt, während die identifizierten Schwachstellen ausgenutzt werden. Sobald eine Schwachstelle erfolgreich ausgenutzt wurde, werden unsere Sicherheitsanalysten versuchen ihre Position zu stärken, indem sie nachfolgende Exploits starten, um höhere Privilegien und einen tieferen Zugriff auf digitale Assets und Informationen zu erhalten.

Penetration Tests Typen


Web Applikationen

Umfassende Penetrationstests von Webanwendungen, Webservices und APIs die zur Bearbeitung von Geschäftsprozessen genutzt werden, mit dem übergeordneten Ziel, webbasierte Schwachstellen zu identifizieren und auszunutzen. Unsere Penetrationstester wenden modernste Techniken an und besitzen fortgeschrittene Fähigkeiten, um Schwachstellen auf den Systemen, Diensten und Anwendungen zu identifizieren und auszunutzen


Network & Server Infrastruktur

Wir bewerten die Fähigkeit Ihrer internen oder externen Informationsressourcen, Angriffen standzuhalten. Unsere erstklassigen Penetrationstester nutzen Techniken wie Cyberkriminelle, um in Ihr Netzwerk, Ihre IT-Infrastruktur, Ihre Cloud-Umgebung und Ihre Server einzudringen. Dadurch werden Sicherheitslücken, Auswirkungen von Ausnutzungen und die Einhaltung von Sicherheitsrichtlinien durch Endbenutzer aufgedeckt.


Mobile Applikationen

Bewertung mobiler Anwendungen zur Identifizierung spezifischer Schwachstellen in mobilen Computerumgebungen, wie sie beispielsweise durch das Open Web Application Security Project (OWASP) und andere neu entstehende Industriestandards definiert sind.


Wireless Networks

Umfassende drahtlose Penetrationstests, die von traditionellen Wi-Fi-Netzwerken bis hin zu speziellen drahtlosen Systemen reichen, mit dem Ziel die Schwachstellen zu identifizieren und auszunutzen. Gleichzeitig werden Anleitungen zur Beseitigung der identifizierten Schwachstellen oder Optimierungsmassnahmen mitgegeben.


Thick-Client

Unsere Dienstleistungen für Penetrationstests von Thick-Clients sind darauf ausgelegt, eine umfassende Sicherheitsbewertung Ihrer Anwendung durchzuführen, die alle Ebenen von der Client-Seite über die Datenübertragung bis hin zur Server-Seite abdeckt. Unser Team erfahrener Penetrationstester wird eine gründliche Analyse Ihrer Thick-Client-Anwendung durchführen, um Schwachstellen zu identifizieren und auszunutzen.


Active Directory (AD)

Unsere Dienstleistungen für Penetrationstests von Microsoft Windows "Active Directory" sind darauf ausgelegt, Schwachstellen in  Active-Directory-Umgebungen zu identifizieren, die zu Privileg-Eskalation und Domänen-Dominanz führen könnten. Unsere erfahrenen Penetrationstester werden fortgeschrittene Techniken und Tools einsetzen, um die Sicherheit Ihrer Active-Directory-Umgebung zu bewerten, einschließlich der Identifizierung von Schwachstellen in Authentifizierung, Autorisierung und Zugriffskontrollmechanismen.

Unsere Penetration Testing Methodik

Die Wizlynx Group Penetration Testing Methodik baut auf dem im OWASP Testing Guide, Open Source Security Testing Methodology Manual (OSSTMM) und Penetration Testing Execution Standard (PTES) beschriebenen Ansatz auf.
Vorbereitung
Aufklärung
Zuordnung
Schwachstellen-Erkennung
Schwachstellen-Ausbeutung
Analyse & Berichterstattung

Was testen wir während eines Penetration Test?

Die Durchführung unseres Penetrationstests besteht aus drei Hauptphasen, die im Folgenden erläutert werden:
Aktive & Passive Aufklärung

Sammeln von Informationen über das Ziel sowie Identifizierung der zugrunde liegenden Komponenten wie Betriebssysteme, laufende Dienste, Softwareversionen usw. Die folgende Liste enthält eine nicht abschliessende Auflistung der geprüften Elemente, die es uns ermöglichen unseren Angriff auf bewusste Weise durchzuführen und damit unsere Erfolgswahrscheinlichkeit zu erhöhen:

  • Open domain search
  • DNS investigation
  • Public information search (search engines, social networks, newsgroups, etc.)
  • Network enumeration
  • Port scanning, OS fingerprinting, and version scanning
  • Firewall enumeration


Schwachstellen-Erkennung

Bewertung, die aus der Analyse der IT-Assets des Kunden gegenüber von über 80'000 Schwachstellen und Konfigurationsprüfungen sowie CWE/SANS TOP 25 Most Dangerous Software Errors und OWASP Top Ten Schwachstellen besteht. Die wizlynx group verwendet mehrere Schwachstellen-Scanner sowie manuelle Techniken, um die Dienste die über das Netzwerk erreichbar sind, wie SMTP, HTTP, FTP, SMB, SSH, SNMP, DNS, etc, zu testen. Die folgenden Schwachstellen können identifiziert werden (nicht abschliessende Liste):

Service seitige Ausbeutung

  • Remote code execution
  • Buffer overflow
  • Code Injection
  • Web Application exploitation (XSS, SQLi, XXE, CSRF, LFI, RFI, and more)

Network Manipulation & Ausbeutung

  • VLAN Hopping attacks
  • ARP Spoofing
  • HSRP/VRRP Man-In-The-Middle attack (MiTM)
  • Routing Protocols MiTM

Identity & Authentication Schwachstellen Ausbeutung

  • Default username and password
  • Weak and guessable user credentials

Berechtigungserweiterung

  • Race conditions
  • Kernel attacks
  • Local exploit of high-privileged program or service

Schwachstellen-Ausbeutung

Mit einem hybriden Ansatz (automatisiertes und manuelles Testen) versuchen unsere Sicherheitsanalysten, durch Ausnutzung der in der vorherigen Phase «Vulnerability Identification» identifizierten Schwachstellen kontrollierten und privilegierten Zugriff auf die Zielsysteme zu erhalten.

