Erfahrungen mit Penetration-Tests?
Unser Unternehmen strebt einen Penetration-Test an, um unsere Infrastruktur auf Schwachstellen prüfen zu lassen.
Hat jemand Erfahrungen, kann vielleicht den einen od. anderen Anbieter empfehlen?
Mit welchen Kostenrahmen ist hierbei zu rechenen - ich weiß natürlich, das dies abhängig von der Intesität, dem Umfang usw. ist, aber mal so ein Daumen * Pi wäre für mich schon hilfreich.
Danke schon mal im Voraus für eure Kommentare!
Gruß
WZ
Hat jemand Erfahrungen, kann vielleicht den einen od. anderen Anbieter empfehlen?
Mit welchen Kostenrahmen ist hierbei zu rechenen - ich weiß natürlich, das dies abhängig von der Intesität, dem Umfang usw. ist, aber mal so ein Daumen * Pi wäre für mich schon hilfreich.
Danke schon mal im Voraus für eure Kommentare!
Gruß
WZ
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 381414
Url: https://administrator.de/forum/erfahrungen-mit-penetration-tests-381414.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
7 Kommentare
Neuester Kommentar
Moin WZ,
ich sehe derzeit: Es gibt einen Chef und einen Fragenden, demnach zwei PCs, sonst keine Infrastruktur außer vermutlich einen Router - je nach dem 2-10h Also selbst bei Pi mal Daumen muss man wissen, ob man den Daumen an einen Ameisenhaufen oder eine Pyramide anlegt.
Alles andere kann man nur im direkten Gespräch klären.
LG,
Christian
ich sehe derzeit: Es gibt einen Chef und einen Fragenden, demnach zwei PCs, sonst keine Infrastruktur außer vermutlich einen Router - je nach dem 2-10h Also selbst bei Pi mal Daumen muss man wissen, ob man den Daumen an einen Ameisenhaufen oder eine Pyramide anlegt.
Alles andere kann man nur im direkten Gespräch klären.
LG,
Christian
Hi WZ,
Meld dich doch mal bei den Jungs von Prosec Networks (https://www.prosec-networks.com)
Die koennen dir mit Sicherheit weiter helfen
Gruß
Meld dich doch mal bei den Jungs von Prosec Networks (https://www.prosec-networks.com)
Die koennen dir mit Sicherheit weiter helfen
Gruß
Moin.
Ein Kunde von mir ist durch die Bundesnetzagentur angehalten in den nächsten Jahren die Auflagen des IT Grundschutzes zu erfüllen, später soll dann noch eine Zertifizierung nach ISO 27001 folgen.
Der Kunde hat für den Penetrationstest die "Deutsche Gesellschaft für Cybersicherheit" (https://www.dg-cybersicherheit.de/) beauftragt.
Die beiden Herren waren zwei Tage vor Ort und haben den Laden auf links gedreht. Den Tag davor haben sie versucht, mit allen öffentlich zugänglichen Informationen von Außen in das Netz einzudringen.....Ohne Erfolg, die Firewall war richtig konfiguriert
Sie haben sich aber nicht nur auf die IT beschränkt sondern haben auch die User unter die Lupe genommen, bzw. versucht organisatorische Schwachstellen aufzudecken.
Beispiel: Einer von denen ist einfach ins Gebäude rein, am Empfang vorbei ins Besprechungszimmer mit den Worten "Ich werde erwartet, ich habe einen Termin mit dem Chef" und wollte sein Notebook mit dem Netzwerk per Patchdose verbinden.
Am Ende der drei Tage hat der Kunde eine Tabelle mit den dokumentierten technischen Schwachstellen erhalten und ich wurde beauftragt die entdeckten "Mängel" zu beseitigen.
Beispiel: Ich hatte bei einem IBM Server vergessen den Standard User "USERID" zu deaktivieren bzw. das Kennwort zu ändern. Haben die gemerkt und ich musste zu meiner Schande gestehen, dass ich das bei einem der vier Server einfach vergessen hatte.
Ein weitere Mangel war die zu dem Zeitpunkt eingesetzte VMware ESX Version mit dem Heartbleed Bug. Das konnte ich durch ein Update des ESXi Clusters abstellen.
Ich hab den Kunden gefragt was er dafür bezahlt hat und er meinte um die 10.000€.
Gruß
Tim
Ein Kunde von mir ist durch die Bundesnetzagentur angehalten in den nächsten Jahren die Auflagen des IT Grundschutzes zu erfüllen, später soll dann noch eine Zertifizierung nach ISO 27001 folgen.
Der Kunde hat für den Penetrationstest die "Deutsche Gesellschaft für Cybersicherheit" (https://www.dg-cybersicherheit.de/) beauftragt.
