Öffentliche IT-Infrastruktur
tl;dr
Maßgeschneiderte Cloud-Lösungen für Unternehmen – von virtuellen Servern und Desktops über sichere Cloud-Backups bis hin zu lokal betriebener Private Cloud. Die Vorteile: geringe IT-Kosten, hohe Verfügbarkeit, einfache Skalierbarkeit und ideal für Home-Office. Mit über 20 Jahren Erfahrung wird eine persönliche Beratung zur optimalen Cloud-Strategie geboten.
Auditumfang
Ich werde werden bei diesem Penetrationstest Ihre öffentliche IT-Infrastruktur auf Sicherheitsschwachstellen und Konfigurationsfehler untersuchen. Die Tests werden sowohl auf Netzwerk- als ggf. auch auf Anwendungsebene und in der Regel remote durchgeführt.
Prüfobjekte (Beispiel):
Web-Portale
Web-Applikationen wie Homepages, Kundenportale oder Webshops auf IIS, Apache oder Nginx
Datei-Server
Netzwerkprotokolle wie SFTP, FTP oder WebDAV für den Dateizugriff
VPN-Server
Ein VPN-Server ermöglicht Ihnen eine sichere und verschlüsselte Verbindung in Ihr internes Netzwerk.
E-Mail Server
SMTP, POP3 oder IMAP zur Verwaltung von E-Mails
Mobile Device Management
Mobilgeräte-Management-Software und Netzwerkdienste
.
Cloud-Dienste
Wie z.B. Docker, Kubernetes oder OpenShift
Pentest der öffentlichen IT-Infrastruktur
Wie gehe ich vor?
Im Rahmen dieses Pentests wird eine umfassende Sicherheitsanalyse Ihrer öffentlich zugängliche IT-Infrastruktur durchgeführt, der aus der Perspektive eines externen Angreifers betrachtet wird. Dabei führe ich eine umfassende Sicherheitsanalyse aller Systeme durch, die über das Internet erreichbar sind. Mein Ziel ist es, zu simulieren, wie ein echter Angreifer ohne Vorwissen versucht, auf Ihre Systeme zuzugreifen (Black-Box-Test).
Zu Beginn führe ich eine passive Analyse öffentlich zugänglicher Informationen über Ihre Infrastruktur durch (Passive Reconnaissance Addon). Hierbei liegt der Fokus insbesondere auf der Identifikation und dem Abgleich der identifizierten IT-Systeme mit Ihren Asset-Listen sowie der Suche nach Schwachstellen (CVEs) und Passwortleaks von Mitarbeitern.
Im Anschluss führe ich aktive Tests durch, die aus einem automatisierten Schwachstellenscan und einer manuellen Analyse aller aktiven Netzwerkdienste Ihrer extern zugänglichen IT-Systeme bestehen.
Ziel
Mein Ziel ist es, Ihnen eine fundierte Aussage über die potenzielle Gefahr eines Angriffs auf Ihre externe IT-Infrastruktur zu geben. Ich führe meine Tests ohne jegliche Informationen über den Umfang Ihrer IT-Infrastruktur sowie ohne gültige Nutzerkonten für eine mögliche Authentifizierung durch (Black-Box-Tests).
Abschlussbericht
Im Abschlussbericht werden alle erkannten Schwachstellen dokumentiert und Empfehlungen zur Behebung aufgeführt.
Meine Tests umfassen folgende Basisüberprüfungen:
Überprüfung auf netzwerkbasierte Schwachstellen
Überprüfung der Active Directory-Konfiguration
Überprüfung der verwendeten Gruppenrichtlinien
Überprüfung von Benutzern und ihren Berechtigungen
Identifikation von sensiblen Gruppen
Erkennung von inaktiven Nutzerkonten und veralteten Systemen
Bewertung der Passwortrichtlinien und Datenspeicherung auf Schwachstellen
Überprüfung der Authentifizierungsmechanismen auf Sicherheitsrisiken
Vorteile
Rund-um-die-Uhr Verfügbarkeit
Über 20 Jahre IT-Erfahrung mit persönlichen Ansprechpartnern
Moderne Lösungen und Optimierungsempfehlungen
Nachvollziehbare Dokumentation
Langfristige Betreuung