Penetration Testing

Unterstützte Ansätze zum Testen von Webanwendungen

Die Web Application Penetration Testing Services der wizlynx group unterstützen folgende Testansätze bei der Bewertung von Webanwendungen:

Blackbox Web Application Penetration Test

Bezieht sich auf das Testen eines Systems ohne spezifische Kenntnisse über das Innenleben des Informationsgutes, keinen Zugriff auf den Quellcode und keine Kenntnisse der Architektur, zu haben. Dieser Ansatz simuliert genau wie sich ein Angreifer zunächst typischerweise einer Webanwendung nähert. Aufgrund mangelnder Anwendungskenntnisse kann das Aufdecken von Fehlern und/oder Schwachstellen jedoch erheblich länger dauern und keinen vollständigen Überblick über die Sicherheitslage der Anwendung geben.


Greybox Web Application Penetration Test

Bezieht sich auf das Testen des Systems, während man einige Informationen über das Ziel hat. Dieses Wissen beschränkt sich in der Regel auf die URL der Anwendung sowie auf Anmeldeinformationen von Benutzern die verschiedene Benutzerrollen wiedergeben. Der Greybox-Test ermöglicht fokussierte und zielgerichtete Bemühungen, die auf fundierten Kenntnissen des Zielsystems basieren. Dieses zusätzliche Wissen kann dazu führen, dass bedeutendere Schwachstellen mit deutlich geringerem Aufwand, identifiziert werden können. Daher kann das Greybox Testing ein sinnvoller Ansatz sein um Angriffstechniken besser zu simulieren. Authentifiziertes Testing ermöglichen es dem Penetrationstester die Webanwendung vollständig auf mögliche Schwachstellen zu überprüfen. Darüber hinaus ermöglicht es dem Tester Schwachstellen in der Anwendungsautorisierung zu überprüfen, die zu einer vertikalen und/oder horizontalen Berechtigungserweiterung führen können.


Whitebox Web Application Penetration Test

Bezieht sich auf das Testen des Systems mit vollständiger Kenntnis des Zielsystems. Bei wizlynx group besteht ein Whitebox-Penetrationstest aus einem Greybox-Test in Kombination mit einem Secure Code Review. Diese Bewertungen werden ein umfassendes Verständnis der Anwendung und des Sicherheitsstatus der Infrastruktur vermitteln.

Was erhalten Sie?

Alle Ergebnisse werden in einem ausführlichen Abschlussbericht dokumentiert und anschliessend mit einem Stärken-Schwächen-Profil gegenüber internationalen Standards für IT- und Cybersicherheit verglichen. Die identifizierten Schwachstellen werden bewertet und durch Empfehlungen von Verbesserungsmassnahmen ergänzt sowie entsprechend dem damit verbundenen Risiko priorisiert dargestellt. Der Abschlussbericht wird im Rahmen einer Nachbesprechung mit dem Kunden besprochen. Der Bericht wird eine umfassende und aussagekräftige Zusammenfassung der durchgeführten Sicherheitsaudits oder Penetrationstests auf Management-Ebene enthalten. Darüber hinaus werden alle detaillierten Ergebnisse mit entsprechenden Nachweisen und Empfehlungen für zukünftige Sicherheitsmassnahmen enthalten sein.

wizlynx group Penetration Test Report

Unsere zuletzt durchgeführten Sicherheitsbewertungen

Retail Company
2022

Web Application Penetration Testing of 10+ eCommerce solutions.


Banking and Financial Services Company
2022

Penetration Test of several servers and network devices.


Computer Manufacturing Company
2022

Red Teaming Operations and Attack Simulation Services for Taiwan-based manufacturer of notebook computers. The Red teaming operations consisted in finding attack paths in a stealthy way to break into the customer's network remotely. Our Red team used vulnerability identification & exploitation techniques as well as social engineering to break into the customer's network.


Für eine vollständige Liste der wizlynx group Projekte besuchen Sie bitte unsere Website unter: https://www.wizlynxgroup.com/ch/de/cyber-security-schweiz/penetration-test-referenzes

wizlynx group ist ein weltweit anerkannter CREST Penetration Testing Dienstleister mit CREST zertifizierten Penetrationstestern


Erfahren Sie mehr über CREST und die Vorteile der Beauftragung eines akkreditierten Anbieters für Penetrationstests

Unsere Cybersecurity Zertifizierungen

Die Sicherheitsberater und Penetrationstester der wizlynx group verfügen über die anerkanntesten Zertifizierungen in der Cybersicherheits- und Penetrationstestbranche: CREST CRT, SANS/GIAC GXPN, GPEN, GWAPT, GCIH, GMOB, OSCP, CEH, CISSP, CISA und weitere!

Penetration Test | Offensive Security Certified Professional | OSCP
Penetration Test | GIAC Certified Penetration Tester | GPEN
Information Security | GIAC Expert Researcher and Advanced Penetration Tester | GXPN
Penetration Test | CREST Certified Penetration Tester | CREST
Penetration Test | GIAC Web App Pen Tester | GWAPT
Penetration Test | GIAC Mobile Device Security Analyst | GMOB
Penetration Test | Offensive Security Certified Expert | OSCE
Top