SZENARIO-BASIERTE TESTS
Automatisierter Schwachstellenscan
Sie haben lediglich eine Anforderung an einem einfachen Schwachstellenscan und benötigen keine manuelle Prüfmethoden? Dann beauftragen Sie einen kostengünstigen Schwachstellenscan.
Prüfumfang des Pentests
Bei dieser Testart überprüfen unsere Experten Ihre IT-Systeme mit automatisierten Schwachstellenscannern. Die Ergebnisse der Schwachstellenscanner werden anschließend validiert, in ihrem Risiko bewertet und bezüglich False-Positives bereinigt. Als Abschluss erhalten Sie einen Abschlussbericht inkl. Maßnahmenkatalog zur Behebung der Feststellungen.
Beispielhafte Schwachstellenscanner im Einsatz:
Nessus Professional
Kommerzieller Schwachstellenscanner mit vielen Scan-Methoden und Plugins
Nuclei
Kostenloser, quelloffener Schwachstellenscanner auf Basis von Community-Templates
OpenVAS / Greenbone
Kostenloser, quelloffener Schwachstellenscanner
Ein automatisierter Schwachstellenscan hat nichts mit einem vollumfänglichen Penetrationstest zu tun. Ein menschlicher Pentesting-Experte findet mehr als ein Roboter.
Die Ergebnisse eines automatisierten Schwachstellenscans beinhalten i.d.R. False-Positives und eine unzureichende Risikoeinschätzung. Diese müssen manuell berichtigt werden.
Automatisierte Scanner können lediglich Schwachstellen identifzieren, welche im Vorfeld bekannt sind und eine automatisierte Identifizierung ermöglichen. Doch was ist mit allen anderen Schwachstellen?
Automatisierter Schwachstellenscan
Unser Vorgehen
Ein automatisierter Schwachstellenscan stellt keinen Penetrationstest dar. Das Testvorgehen ist nämlich vollständig automatisiert und es können lediglich Schwachstellen identifiziert werden, welche im Vorfeld öffentlich bekannt sind und vereinfacht mittels automatischer Prüfungen identifiziert werden können.
In der Regel basieren die resultierenden Ergebnisse auf sogenannten “Low-hanging Fruits”, also Schwachstellen, welche sehr einfach von Angreifern oder automatisierten Tools gefunden werden können. Solche Ergebnisse sind mit den Ergebnissen eines manuellen, umfangreichen Penetrationstest nicht vergleichbar.
Nichtsdestotrotz bieten automatisierte Schwachstellenscans, insbesondere wenn diese regelmäßig durchgeführt werden, ein solides Fundament zum Schwachstellenmanagement. Hierbei können IT-Systeme oder größere IT-Infrastrukturen auf gewöhnliche Schwachstellen automatisiert überprüft werden, um diese zeitnah beheben zu können. Dies kann die Angriffsfläche bereits stark reduzieren und bietet eine gute Übersicht für typische Schwachstellenbereiche wie zum Beispiel Patch Management und SSL/TLS.
Mit der Beauftragung eines automatisierten Schwachstellenscans untersuchen unsere Experten Ihre IT-Systeme mittels verschiedener Schwachstellenscanner. Darunter befinden sich z.B. Nessus Professional und Nuclei. Die Scanner werden von unseren Experten professionell konfiguriert und auf Ihre Zielsysteme abgerichtet. Die resultierenden Feststellungen werden validiert, False-Positive Feststellungen bereinigt und alle Ergebnisse detailliert in einem Abschlussbericht inkl. Maßnahmenkatalog festgehalten.
Automatisierte Schwachstellenscans werden für Unternehmen empfohlen, welche sich nicht eigenständig um das Schwachstellenmanagement kümmern können oder ein sehr geringes Budget besitzen. Dazu gehören zumeist kleine Unternehmen mit einer überschaubaren Anzahl an IT-Fachpersonal.
Sollte Ihr Unternehmen bereits ein eigenständiges Schwachstellenmanagement und Scanning betreiben, unterstützen unsere Experten Sie gerne bei der Ergebnis-Sichtung sowie Einschätzung von identifizierten Schwachstellen. Das eigentliche Scannen und Schwachstellenmanagement verbleibt jedoch wie gewohnt bei Ihnen.
Für alle anderen Unternehmen empfehlen wir die Durchführung regulärer Penetrationstests. Alle Penetrationstests bei der Pentest Factory beinhalten standardmäßig einen automatisierten Schwachstellenscan. Da dieser vollautomatisiert durchgeführt werden kann und lediglich 10-20% der Zeit eines Penetrationstests konsumiert, ist dieser standardmäßig inkludiert. Die restlichen 80-90% eines Penetrationstests beinhalten umfangreiche, manuelle Prüfeinheiten - durchgeführt von einem zertifizierten Pentester.
Sollten Sie bereits in Gesprächen mit anderweitigen Anbietern sein, so empfehlen wir darauf zu achten, dass automatisierte Schwachstellenscans nicht als vollständige Penetrationstests angepriesen und verkauft werden. Achten Sie auf Qualität und hinterfragen Sie stets die Testmethoden sowie Vorgehensweisen.
Standards und Qualifikationen
Wir berücksichtigen bei unseren Pentests alle internationalen und anerkannten Standards.
Unsere Penetrationstester sind hochqualifiziert und besitzen eine Vielzahl anerkannter Hacking-Zertifikate.
