Die Silhouette eines Drachens als Logo für die Penetration Test Dienste

In unseren Penetration-Tests bieten wir tiefgreifende Einblicke in die Sicherheitslage ihrer Systeme und Anwendungen. Penetration-Tests sind eine der effektivsten und kostengünstigsten Methoden, um Schwachstellen zu identifizieren und Einfallstore für Threat Actor in Ihre Infrastruktur zu identifizieren.

Bei Y-Security nutzen wir einen vornehmlich manuellen Ansatz bei der Durchführung von Penetration-Tests, der eine detaillierte Prüfung von Inhalt und Funktionalität beinhaltet. Die von uns verwendete Methodik verwendet Industriestandards wie den OWASP testing guide, das Mitre Att&ck framework und sofern anwendbar die CIS benchmarks für eingesetzte Technologien. Wir komplementieren die Methodik durch eigene Forschungsergebnisse sowie gewonnene Kenntnisse aus unseren Penetration-Tests und Attack Simulations für unsere Kunden. Identifizierte Sicherheitslücken werden kombiniert, um die volle Angriffskette eines Threat Actors zu zeigen, sobald das System angegriffen wird.

HERAUSFORDERUNGEN

SCHWACHSTELLEN ERKENNEN

Umgebungen und Anwendungen haben sich in ihrer Komplexität stets weiterentwickelt und es wird mehr als ein automatisierter Schwachstellenscan benötigt, um diese zu identifizieren und nicht das nächste Datenleck zu sein.

SCHWACHSTELLEN AUSNUTZEN

Das mit einer Schwachstelle verbundene Risiko ist häufig unbekannt, so dass den IT-Entscheidern eine vollumfängliche Sicht auf die Sicherheit eines Systems fehlt, um die Gefahr richtig einschätzen zu können.

SCHWACHSTELLEN BESEITIGEN

Schwachstellen werden meist geschlossen ohne den Ursprung zu kennen, der zum Beispiel liegen kann: in fehlenden Weiterbildungsmöglichkeiten oder darin dass das Bedrohungsszenarien nicht vollständig erkannt wurden.

WIE WIR UNTERSTÜZEN

Y-Security stellt seinen Kunden Penetration-Test-Methodiken nach dem neusten Stand zur Verfügung, die sowohl von Klein-, Mittel- oder Großunternehmen genutzt werden können. Unsere Application und Infrastructure Penetration-Tests, Configuration Audits und Tailored Dienstleistungen beinhalten Industriestandards und kombinieren unsere langjährige Erfahrung in der Durchführung von Cyber Resilience Simulationen mit (öffentlich) unbekannten Taktiken, Techniken und Prozeduren (TTP) von Threat Actors der realen Welt.

APPLICATION

Unsere Application Penetration-Tests sind manuelle Sicherheitsüberprüfungen von ausgewählten Anwendungen und fokussieren sich auf technische Schwachstellen, die von einem potenziellen Threat Actor genutzt werden können. Sie erhalten einen Einblick in die Sicherheitslage der Anwendung, wie Sicherheitslücken von einem Threat Actor genutzt werden und wie diese geschlossen werden können, um den Sicherheitsstandard der Anwendung zu erhöhen.

Ein Gorilla steht als Logo für die Dienstleistung Applicaion.
Standort: Remote / Onsite
Variation: Web Anwendung, Mobile Anwendung, Thick Client, Quellcodeanalyse

Mit der Erfahrung unseres Teams greifen wir auf eine hohe Anzahl an verschiedenen Standardangriffen gegen Anwendungen zurück, jedoch identifizieren wir ebenso Schwachstellen in komplexen Anwendungen und deren Arbeitsabläufen. Jeder Penetration-Test ist einzigartig und daher nehmen wir uns bei jeder Sicherheitsüberprüfung Zeit, um die Angriffsfläche der Anwendung, spezifische Technologien der Anwendung und abgeleitete Schwachstellen aus der eingesetzten Technologie sowie spezifische Arbeitsabläufe in der Anwendung zu identifizieren. Die gesammelten Informationen werden während der Durchführung genutzt, um Schwachstellen zu kombinieren und den Angriffspfad eines Threat Actors zu zeigen.

