Security Services

Penetration Testing

IT-Organisationen entwickeln, pflegen und optimieren täglich ihre Netzwerksicherheit gegen interne und externe bösartige Benutzer und Angreifer. Um eine langfristige und nachhaltige Stärkung der Informationssicherheit zu erreichen, ist es von grösster Bedeutung, Risiken frühzeitig zu erkennen, zu bewerten und zu beseitigen.

wizlynx group nimmt sich die nötige Zeit, die Geschäftsprozesse unserer Kunden zu verstehen. Dadurch gewinnen wir sowohl einen ganzheitlichen Überblick als auch eine technische Sichtweise, die uns eine ähnliche Denkweise wir ein Angreifer ermöglicht. Anhand von festgelegten Zielen identifizieren wir zunächst das schwächste Glied der Kette und eskalieren danach die Vorgehensweise bis eine oder mehrere Sicherheitsvorkehrungen umgangen werden können, und bekommen damit privilegierten Zugang zu Informationen oder Systemen.

Unsere Penetrationstests basieren auf einem hybriden Ansatz, die sich aus automatisierten und manuellen Testmethoden zusammensetzten. Die Bestrebungen, privilegierten Zugriff auf Firewalls, Netzwerke und entsprechende Geräte wir Server, IoT, Webanwendungen und andere Expositionspunkte zu erhalten, werden auf sichere und kontrollierte Weise durchgeführt, während die identifizierten Schwachstellen ausgenutzt werden. Sobald eine Schwachstelle erfolgreich ausgenutzt wurde, werden unsere Sicherheitsanalysten versuchen ihre Position zu stärken, indem sie nachfolgende Exploits starten, um höhere Privilegien und einen tieferen Zugriff auf digitale Assets und Informationen zu erhalten.

Penetration Tests Typen


Web Applikationen

Umfassende Penetrationstests von Webanwendungen, Webservices und APIs die zur Bearbeitung von Geschäftsprozessen genutzt werden, mit dem übergeordneten Ziel, webbasierte Schwachstellen zu identifizieren und auszunutzen. Unsere Penetrationstester wenden modernste Techniken an und besitzen fortgeschrittene Fähigkeiten, um Schwachstellen auf den Systemen, Diensten und Anwendungen zu identifizieren und auszunutzen


Network & Server Infrastruktur

Bewertung der Widerstandsfähigkeit von internen oder externen IT-Assets gegenüber Angriffen. Unsere Penetrationstester, die mit den gleichen Techniken wie Cyberkriminelle ausgestattet sind, werden versuchen in das Netzwerk, der IT-Infrastruktur und Servern des Kunden einzudringen. Damit wird das Bewusstsein für Schwachstellen und Sicherheitslücken, und die damit möglichen Auswirkungen der Ausbeutung, erhöht.


Mobile Applikationen

Bewertung mobiler Anwendungen zur Identifizierung spezifischer Schwachstellen in mobilen Computerumgebungen, wie sie beispielsweise durch das Open Web Application Security Project (OWASP) und andere neu entstehende Industriestandards definiert sind.


Wireless Networks

Umfassende drahtlose Penetrationstests, die von traditionellen Wi-Fi-Netzwerken bis hin zu speziellen drahtlosen Systemen reichen, mit dem Ziel die Schwachstellen zu identifizieren und auszunutzen. Gleichzeitig werden Anleitungen zur Beseitigung der identifizierten Schwachstellen oder Optimierungsmassnahmen mitgegeben.

Unsere Penetration Testing Methodik

Die Wizlynx Group Penetration Testing Methodik baut auf dem im OWASP Testing Guide, Open Source Security Testing Methodology Manual (OSSTMM) und Penetration Testing Execution Standard (PTES) beschriebenen Ansatz auf.
Vorbereitung
Aufklärung
Zuordnung
Schwachstellen-Erkennung
Schwachstellen-Ausbeutung
Analyse & Berichterstattung

Was testen wir während eines Penetration Test?

Die Durchführung unseres Penetrationstests besteht aus drei Hauptphasen, die im Folgenden erläutert werden:
Aktive & Passive Aufklärung

Sammeln von Informationen über das Ziel sowie Identifizierung der zugrunde liegenden Komponenten wie Betriebssysteme, laufende Dienste, Softwareversionen usw. Die folgende Liste enthält eine nicht abschliessende Auflistung der geprüften Elemente, die es uns ermöglichen unseren Angriff auf bewusste Weise durchzuführen und damit unsere Erfolgswahrscheinlichkeit zu erhöhen:

  • Open domain search
  • DNS investigation
  • Public information search (search engines, social networks, newsgroups, etc.)
  • Network enumeration
  • Port scanning, OS fingerprinting, and version scanning
  • Firewall enumeration


Schwachstellen-Erkennung

Bewertung, die aus der Analyse der IT-Assets des Kunden gegenüber von über 80'000 Schwachstellen und Konfigurationsprüfungen sowie CWE/SANS TOP 25 Most Dangerous Software Errors und OWASP Top Ten Schwachstellen besteht. Die wizlynx group verwendet mehrere Schwachstellen-Scanner sowie manuelle Techniken, um die Dienste die über das Netzwerk erreichbar sind, wie SMTP, HTTP, FTP, SMB, SSH, SNMP, DNS, etc, zu testen. Die folgenden Schwachstellen können identifiziert werden (nicht abschliessende Liste):

Service seitige Ausbeutung

  • Remote code execution
  • Buffer overflow
  • Code Injection
  • Web Application exploitation (XSS, SQLi, XXE, CSRF, LFI, RFI, and more)

Network Manipulation & Ausbeutung

  • VLAN Hopping attacks
  • ARP Spoofing
  • HSRP/VRRP Man-In-The-Middle attack (MiTM)
  • Routing Protocols MiTM

Identity & Authentication Schwachstellen Ausbeutung

  • Default username and password
  • Weak and guessable user credentials

Berechtigungserweiterung

  • Race conditions
  • Kernel attacks
  • Local exploit of high-privileged program or service

Schwachstellen-Ausbeutung

Mit einem hybriden Ansatz (automatisiertes und manuelles Testen) versuchen unsere Sicherheitsanalysten, durch Ausnutzung der in der vorherigen Phase «Vulnerability Identification» identifizierten Schwachstellen kontrollierten und privilegierten Zugriff auf die Zielsysteme zu erhalten.

