Cyber Security ist spätestens seit Verschlüsselungstrojanern wie Emotet ganz oben auf der Agenda von Entscheidern wie CIOs, Risikomanagern oder Compliance-Beauftragten: Hacker haben einen Businessplan - der im schlimmsten Fall zu einem Totalschaden von Unternehmen führt. Cyber Attacks haben es heute auf vielmehr als nur Ihre Daten abgesehen. Endpoint Security allein ist nicht mehr ausreichend, eine auditfähige Cyber Resilience Strategie ist Pflicht.

Impuls

Penetration Testing: Analysieren, Bewerten, Handeln.

Viele Hackerangriffe sind an sich sehr einfach: Jeden und Alles angreifen, mit einer wiederholbaren Taktik. Wir kennen die typischen Vorgehensweisen, mit welchen schnelle Beute gemacht werden soll und wissen, warum viele Unternehmen bekannte Sicherheitslücken nicht umgehend schließen. Deshalb ist ein PenTest für uns mehr, als nur das Ausprobieren eines Angriffs: Wir analysieren auch die Prozesse, Architekturen und Verantwortlichkeiten und beziehen dazu Experten aus den Bereichen IAM, EAM und ITSM mit ein.

In diesem Spannungsfeld stellen sich unter anderem folgende grundlegende Fragen:

  • Welche angreifbaren Schwachstellen aufgrund von Fehlkonfigurationen, Programmierfehlern oder generischen Designschwächen sind auf Ihren Systemen vorhanden?
  • Wie weit kann ein Angreifer vordringen, um ausgehend von einer initialen Kompromittierung Zugriff auf Ihre Netze, Systeme und Daten zu erlangen?
  • Wie können Sie die Schwachstellen unter betriebswirtschaftlichen, technischen und organisatorischen Gesichtspunkten effizient und nachhaltig schließen?
  • Welche generellen Maßnahmen können die Gesamtsicherheit Ihrer IT und Ihres Unternehmens bedeutend verbessern?
Mehrwert

Gemeinsam erhöhen wir die Cyber Resilience Ihres Unternehmens!

Wissen, was morgen geschehen kann - was unmöglich klingt, kann durch Experten, die am Puls von ZeroDay-Exploits, CVEs und Security-Researchern arbeiten, Wirklichkeit werden. Während Hacker und Cyberkriminelle sich über die neuesten Findings unterhalten, verstehen wir die Notwendigkeit von Maßnahmen, die einen Angriff unmöglich machen. Cyber Resilience bedeutet aber nicht nur, die Ebene der IT-Security und Infrastruktur zu optimieren. Durch social engineering, das bewusste Ausnutzen von Vertrauen in bekannte Quellen und Absender gelingt Kriminellen häufig ein Angriff über Privilegien, die ihnen gutgläubige Mitarbeiter durch einen falschen Klick auf dem Silbertablett präsentieren.
Unser End-to-End-Ansatz bewertet alle Angriffsflächen vom Desktop mit E-Mail, vom Netzwerk und Datacenter bis hin zum Provider und Cloud-Anbieter. So schaffen wir Awareness, Wissen, Inhouse-Kompetenz und stärken den wichtigsten Faktor Ihres Unternehmens gleich mit: Ihre Mitarbeiter.

Kein Schema F: Exakt auf Ihre Anforderungen zugeschnittene Penetration Tests
Transparenz: Vollkommener Einblick in unser Vorgehen
Persönlich: Direkter Draht zu unseren Penetration Testern
Nachhaltig: Transportieren des Security-Mindsets

„IT Security muss immer ganzheitlich betrachtet werden – Management und Mitarbeiter tragen gemeinsam die Verantwortung.“

IT-Sicherheit wird häufig beschränkt auf Best Practices, das Behandeln bekannter Sicherheitslücken und - mit etwas Fleiß - auf ordentliche Zugangskontrollen. Doch während sich die meisten IT-Abteilungen in Sicherheit wiegen, suchen Hacker jeden Tag nach dem nächsten Angriffsvektor. Unsere Profis kennen die Denk- und Arbeitsweise der Hacker. Auf diese Weise gelingt es Ihnen, während des Pentestings Angriffe mit derselben Effektivität durchzuführen, um so realistische Schadensszenarien zu bemessen. Unsere erfahrenen Penetration Tester sind kompetent in der Analyse, Beurteilung und Optimierung moderner IT-Infrastrukturen.

Unsere Vorgehensweise sichert Ergebnisse, die weit über einen Vulnerability Scan hinausgehen. Dadurch finden wir auch Schwachstellen, die sich nur in der Kombination von Befunden ergeben. Durch eine kontextbezogene Betrachtungsweise der Findings erhalten Sie von uns konkrete Handlungsempfehlungen mit echtem Value für Ihr Unternehmen, anstelle hunderter Seiten zusammenhangsloser Scanergebnisse.