Bei Y-Security nutzen wir einen vornehmlich manuellen Ansatz bei der Durchführung von Penetration-Tests, der eine detaillierte Prüfung von Inhalt und Funktionalität beinhaltet. Die von uns verwendete Methodik beinhaltet Industriestandards wie den OWASP testing guide, das Mitre Att&ck framework und sofern anwendbar, die CIS benchmarks für eingesetzte Technologien. Wir komplementieren die Methodik durch eigene Forschungsergebnisse sowie gewonnene Kenntnisse aus unseren Penetration-Tests und Attack Simulations für unsere Kunden. Identifizierte Sicherheitslücken werden kombiniert, um die volle Angriffskette eines Threat Actors zu zeigen, sobald das System angegriffen wird.

Y-Securitys Methodik beinhaltet die nachfolgenden Kategorien für eine webbasierte Anwendung. Sie wird erweitert, sofern andere Arten von Anwendungen geprüft werden, wie Mobile Anwendungen, Thick Clients oder bei der Durchführung von Quellcodeanalysen:

  • Anwendungsanalyse und Aufklärung
  • Authentifizierung, Autorisierung und Sitzungsverhalten
  • Verschlüsselung
  • Preisgabe von Informationen
  • Eingabevalidierung und Datenbereinigung
  • Anwendungslogik
  • Konfiguration des Servers

Nach der Durchführung erhalten Sie einen detaillierten Abschlussbericht, der aus einer Zusammenfassung für Entscheidungsträger und dem technischen Management besteht sowie einer detaillierten Beschreibung jeder identifizierten Schwachstelle mit einer ausführlichen Dokumentation zur Reproduktion. Jede Beschreibung enthält zudem eine Empfehlung zur Schließung der Sicherheitslücke, Referenzen zu weiteren Quellen wie Common Weakness Enumeration (CWE) und OWASP Web Security Testing Guide sowie einer Schwachstellenbewertung wie z.B. das Common Vulnerability Scoring System (CVSS).

Wir führen ebenfalls Red Team Übungen durch, bei denen wir einen maßgeschneiderten Angriffsplan für Ihr Unternehmen erstellen, in welchem wir unsere Erfahrung, bekannte Bedrohungen für Ihren Industriezweig und Ihr Unternehmen kombinieren.

Sind Sie bereit für einen Angriff?

Unsere Infrastructure Penetration-Tests sind manuelle Sicherheitsüberprüfungen von ausgewählten Systemen und fokussieren sich auf technische Schwachstellen, die von einem potenziellen Threat Actor genutzt werden können. Sie erhalten einen Einblick in die Sicherheitslage der Systeme, wie Sicherheitslücken von einem Threat Actor genutzt werden und wie diese geschlossen werden können, um den Sicherheitsstandard der Infrastruktur zu erhöhen.

Eine Schlange steht als Logo für die Dienstleistung Infrastructure.
Standort: Remote / Onsite
Variation: Externe Infrastruktu, Interne Infrastruktur, ICS/SCADA, WLAN

Durch unsere langjährige Erfahrung, greifen wir auf eine hohe Anzahl an verschiedenen Standardangriffen gegen Infrastrukturkomponenten zurück, jedoch identifizieren ebenso Schwachstellen in komplexen Netzwerken und dem Zusammenspiel von Systemen. Jeder Penetration-Test ist einzigartig und daher nehmen wir uns in jeder Sicherheitsüberprüfung Zeit, um die Angriffsfläche in der Infrastruktur, spezifische Technologien und abgeleitete Schwachstellen aus der eingesetzten Technologie sowie spezifischen Arbeitsabläufe zu identifizieren. Die gesammelten Informationen werden während der Durchführung genutzt, um Schwachstellen zu kombinieren und den Angriffspfad eines Threat Actors zu zeigen.

Bei Y-Security nutzen wir einen vornehmlich manuellen Ansatz bei der Durchführung von Penetration-Tests, der eine detaillierte Prüfung von Inhalt und Funktionalität beinhaltet. Die von uns verwendete Methodik beinhaltet Industriestandards wie den OWASP testing guide, das Mitre Att&ck framework und sofern anwendbar, die CIS benchmarks für eingesetzte Technologien. Wir komplementieren die Methodik durch eigene Forschungsergebnisse sowie gewonnene Kenntnisse aus unseren Penetration-Tests und Attack Simulations Übungen für unsere Kunden. Identifizierte Sicherheitslücken werden kombiniert, um die volle Angriffskette eines Threat Actors zu zeigen, sobald das System angegriffen wird.

