17.10.2022

Penetration-Test oder Vulnerability Assessment?

VA vs PT.jpg

Sie möchten gerne die Widerstandsfähigkeit Ihrer IT-Security-Infrastruktur testen, sind sich jedoch nicht sicher, ob Sie einen Penetration-Test oder ein Vulnerability Assessment durchführen sollen?

Vulnerabilty Assessments und Schwachstellenscans durchsuchen Systeme nach bekannten Schwachstellen. Bei einem Penetrationstest hingegen wird versucht, die Schwachstellen in einer Umgebung aktiv auszunutzen.

Während ein Schwachstellenscan automatisiert werden kann, sind für einen Penetrationstest verschiedene Fachkenntnisse erforderlich.

Gerne stellen wir Ihnen diese beiden Security Assessment-Varianten genauer vor, um Sie bei der Auswahl zu unterstützen.

Vulnerability Assessment
Regelmäßige Schwachstellenscans sind für die Aufrechterhaltung der Informationssicherheit unerlässlich.

Unsere Spezialisten empfehlen, jedes neue Gerät vor der Inbetriebnahme und danach mindestens vierteljährlich zu scannen. Nach jeder Änderung an den Geräten sollte sofort ein weiterer Schwachstellenscan durchgeführt werden. Bei diesem Scan werden Probleme wie fehlende Patches und veraltete Protokolle, Zertifikate und Dienste aufgedeckt.

Bei einem Vulnerability Assessment (Schwachstellenanalyse) wird eine Momentaufnahme der Infrastruktur erstellt und auf etwaige Mängel in ihrer Konfiguration geprüft; dies ermöglicht eine Bewertung der Situation der Sicherheitssysteme, die in Netzwerken, Maschinen oder Geschäftsanwendungen implementiert sind.

Wichtig zu wissen ist, dass dabei kein echter Angriff simuliert wird!

Die Hauptziele eines Vulnerability Assessments sind:
•    Risikobewertung zur Gefährdung der Infrastruktur
•    Identifizierung aktiver Server im Netzwerk und Visualisierung verwandter Dienste
•    Schnelle Identifizierung der kritischsten Angriffsflächen
•    Entdecken von Sicherheitsfehlkonfigurationen
•    Überprüfung des Software-Update-Status
•    Prüfung der Systemhärtung


Weitere Informationen zum Vulnerability Assessment finden Sie hier.
 

Penetration-Test
Ganz anders verhält es sich bei Penetrationstests, bei denen versucht wird, unsichere Geschäftsprozesse, laxe Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein Bedrohungsakteur ausnutzen könnte.

Die Übertragung unverschlüsselter Passwörter, die Wiederverwendung von Passwörtern und vergessene Datenbanken, in denen gültige Benutzeranmeldeinformationen gespeichert sind, sind Beispiele für Probleme, die durch einen Penetrationstest aufgedeckt werden können.

Penetrationstests müssen nicht so häufig durchgeführt werden wie Schwachstellen-Scans, sollten aber regelmäßig wiederholt werden.

Penetrationstests werden am besten von einem Drittanbieter und nicht von internen Mitarbeitern durchgeführt, um einen objektiven Einblick in die Netzwerkumgebung zu erhalten und Interessenkonflikte zu vermeiden.

Ein Penetrationstest ist eine Reihe von Hacker-Methoden, die IT-Sicherheitsexperten dabei helfen sollen, Schwachstellen zu identifizieren, um sie zu beheben und ihre Beseitigung zu überprüfen.

Penetration-Tests sind eine Form des ethischen Hackings, da sie oft die Verwendung unethischer Hacking-Tools in einer vollständig autorisierten Weise beinhalten.

Sicherheitsexperten erhalten dabei vom Unternehmen die Erlaubnis, diese Art von Tests durchzuführen. Die Absicht ist nicht, Daten zu stehlen oder Vermögenswerte zu beschädigen.

Vielmehr sollen Taktiken und Tools nachgeahmt werden, die von böswilligen Akteuren eingesetzt werden könnten, um Schwachstellen in der IT-Sicherheitsstruktur eines Unternehmens zu ermitteln. Sobald diese Schwachstellen identifiziert sind, können sie behoben werden, bevor es zu einem echten Angriff kommt.

Die Hauptziele eines Penetrationstests sind:
- Die gefundenen Schwachstellen (oder Fehlkonfigurationen) ausnutzen
- die tatsächlichen Risiken zu identifizieren, denen Sie ausgesetzt sind
- Aufdecken möglicher unautorisierter Zugangswege
- Bewertung der korrekten Trennung der Infrastruktur
- Überprüfen der Passwortpolitik

Weitere Informationen zum Penetration-Test finden Sie hier.
 

Wussten Sie bereits, dass wir nebst Vulnerability Assessment und Penetration-Test auch weitere Security Assessments wie Phishing-Kampagnen anbieten? Weitere Informationen dazu finden Sie hier.

Die letzten Beiträge:

bw digitronik in Liquidation / wichtige Informationen für Kunden / important information for customers
Incident Response Retainer vs. Incident Support Service
Inside bw digitronik - Heute: Toby

bw digitronik ag | Uster West 30 | CH-8610 Uster
Telefon +41 44 905 48 48 | Fax +41 44 905 48 88 | Mail

Unsere verlässlichen Partner:

bw-digitronik – IT-Security Lösungen für die Schweiz

Anmelden

Datenschutz

powered by webpresso