Unsere Vorgehensweise macht den Unterschied:

Vergleich zwischen rein automatisierten Vulnerability Scans und Ventum Penetration Tests

Kontext und Notwendigkeit
Immer mehr Systeme von Unternehmen sind heute über das Internet öffentlich erreichbar. Das Risiko der Kompromittierung wird unterschätzt. Kontinuierliche, automatisierte Angriffe auf diese Systeme nehmen ständig zu – Schwachstellen und Konfigurationsfehler führen direkt zu Schadensfällen.

Einfallstore erkennen und schließen
- Tiefgreifende Analyse des Sicherheitszustands der öffentlich erreichbaren Dienste
- Bewertung der Effektivität vorhandener Sicherheitsmaßnahmen eventueller Übergänge in andere Netze
- Nachhaltige Verankerung der Maßnahmen durch Implementierung von Vulnerability Management

Unser Ansatz
- Teilautomatisierte Scans für schnelle Ergebnisse
- Manuelle Untersuchung relevanter Dienste
- Analyse der möglichen Kompromittierung und weitreichender Post-Exploitation

Methoden & Tools
- Vulnerability Scans mit den neuesten Toolsets und Methoden
- Tiefgreifende manuelle Konfigurations- und Protokollanalyse für eine maximale Identifikation von Angriffsvektoren

Benutzerrechner als Einfallstor
Die initiale Kompromittierung von Unternehmensdaten und Systemen erfolgt häufig über einen PC-Arbeitsplatz. Schadsoftware kommt über Dokumente, offene Schnittstellen und Cloud Services auf legitim erscheinenden Kanälen in die Unternehmen. Auf diese Weise erfolgen regelmäßig erfolgreiche Angriffe auf Konzerne und Mittelstand, wodurch Kundenvertrauen und Marktposition nachhaltig geschädigt werden.

Mehr als nur Endpoint Protection
- Realistische Einschätzung der aktuellen Resilienz gegen Schadsoftware wie zum Beispiel Trojaner und Ransomware
- Höheres Bewusstsein hinsichtlich der Wirksamkeit existierender Sicherheitsmaßnahmen
- Sensibilisierung der Anwender durch nachgelagerte, passgenaue Awareness-Maßnahmen
- Effiziente und praktikable Maßnahmen für mehr Sicherheit

Unser Ansatz
- Analyse der Effektivität von bereits vorhandenen Schutzmaßnahmen
- Aufzeigen der Angriffswege über das Internet
- Prüfung des Identity & Access Managements

Methoden & Tools
- Auslieferung von Schadsoftware via Web Browser und E-Mail
- Verwendung aktueller und realistischer Angriffsszenarien
- Ausleiten von konkreten technischen Maßnahmen

Vielschichtiges Gefahrenpotenzial
Angreifer haben es nicht nur auf die verarbeiteten, meist sensiblen Daten abgesehen: Auch die zugrundeliegende Infrastruktur stellt ein vielversprechendes Ziel dar. Im Worst Case eröffnen Schwachstellen ein Einfallstor in die Unternehmens-IT und sorgen so für hohe Schäden.

Sicherheit auf allen Ebenen
- Mehrdimensionale Betrachtung von Webservices für ein vollständiges Ergebnis
- Priorisierter Maßnahmenkatalog anhand geltender Standards und Best Practices, um die ermittelten Schwachstellen effizient und nachhaltig zu schließen
- Implementierung von Vulnerability Management für eine nachhaltige Verankerung der Maßnahmen

Unser Ansatz
- Manueller Penetration Test Ihrer WebApps, Sicherheitssysteme und Infrastruktur
- Vorgehen nach geltenden Industriestandards
- Ausleiten direkter Optimierungspotenziale

Standards
- OWASP Top 10
- OWASP Open Testing Guide
- OWASP Application Security Verification Standard
- NIST Cybersecurity Framework & CVEs

Sicherheit in komplexen Unternehmensnetzen
Oft lautet die Frage nicht ob, sondern wann ein Angriff auf eines der IT-Systeme erfolgreich ist. Die Grenze zwischen internen Netzen und Internet ist heute fließend, sodass Angriffe ein enormes Schadenspotential bergen. Um die Auswirkungen eines Angriffs zu minimieren, ist ein entsprechendes Sicherheitsniveau der internen IT essenziell.