Y-Securitys Methodik beinhaltet die nachfolgenden Kategorien für einen Penetration Test der externen Infrastruktur und wird erweitert, sofern andere Arten von Infrastrukturen geprüft werden, wie Interne Infrastrukturen, ICS/SCADA oder WLAN Umgebungen:

  • Aktive Aufklärungsphase & Netzwerkzuordnung
  • Passive Aufklärungsphase
  • Automatische Schwachstellenuntersuchung
  • Manuelle Schwachstellenverifikation & Ausnutzung
  • Gezieltes Prüfen von Diensten

Nach der Durchführung erhalten Sie einen detaillierten Abschlussbericht, der aus einer Zusammenfassung für Entscheidungsträger und dem technischen Management besteht sowie einer detaillierten Beschreibung jeder identifizierten Schwachstelle mit einer ausführlichen Dokumentation zur Reproduktion. Jede Beschreibung enthält zudem eine Empfehlung zur Schließung der Sicherheitslücke, Referenzen zu weiteren Quellen wie Common Weakness Enumeration (CWE) und OWASP Web Security Testing Guide sowie einer Schwachstellenbewertung wie z.B. das Common Vulnerability Scoring System (CVSS)

Wir führen ebenfalls Red Team Übungen durch, bei denen wir einen maßgeschneiderten Angriffsplan für Ihr Unternehmen erstellen, in welchem wir unsere Erfahrung, bekannte Bedrohungen für Ihren Industriezweig und Ihr Unternehmen kombinieren.

Sind Sie bereit für einen Angriff?

Unsere Tailored Penetration-Tests sind manuelle Sicherheitsüberprüfungen von ausgewählten Systemen und fokussieren sich auf technische Schwachstellen, die von einem potenziellen Threat Actor genutzt werden können. Dieser Ansatz sollte für Systeme gewählt werden, die eine maßgeschneiderte Methodik benötigen und nicht unter die anderen Dienstleistungen fallen. Sie erhalten einen Einblick in die Sicherheitslage der Systeme, wie Sicherheitslücken von einem Threat Actor genutzt werden und wie diese geschlossen werden können, um den Sicherheitsstandard der Systeme zu erhöhen.

Eine Chameleon steht als Logo für die Dienstleistung Tailored.
Standort: Remote / Onsite
Variation: Phishing, Breakout, Embedded Device, Protokollanalyse, Forschung, etc.

Durch unsere langjährige Erfahrung, greifen wir auf eine hohe Anzahl an verschiedenen Standardangriffen gegen Anwendungen, Infrastrukturkomponenten, Systemen und physischen Geräten zurück. Wir führen jedoch ebenso komplexe Angriffe gegen individuell gebaute Systeme durch und erstellen neue maßgeschneiderte Ansätze zur Prüfung dieser. Jeder Penetration-Test ist einzigartig und daher nehmen wir uns in jeder Sicherheitsüberprüfung Zeit, den besten Ansatz und die entsprechende Methodik für unsere Kunden und deren Anforderungen zu identifizieren.

Bei Y-Security nutzen wir einen vornehmlich manuellen Ansatz bei der Durchführung von Penetration Tests, der eine detaillierte Prüfung von Inhalt und Funktionalität beinhaltet. Die von uns verwendete Methodik beinhaltet Industriestandards wie den OWASP testing guide, das Mitre Att&ck framework und sofern anwendbar, die CIS benchmarks für eingesetzte Technologien. Wir komplementieren die Methodik durch eigene Forschungsergebnisse, sowie gewonnene Kenntnisse aus unseren Penetration Tests und Attack Simulations Übungen für unsere Kunden. Identifizierte Sicherheitslücken werden kombiniert, um die volle Angriffskette eines Threat Actors zu zeigen, sobald das System angegriffen wird.

Die unter Tailored Penetration-Tests erstellten Methodiken beinhalten eine Vielzahl von verschiedenen Szenarien welche beispielhaft die folgenden beinhaltet:

  • Phishing/Vishing/Smishing Awareness Übungen
  • Breakout aus KIOSK / Anwendung / Desktop / Umgebungen
  • Embedded Devices / IoT
  • Protokollanalyse
  • Forschung
  • Social Engineering

Nach der Durchführung erhalten Sie einen detaillierten Abschlussbericht, welcher aus einer Zusammenfassungen für Entscheidungsträger und dem technische Management besteht, sowie einer detaillierten Beschreibung jeder identifizierten Schwachstelle mit einer ausführlichen Dokumentation zur Reproduktion. Jede Beschreibung enthält zudem eine Empfehlung zur Schließung der Sicherheitslücke, sowie Referenzen zu weiteren Quellen wie Common Weakness Enumeration (CWE) und OWASP Web Security Testing Guide, sowie einer Schwachstellenbewertung wie z.B. das Common Vulnerability Scoring System (CVSS).