Die beiden Herren waren zwei Tage vor Ort und haben den Laden auf links gedreht. Den Tag davor haben sie versucht, mit allen öffentlich zugänglichen Informationen von Außen in das Netz einzudringen.....Ohne Erfolg, die Firewall war richtig konfiguriert
Sie haben sich aber nicht nur auf die IT beschränkt sondern haben auch die User unter die Lupe genommen, bzw. versucht organisatorische Schwachstellen aufzudecken.
Beispiel: Einer von denen ist einfach ins Gebäude rein, am Empfang vorbei ins Besprechungszimmer mit den Worten "Ich werde erwartet, ich habe einen Termin mit dem Chef" und wollte sein Notebook mit dem Netzwerk per Patchdose verbinden.
Am Ende der drei Tage hat der Kunde eine Tabelle mit den dokumentierten technischen Schwachstellen erhalten und ich wurde beauftragt die entdeckten "Mängel" zu beseitigen.
Beispiel: Ich hatte bei einem IBM Server vergessen den Standard User "USERID" zu deaktivieren bzw. das Kennwort zu ändern. Haben die gemerkt und ich musste zu meiner Schande gestehen, dass ich das bei einem der vier Server einfach vergessen hatte.
Ein weitere Mangel war die zu dem Zeitpunkt eingesetzte VMware ESX Version mit dem Heartbleed Bug. Das konnte ich durch ein Update des ESXi Clusters abstellen.
Ich hab den Kunden gefragt was er dafür bezahlt hat und er meinte um die 10.000€.
Gruß
Tim
Alsooo, als erstes stellt sich die Frage, was ist ein Penetrationstest? Ein Schwachstellenscan? Ein manueller Eindringversuch über das Internet? Eine technische Analyse der Systeme? Ein Audit nach ISO 27001 oder BSI-Grundschutz? DSGVO Konformität?
Zweite Frage, worauf soll sich der Test beziehen? Das allgemeine Netz? Den Internetauftritt? Die Schnittstellen nach außen? Die internen Verfahren?
Worauf ich hinaus will, was wollt ihr mit diesem Test erreichen? Warum wollt ihr solch einen Test? Wer oder was treibt euch an?
Wenn diese Frage geklärt sind, werde ich Dir gerne einen Daumenwert für die Kosten verraten.
Ciao
Pitti
Zweite Frage, worauf soll sich der Test beziehen? Das allgemeine Netz? Den Internetauftritt? Die Schnittstellen nach außen? Die internen Verfahren?
Worauf ich hinaus will, was wollt ihr mit diesem Test erreichen? Warum wollt ihr solch einen Test? Wer oder was treibt euch an?
Wenn diese Frage geklärt sind, werde ich Dir gerne einen Daumenwert für die Kosten verraten.
Ciao
Pitti
Hi,
das ist aber nett, dass Du unseren Mitbewerber hier in so schlechtem Licht dastehen lässt .
Der reine Pen-Test mag einen Tag gedauert haben, die Vorbereitung und die Auswertung mit der Berichterstellung verschlang garantiert ein Mehrfaches an Zeit. So kommt dann der Preis von 10.000,- für einenTag Pentest zu Stande.
das ist aber nett, dass Du unseren Mitbewerber hier in so schlechtem Licht dastehen lässt .
Der reine Pen-Test mag einen Tag gedauert haben, die Vorbereitung und die Auswertung mit der Berichterstellung verschlang garantiert ein Mehrfaches an Zeit. So kommt dann der Preis von 10.000,- für einenTag Pentest zu Stande.
Secuvera gehört zu den seriösen Anbietern auf dem Markt, der GF ist sympathisch und auch bei OWASP engagiert. Die 10k passen auch mit Vor- und Nachbereitung nicht, aber es kann sich auch einfach um einen Test gehandelt haben, der remote stattgefunden hat. Schon "sieht" man den Aufwand nicht mehr, wenn man nicht direkt das Angebot bzw die Vertragsunterlagen lesen durfte.
Je nach Scope, Umfang und Zielsetzung kann ein Pentest zwischen 3.000 und 25.000 Euro kosten: Kosten eines Penetrationstest Da liegt auch secuvera im Rahmen.
Sicherlich ist die obige Grenze sehr flexibel, Banken oder große Online-Shops (Amazon, Otto) haben sicherlich ständiges Personal dafür bei sich sitzen..
Je nach Scope, Umfang und Zielsetzung kann ein Pentest zwischen 3.000 und 25.000 Euro kosten: Kosten eines Penetrationstest Da liegt auch secuvera im Rahmen.
Sicherlich ist die obige Grenze sehr flexibel, Banken oder große Online-Shops (Amazon, Otto) haben sicherlich ständiges Personal dafür bei sich sitzen..