Penetration Testing Exploitation Examples

Unterstützte Ansätze zum Testen von Webanwendungen

Die Web Application Penetration Testing Services der wizlynx group unterstützen folgende Testansätze bei der Bewertung von Webanwendungen:

Blackbox Web Application Penetration Test

Bezieht sich auf das Testen eines Systems ohne spezifische Kenntnisse über das Innenleben des Informationsgutes, keinen Zugriff auf den Quellcode und keine Kenntnisse der Architektur, zu haben. Dieser Ansatz simuliert genau wie sich ein Angreifer zunächst typischerweise einer Webanwendung nähert. Aufgrund mangelnder Anwendungskenntnisse kann das Aufdecken von Fehlern und/oder Schwachstellen jedoch erheblich länger dauern und keinen vollständigen Überblick über die Sicherheitslage der Anwendung geben.


Greybox Web Application Penetration Test

Bezieht sich auf das Testen des Systems, während man einige Informationen über das Ziel hat. Dieses Wissen beschränkt sich in der Regel auf die URL der Anwendung sowie auf Anmeldeinformationen von Benutzern die verschiedene Benutzerrollen wiedergeben. Der Greybox-Test ermöglicht fokussierte und zielgerichtete Bemühungen, die auf fundierten Kenntnissen des Zielsystems basieren. Dieses zusätzliche Wissen kann dazu führen, dass bedeutendere Schwachstellen mit deutlich geringerem Aufwand, identifiziert werden können. Daher kann das Greybox Testing ein sinnvoller Ansatz sein um Angriffstechniken besser zu simulieren. Authentifiziertes Testing ermöglichen es dem Penetrationstester die Webanwendung vollständig auf mögliche Schwachstellen zu überprüfen. Darüber hinaus ermöglicht es dem Tester Schwachstellen in der Anwendungsautorisierung zu überprüfen, die zu einer vertikalen und/oder horizontalen Berechtigungserweiterung führen können.


Whitebox Web Application Penetration Test

Bezieht sich auf das Testen des Systems mit vollständiger Kenntnis des Zielsystems. Bei wizlynx group besteht ein Whitebox-Penetrationstest aus einem Greybox-Test in Kombination mit einem Secure Code Review. Diese Bewertungen werden ein umfassendes Verständnis der Anwendung und des Sicherheitsstatus der Infrastruktur vermitteln.

Was erhalten Sie?

Alle Ergebnisse werden in einem ausführlichen Abschlussbericht dokumentiert und anschliessend mit einem Stärken-Schwächen-Profil gegenüber internationalen Standards für IT- und Cybersicherheit verglichen. Die identifizierten Schwachstellen werden bewertet und durch Empfehlungen von Verbesserungsmassnahmen ergänzt sowie entsprechend dem damit verbundenen Risiko priorisiert dargestellt. Der Abschlussbericht wird im Rahmen einer Nachbesprechung mit dem Kunden besprochen. Der Bericht wird eine umfassende und aussagekräftige Zusammenfassung der durchgeführten Sicherheitsaudits oder Penetrationstests auf Management-Ebene enthalten. Darüber hinaus werden alle detaillierten Ergebnisse mit entsprechenden Nachweisen und Empfehlungen für zukünftige Sicherheitsmassnahmen enthalten sein.

wizlynx group Penetration Test Report

Unsere zuletzt durchgeführten Sicherheitsbewertungen

Internet Service Provider
2018

Wireless Network Penetration Test eines stadtweiten drahtlosen Netzwerks.


Informationstechnologie und Dienstleistungen
2018

Grosses Sicherheits-Assessment, das einen Network Penetration Test des öffentlichen IP-Bereichs unseres Kunden, einer Überprüfung der Netzwerkarchitektur des Cloud-Dienstes und eine Post-Compromise-Bewertung beinhaltete.


Internationaler Flughafen
2018

Web Application Penetration Test für Webbrowser und mobile Apps einer Prämien-Anwendung. Host Configuration Review gegenüber CIS Benchmark und Internal Network Penetration Test aller Intranet-Informationen, die eine Fraud Detection-Lösung unterstützen.


Für eine vollständige Liste der wizlynx group Projekte besuchen Sie bitte unsere Website unter: https://www.wizlynxgroup.com/ch/de/cyber-security-schweiz/penetration-test-referenzes

wizlynx group ist ein weltweit anerkannter CREST Penetration Testing Dienstleister mit CREST zertifizierten Penetrationstestern


Erfahren Sie mehr über CREST und die Vorteile der Beauftragung eines akkreditierten Anbieters für Penetrationstests

Unsere Cybersecurity Zertifizierungen

Die Sicherheitsberater und Penetrationstester der wizlynx group verfügen über die anerkanntesten Zertifizierungen in der Cybersicherheits- und Penetrationstestbranche: CREST CRT, SANS/GIAC GXPN, GPEN, GWAPT, GCIH, GMOB, OSCP, CEH, CISSP, CISA und weitere!

Top