Penetrationstests - Angebote
Hi zusammen!
wir möchten gerne in unserer Firma Penetrationstests durchführen lassen.
Also das Prüfen vieler Services: Wlan, Windows Filesever usw. usw.
Wir würden dafür gerne eine externe Firma ins Haus holen.
Wir haben uns vorgestellt, dass bei uns eine Penetrationstest-Umgebung aufgebaut wird, mit der getestet wird.
Außerdem sollten wir geschult werden, damit auch wir die Tests mit dieser Umgebung in regelmäßigen Abständen selbst durchführen können.
Ist das so umsetzbar, wie ich mir dass vorgestellt habe?
Habt ihr damit Erfahrungen und könnt mir Firmen empfehlen?
Vielen Dank im Voraus!
wir möchten gerne in unserer Firma Penetrationstests durchführen lassen.
Also das Prüfen vieler Services: Wlan, Windows Filesever usw. usw.
Wir würden dafür gerne eine externe Firma ins Haus holen.
Wir haben uns vorgestellt, dass bei uns eine Penetrationstest-Umgebung aufgebaut wird, mit der getestet wird.
Außerdem sollten wir geschult werden, damit auch wir die Tests mit dieser Umgebung in regelmäßigen Abständen selbst durchführen können.
Ist das so umsetzbar, wie ich mir dass vorgestellt habe?
Habt ihr damit Erfahrungen und könnt mir Firmen empfehlen?
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 317455
Url: https://administrator.de/contentid/317455
Ausgedruckt am: 05.11.2024 um 08:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo Axel,
die Frage ist doch, wie groß ist eure Firma (10 MA, 100 MA, 1000MA).
Wie viele Server - Wie groß ist der IT Stamm - welches Wissen habt Ihr?
Dann gibt es noch die Frage, welche Standard und Spezialsoftware habt Ihr im Einsatz und wie "tief" soll der Pentest durchgeführt werden?
Aber all das sind Dinge, die man bereits in einem ersten Grundaudit erfassen muss.
Viele Grüße,
Christian
certified IT
die Frage ist doch, wie groß ist eure Firma (10 MA, 100 MA, 1000MA).
Wie viele Server - Wie groß ist der IT Stamm - welches Wissen habt Ihr?
Dann gibt es noch die Frage, welche Standard und Spezialsoftware habt Ihr im Einsatz und wie "tief" soll der Pentest durchgeführt werden?
Aber all das sind Dinge, die man bereits in einem ersten Grundaudit erfassen muss.
Viele Grüße,
Christian
certified IT
Hi.
Ich würde auch zunächst darauf hinweisen, dass die Jungs gutes Geld verlangen. Mit ca. 3-8.000€ pro Tag musst Du rechnen, wenn da mehr als einer antanzen soll + Dokumentation und Nachbearbeitung und Fernangriffstest.
Wir haben Secuvera dafür gebucht, welche als eine der ganz wenigen BSI-zertifiziert sind. Desweiteren BSI-zertifiziert: https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Stellen/I ...
Davon hatten wir außerdem mit Hi Solutions aus Berlin Kontakt, die einen ebenso guten Eindruck hinterließen.
Ich würde auch zunächst darauf hinweisen, dass die Jungs gutes Geld verlangen. Mit ca. 3-8.000€ pro Tag musst Du rechnen, wenn da mehr als einer antanzen soll + Dokumentation und Nachbearbeitung und Fernangriffstest.
Wir haben Secuvera dafür gebucht, welche als eine der ganz wenigen BSI-zertifiziert sind. Desweiteren BSI-zertifiziert: https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Stellen/I ...
Davon hatten wir außerdem mit Hi Solutions aus Berlin Kontakt, die einen ebenso guten Eindruck hinterließen.
Außerdem sollten wir geschult werden, damit auch wir die Tests mit dieser Umgebung in regelmäßigen Abständen selbst durchführen können.
Schulen vielleicht, aber selber machen? Das haut nicht hin, da ein Pentest immer durch andere erfolgen sollte.
Moin Moin,
anfangs sollten wir Begriffe auseinander halten
- Penetrationstest als vernünftig simulierter Hacker-Angriff
- Schwachstellenscans / Schwachstellenmanagement mit standardisierten Tools.
Viele IT-Dienstleister spezifizieren das mMn nicht sauber genug.
Für einen "echten" Pentest macht es wenig Sinn, sich eine eigene Umgebung hinstellen zu lassen. Ich halte es sogar für fragwürdig, die Durchführer von Pentests weiter als bis zum Besprechungsraum kommen zu lassen - es geht ja immerhin um die Simulation eines externen Angriffs.
Schwachstellenscanner sind eine sehr nützliche Sache wenn man sie korrekt einsetzt und beherrscht. Von OPENVAS über Greenbone bis Nessus gibt es da diverse Systeme, die vernünftige Tests mit hohem Automatisierungsgrad durchführen. Hier macht es schon mehr Sinn, sich ein eigenes System ins Haus zu holen (wenn man den Bedarf dazu hat)
Was ich gerne mit meinen Kunden mache ist z.B., dass ich mir ein Außendienstler-Laptop für ein Stündchen "klaue" und alle Infos aus dem System raussauge die es hergibt. Laptops stehen oft unbeaufsichtigt rum und sind leichtes Ziel für gezielte Angriffe.
Naja und der obligatorische "liegengelassene" USB-Stick ist natürlich auch ein Klassiker, der im weiteren Sinne auch in die Familie der Pentests fällt. Gerade letztere Methoden (die den Menschen angreifen) werfen oft viel spannendere Ergebnisse aus als ein Schwachstellenscanner von der Stange.
Gruß
Bernhard
anfangs sollten wir Begriffe auseinander halten
- Penetrationstest als vernünftig simulierter Hacker-Angriff
- Schwachstellenscans / Schwachstellenmanagement mit standardisierten Tools.
Viele IT-Dienstleister spezifizieren das mMn nicht sauber genug.
Für einen "echten" Pentest macht es wenig Sinn, sich eine eigene Umgebung hinstellen zu lassen. Ich halte es sogar für fragwürdig, die Durchführer von Pentests weiter als bis zum Besprechungsraum kommen zu lassen - es geht ja immerhin um die Simulation eines externen Angriffs.
Schwachstellenscanner sind eine sehr nützliche Sache wenn man sie korrekt einsetzt und beherrscht. Von OPENVAS über Greenbone bis Nessus gibt es da diverse Systeme, die vernünftige Tests mit hohem Automatisierungsgrad durchführen. Hier macht es schon mehr Sinn, sich ein eigenes System ins Haus zu holen (wenn man den Bedarf dazu hat)
Was ich gerne mit meinen Kunden mache ist z.B., dass ich mir ein Außendienstler-Laptop für ein Stündchen "klaue" und alle Infos aus dem System raussauge die es hergibt. Laptops stehen oft unbeaufsichtigt rum und sind leichtes Ziel für gezielte Angriffe.
Naja und der obligatorische "liegengelassene" USB-Stick ist natürlich auch ein Klassiker, der im weiteren Sinne auch in die Familie der Pentests fällt. Gerade letztere Methoden (die den Menschen angreifen) werfen oft viel spannendere Ergebnisse aus als ein Schwachstellenscanner von der Stange.
Gruß
Bernhard
Secuvera war gut. Hi Solutions war zum Gespräch bei uns und hat ebenso einen super Eindruck gemacht. Bei Secuvera hatte der Pentester selbst im Gespräch einen etwas besseren Eindruck gemacht, während die Vorstellung bei Hi Solutions deutlich professioneller wirkte.
Der Test wurde von Secuvera gut ausgeführt, wenn nicht optimal. Das Protokoll war gut. Die Form jedoch war unprofessionell (Layout, Lesbarkeit/Satz).
Secuvera hatte vorgeschlagen, keinen reinen Blackboxtest zu machen (BBox: sie tun so, als wüssten sie gar nichts), sondern zur einen Hälfte einen Audit (Befragung der Admins zu deren Konpzepten und konkreten Umsetzungen des IT-Grundschutzes nach BSI) und zur anderen Pentest gegen bekannte Ziele (also: wir geben ihnen IPs und nennen ihnen die Serverrollen). Rückblickend finde ich diese Vorgehensweise vernünftig.
Der Test wurde von Secuvera gut ausgeführt, wenn nicht optimal. Das Protokoll war gut. Die Form jedoch war unprofessionell (Layout, Lesbarkeit/Satz).
Secuvera hatte vorgeschlagen, keinen reinen Blackboxtest zu machen (BBox: sie tun so, als wüssten sie gar nichts), sondern zur einen Hälfte einen Audit (Befragung der Admins zu deren Konpzepten und konkreten Umsetzungen des IT-Grundschutzes nach BSI) und zur anderen Pentest gegen bekannte Ziele (also: wir geben ihnen IPs und nennen ihnen die Serverrollen). Rückblickend finde ich diese Vorgehensweise vernünftig.