axel90
Goto Top

Penetrationstests - Angebote

Hi zusammen!

wir möchten gerne in unserer Firma Penetrationstests durchführen lassen.

Also das Prüfen vieler Services: Wlan, Windows Filesever usw. usw.

Wir würden dafür gerne eine externe Firma ins Haus holen.

Wir haben uns vorgestellt, dass bei uns eine Penetrationstest-Umgebung aufgebaut wird, mit der getestet wird.

Außerdem sollten wir geschult werden, damit auch wir die Tests mit dieser Umgebung in regelmäßigen Abständen selbst durchführen können.

Ist das so umsetzbar, wie ich mir dass vorgestellt habe?

Habt ihr damit Erfahrungen und könnt mir Firmen empfehlen?

Vielen Dank im Voraus!

Content-ID: 317455

Url: https://administrator.de/contentid/317455

Ausgedruckt am: 05.11.2024 um 08:11 Uhr

H41mSh1C0R
H41mSh1C0R 11.10.2016 um 14:31:22 Uhr
Goto Top
Hi,
machbar ist vieles. Alles sicher eine Frage des Budgets. *g*
Wie groß ist dies denn?
Gruß
certifiedit.net
certifiedit.net 11.10.2016 um 14:54:52 Uhr
Goto Top
Hallo Axel,

die Frage ist doch, wie groß ist eure Firma (10 MA, 100 MA, 1000MA).
Wie viele Server - Wie groß ist der IT Stamm - welches Wissen habt Ihr?

Dann gibt es noch die Frage, welche Standard und Spezialsoftware habt Ihr im Einsatz und wie "tief" soll der Pentest durchgeführt werden?

Aber all das sind Dinge, die man bereits in einem ersten Grundaudit erfassen muss.

Viele Grüße,

Christian
certified IT
DerWoWusste
DerWoWusste 11.10.2016 um 14:58:42 Uhr
Goto Top
Hi.

Ich würde auch zunächst darauf hinweisen, dass die Jungs gutes Geld verlangen. Mit ca. 3-8.000€ pro Tag musst Du rechnen, wenn da mehr als einer antanzen soll + Dokumentation und Nachbearbeitung und Fernangriffstest.
Wir haben Secuvera dafür gebucht, welche als eine der ganz wenigen BSI-zertifiziert sind. Desweiteren BSI-zertifiziert: https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Stellen/I ...
Davon hatten wir außerdem mit Hi Solutions aus Berlin Kontakt, die einen ebenso guten Eindruck hinterließen.

Außerdem sollten wir geschult werden, damit auch wir die Tests mit dieser Umgebung in regelmäßigen Abständen selbst durchführen können.
Schulen vielleicht, aber selber machen? Das haut nicht hin, da ein Pentest immer durch andere erfolgen sollte.
BernhardMeierrose
BernhardMeierrose 11.10.2016 um 16:19:42 Uhr
Goto Top
Moin Moin,

anfangs sollten wir Begriffe auseinander halten
- Penetrationstest als vernünftig simulierter Hacker-Angriff
- Schwachstellenscans / Schwachstellenmanagement mit standardisierten Tools.
Viele IT-Dienstleister spezifizieren das mMn nicht sauber genug.

Für einen "echten" Pentest macht es wenig Sinn, sich eine eigene Umgebung hinstellen zu lassen. Ich halte es sogar für fragwürdig, die Durchführer von Pentests weiter als bis zum Besprechungsraum kommen zu lassen - es geht ja immerhin um die Simulation eines externen Angriffs.

Schwachstellenscanner sind eine sehr nützliche Sache wenn man sie korrekt einsetzt und beherrscht. Von OPENVAS über Greenbone bis Nessus gibt es da diverse Systeme, die vernünftige Tests mit hohem Automatisierungsgrad durchführen. Hier macht es schon mehr Sinn, sich ein eigenes System ins Haus zu holen (wenn man den Bedarf dazu hat)

Was ich gerne mit meinen Kunden mache ist z.B., dass ich mir ein Außendienstler-Laptop für ein Stündchen "klaue" und alle Infos aus dem System raussauge die es hergibt. Laptops stehen oft unbeaufsichtigt rum und sind leichtes Ziel für gezielte Angriffe.
Naja und der obligatorische "liegengelassene" USB-Stick ist natürlich auch ein Klassiker, der im weiteren Sinne auch in die Familie der Pentests fällt. Gerade letztere Methoden (die den Menschen angreifen) werfen oft viel spannendere Ergebnisse aus als ein Schwachstellenscanner von der Stange.

Gruß
Bernhard
Axel90
Axel90 12.10.2016 um 10:03:24 Uhr
Goto Top
Danke für die Antworten.
@Christian: Wir sind 150MA, haben einen Virtualisierungscluster mit ca.50 VMs (Linux Windows gemischt)
Wissen auf diesem Gebiet haben wir so gut wie keins, deswegen habe ich mich erstmal hier gemeldet.
Und wir suchen daher ja auch eine externe Firma.


@DerWoWusste: Okay, Secuvera und Hi Solutions. Dann such ich mir noch ne dritte aus deinem Link. Danke dafür.
Mit Secuvera wart ihr auch zufrieden? Du hattest geschrieben, dass Hi Solutions ebenso einen guten Eindruck gemacht hat.
War dein "ebenso" quasi auf Secuvera bezogen?
DerWoWusste
DerWoWusste 12.10.2016 um 10:18:51 Uhr
Goto Top
Secuvera war gut. Hi Solutions war zum Gespräch bei uns und hat ebenso einen super Eindruck gemacht. Bei Secuvera hatte der Pentester selbst im Gespräch einen etwas besseren Eindruck gemacht, während die Vorstellung bei Hi Solutions deutlich professioneller wirkte.

Der Test wurde von Secuvera gut ausgeführt, wenn nicht optimal. Das Protokoll war gut. Die Form jedoch war unprofessionell (Layout, Lesbarkeit/Satz).

Secuvera hatte vorgeschlagen, keinen reinen Blackboxtest zu machen (BBox: sie tun so, als wüssten sie gar nichts), sondern zur einen Hälfte einen Audit (Befragung der Admins zu deren Konpzepten und konkreten Umsetzungen des IT-Grundschutzes nach BSI) und zur anderen Pentest gegen bekannte Ziele (also: wir geben ihnen IPs und nennen ihnen die Serverrollen). Rückblickend finde ich diese Vorgehensweise vernünftig.
Axel90
Axel90 12.10.2016 aktualisiert um 13:58:02 Uhr
Goto Top
Ich finde diese Vorgehensweise auch gut. Dann werde ich dort mal anrufen. Merci

Edit: Falls jemand noch eine weitere Firma empfehlen, als her damit face-wink