Wir führen ebenfalls Red Team Übungen durch, bei welchem wir einen maßgeschneiderten Angriffsplan für Ihr Unternehmen erstellen, in welchem wir unsere Erfahrung, bekannte Bedrohungen für Ihren Industriezweig und Ihrem Unternehmen bekannten Bedrohungen kombinieren.

Sind Sie bereit für einen Angriff?

Unsere Configuration Audits sind manuelle Sicherheitsüberprüfungen von ausgewählten Systemen und fokussieren sich auf Fehlkonfigurationen, die von einem potenziellen Threat Actor genutzt werden können. Sie erhalten einen Einblick in die Sicherheitslage der Systeme, wie Fehlkonfigurationen von einem Threat Actor genutzt werden und wie diese geschlossen werden können, um den Sicherheitsstandard der Systeme zu erhöhen.

Eine Sasquatch steht als Logo für die Dienstleistung Configuration.
Standort: Remote / Onsite
Variation: Golden Image, System/Netzwerk Design , Firewall , Sichere Konfiguration, Cloud

Durch unsere langjährige Erfahrung, haben wir einen großen Einblick in die verschiedensten Technologien wie Betriebssysteme, Softwarelösungen und Endgeräte. Wir kombinieren unsere Methodiken aus Penetration-Tests und Attack Simulations, um die beste Empfehlung im Sinne von ‚Security Best Practice‘ zu geben und den Sicherheitsstandard der Systeme zu erhöhen

Bei Y-Security nutzen wir einen vornehmlich manuellen Ansatz bei der Durchführung von Penetration-Tests, der eine detaillierte Prüfung von Inhalt und Funktionalität beinhaltet. Die von uns verwendete Methodik beinhaltet Industriestandards wie den OWASP testing guide, das Mitre Att&ck framework und sofern anwendbar die CIS benchmarks für eingesetzte Technologien. Wir komplementieren die Methodik durch eigene Forschungsergebnisse sowie gewonnene Kenntnisse aus unseren Penetration-Tests und Attack Simulations für unsere Kunden. Identifizierte Sicherheitslücken werden kombiniert, um die volle Angriffskette eines Threat Actors zu zeigen, sobald das System angegriffen wird.

Y-Securitys Methodik beinhaltet die nachfolgenden Kategorien für den Audit eines Betriebssystems und wird systemspezifisch erweitert, sofern andere Konfigurationen geprüft werden

  • Boot Konfiguration
  • Zugriff und Authentifizierung
  • Netzwerkkonfiguration
  • Analyse des Dateisystems
  • Dienstkonfiguration
  • Protokollierung und Auswertung
  • Eingesetzte Software- und Aktualisierungen

Nach der Durchführung erhalten Sie einen detaillierten Abschlussbericht, der aus einer Zusammenfassung für Entscheidungsträger und dem technische Management besteht sowie einer detaillierten Beschreibung jeder identifizierten Schwachstelle mit einer ausführlichen Dokumentation zur Reproduktion. Jede Beschreibung enthält zudem eine Empfehlung zur Schließung der Sicherheitslücke, Referenzen zu weiteren Quellen wie Common Weakness Enumeration (CWE) und OWASP Web Security Testing Guide sowie einer Schwachstellenbewertung wie z.B. das Common Vulnerability Scoring System (CVSS).

Wir führen ebenfalls Red Team Übungen durch, bei denen wir einen maßgeschneiderten Angriffsplan für Ihr Unternehmen erstellen, in welchem wir unsere Erfahrung, bekannte Bedrohungen für Ihren Industriezweig und Ihrem Unternehmen bekannten Bedrohungen kombinieren.

Sind Sie bereit für einen Angriff?

VORTEILE

SICHERHEITSSTANDARD ERHÖHEN

Erkennen und Schließen Sie Schwachstellen in ihren Systemen, um die Angriffsfläche für einen Threat Actor und das Risiko eines Datenlecks zu minimieren.

FÄHIGKEITEN VERBESSERN

Erhöhen Sie ihr Wissen über die neusten Bedrohungen und erweitern Sie interne Richtlinien in Ihren Entwicklungs- und IT-Teams. Identifizieren Sie Lücken im Entwicklungsprozess und Threat Model.

BUDGET PRIORISIEREN

Nutzen Sie ihr Budget dort, wo es am Meisten gebraucht wird: Bei der Planung von zielgerichteten Sicherheitsüberprüfungen Ihrer Systeme. Vermeiden Sie automatisierte Scans, die die Sicherheitslücken nicht finden , die ein realer Angreifer entdecken würde.