Feingranulare Analyse für ganzheitliche Resilienz
- Detaillierte Betrachtung der Unternehmens-IT um Sicherheitslücken zu schließen und gleichzeitig die sichere und effiziente Zusammenarbeit von IT-Systemen zu ermöglichen
- Bewertung der Effektivität bereits vorhandener Sicherheitsmaßnahmen auf Basis realistischer Angriffsszenarien

Unser Ansatz
- Analytische Prüfungen der internen IT um den „Gesundheitszustand“ der IT-Landschaft zu ermitteln
- Offensive Prüfungen um den Impact eines Angriffs zu bemessen

Methoden & Tools
- Konzeption und Durchführung von Angriffen im Kontext komplexer Unternehmensarchitekturen
- Vulnerability Scans mit gängigen Tools und den Werkzeugen bösartiger Angreifer

Die ultimative Probe für Ihre Cyber Resilience
Penetration Tests sind für Sie kein Neuland? Die IT-Infrastruktur wird idealerweise schon durch ein SOC/SIEM überwacht? Es bestehen weitreichende Sicherheitsvorkehrungen? Doch wie weit kommt ein externer, professioneller Angreifer wirklich? Wird er rechtzeitig erkannt, um die Auswirkungen zu minimieren?

Sicherheit für das gesamte Unternehmen
- Heben Sie Ihre Widerstandsfähigkeit auf das nächste Level!
- Identifizierung der schwachen Glieder in der Line of Defense, die dem Ernstfall nicht standhalten
- Gemeinsame Umsetzung zielgerichteter Maßnahmen
- Präsentation von Vorgehen und Ergebnissen schafft eindrucksvoll Sicherheitsbewusstsein bei Management und Mitarbeitern

Unser Ansatz
- Realistische Prüfung der Resilienz im Real Life Szenario
- Full Scope Approach inklusive Social Engineering und Prüfung physischer Sicherheit

Methoden & Tools
- Vollständiges Blackbox-Verfahren
- Social Engineering
- Physische Prüfungen
- Langzeitprüfung
- Ergebnispräsentation für Management und Mitarbeiter

Low Level Pentest für High Level Security
Die besten Sicherheitskonzepte helfen nur bedingt, wenn die zugrundeliegende Hardware angreifbar ist. Kritische Sicherheitslücken bleiben oft langfristig öffentlich unbekannt, während Hackergruppen diese bereits ausnutzen. „Smarte Systeme“ werden als Black Box angesehen und fallen deshalb aus dem Fokus der ganzheitlichen Betrachtung.

Sicherheit für ein solides Fundament
- Sicherer Einsatz Ihrer eingebetteten Systeme – auch im Corporate Network
- Security-by-Design: Wir begleiten Ihren Entwicklungsprozess von der ersten Idee bis zum fertigen Produkt.
- Aufwands- und Kostenreduktion durch Vermeidung von nachträglich notwendigen Änderungen

Unser Ansatz
- Tiefgreifende Analyse der Hardware und Firmware
- Know-Your-Device für „Smarte Systeme“
- Security-by-Design für Ihre Entwicklung

Methoden & Tools
- Hardware Hacking
- Reverse Engineering
- Logic Analyzing
- Fuzzing

Für den groben Überblick
Nicht nur professionelle Hacker scannen das Internet auf öffentlich bekannte Schwachstellen. Solche Sicherheitslücken werden gerne auch von „Script-Kiddies“ angegriffen, welche hierbei unbeholfen enorme Schäden anrichten. Auch Malware macht sich diese Einfallstore zunutze, um sich über das Internet auszubreiten.

Low Budget Schwachstellenanalyse
- Aufdecken von oberflächlichen Schwachstellen durch automatisierte Vulnerability Scans
- Prüfung der Befunde auf Validität durch unsere erfahrenen Penetration Tester
- Überblick über öffentlich bekannte Schwachstellen
- Risikominimierung durch Continuous Vulnerability Management

Unser Ansatz
- Automatisierte Vulnerability Scans auf Webanwendungen und Perimeter Systeme für einen groben Überblick
- Kein manueller Pentest, dadurch kosteneffizient

Methoden & Tools
- Vulnerability Scans mit gängigen Tools
- Manuelle Verifikation der Ergebnisse um False Positives vorzubeugen
- Risikobewertung nach CVSS v3.0

Nichts von dem dabei, was Sie suchen? Sprechen Sie uns an! Wir entwickeln im gemeinsamen Gespräch gerne einen individuellen Lösungsansatz.

Penetration Testing - Leistungen auf den Punkt gebracht:

  • Manuell statt rein automatisiert: Kombinatorik, Wissen und Erfahrung anstelle kontextloser Befunde
  • Konkrete, verständliche Handlungsempfehlungen für Ihr Unternehmen und optionale Umsetzungsunterstützung
  • Nachhaltige Erhöhung der Cyber Resilience, um Schadensfällen vorzubeugen und Risiken zu minimieren
  • Gesteigerte Vertrauenswürdigkeit und optimierte Marktpositionierung als sicherheitsbewusstes Unternehmen
Kontakt

Daniel Querzola

T. +49 176 13313322
daniel.querzola@ventum.de

Michael Niewöhner

T. +49 176 13313351
michael.niewoehner@ventum.de

Kai Niessen

T. +49 89 122219642
kai.niessen@ventum.de

Sind Sie bereit für neue Perspektiven? You decide where you will go.

Alle Jobs anzeigen

Zum Weiterlesen

Das könnte Sie auch noch interessieren: