Haben Sie schonmal einen Hacker beauftragt, um Ihr System zu testen? Mit Enginsight ist das ganz einfach! Unser Hacktor versucht ganz automatisiert in Ihr System einzudringen und die Kontrolle zu übernehmen.
Genutzt von Unternehmen, denen Ihre IT-Sicherheit am Herzen liegt
Unser Hacktor ist Ihr persönlicher Pentester, der innerhalb eines Netzsegmentes alle erreichbaren Assets einem Pentest unterziehen kann. Im übersichtlichen Audit-Report sehen Sie, wie weit er innerhalb Ihrer Systeme vorgedrungen ist und welche weiteren Sicherheitslücken gefunden wurden.
Schritt 1: Zielsystem festlegen
Auditieren Sie Ihre IT, egal was
Definieren Sie Ihre individuellen Ziele, welche auditiert werden sollen. Dies können einfache IP-Adressen, eine IP-Range, Ihr gesamtes Inventar bzw. Netzwerksegment oder Ihre Unternehmens-Webseite bis hin zur Fritzbox, NAS, VM, Server, Client… was auch immer, sein.
Schritt 2: VORLAGE DEFINIEREN
Automation und Skripte
Der Hacktor bringt bereits ein sehr umfangreiches Testset und verschiedenste Angriffsszenarien mit. Darüber hinaus können Sie eigene Bruteforce-Listen mitgeben oder sogar individuelle Prüf-Skripte auf den Zielsystemen ausführen.
Schritt 3: Reporting
Vergleichbare Audits
Schaffen Sie reproduzierbare Test-Szenarien und sehen Sie auf einen Blick, was Ihre Maßnahmen zur Härtung Ihrer IT-Systeme gebracht haben. Somit können Sie ein ausführliches Risikomanagement betreiben und Nachweispflichten erfüllen.
Der automatisierte Pentest von Enginsight kann quasi auf Knopfdruck durchgeführt werden. Somit sparen Sie gleich doppelt: die externen Stundensätze entfallen ebenso wie die notwendigen internen Ressourcen bei der Durchführung eines manuellen Pentests.
IT-Infrastrukturen verändern sich ständig, sowohl die Hard- als auch die Software. Noch schnelllebiger sind die Angreifer. Wer schützt Sie vor einer neuen Sicherheitslücke, welche direkt einen Tag nach Ihrem Security Audit auftritt? Welche Tagesform hatte eigentlich Ihr Pentester? Sind Sie sich sicher, dass er das richtige Know-How für Ihre Infrastruktur mitgebracht hat?
Für unseren Hacktor spielt das alles keine Rolle. Er hat stets den Überblick über Ihre aktuelle Hard- und Softwareumgebung und kennt den stundenaktuellen Stand bekannter Sicherheitslücken.
Führen Sie, ganz ohne Mehrkosten, so viele Pentests durch wie Sie möchten. Mit unseren aussagekräftigen Reportings haben Sie nicht nur eine perfekte Schwachstellen-Übersicht, sondern können Ihre eigenen Security-Maßnahmen auf Erfolg prüfen.
War room
Nur wer alles im Blick hat, kann das eigene Risiko wirklich einschätzen und konkrete Maßnahmen ergreifen. Im Enginsight War Room sehen Sie alle durch den Hacktor aufgedeckten Sicherheitslücken.
Infrastruktur | server | services | Webseiten
Der Pentest von Enginsight prüft ganz gezielt Services, welche innerhalb einer IT-Infrastruktur verwendet werden. Das Ziel besteht darin, herauszufinden ob ein Login sowie die Rechteübernahme möglich ist. In der Discovery werden mit den erlangten Rechten weiterführende Analysen durchgeführt, um z.B. an sensible Daten zu gelangen.
Bei Protokollen testet der Hacktor, ob der Remote-Nutzer Root-Rechte hat. Sollte dies der Fall sein, könnte u.a die Kontrolle über eine Anlage (telnet), Server (FTP, SSH) oder E-Mail (POP3, IMAP) erlangt werden.
Weiterhin wird geprüft, ob es möglich ist mit einem anonymen oder Standard-Account Daten zu löschen, Verzeichnisse anzulegen oder aus der Directory auszubrechen. Gelingt es dem Nutzer in der Directory-Struktur zurückzugehen, würde ihm dies erlauben, das Passwort des Servers auszulesen.
Bei SQL Datenbanken zielt der Pentest darauf ab, ob ein anonymer Login möglich ist, ob der Standarduser Rechte für das Erstellen und Löschen von Datenbanken oder Privilegien besitzt und ob ein Zugriff auf Systeminternals möglich ist.
Die Mongo DB ist eine NoSQL Datenbank, wodurch sie insbesondere im BigData Umfeld immer beliebter wird.
Für die MongoDB werden ausgerichtet auf diese Technologie ebenfalls Login-Möglichkeiten sowie die Rechtevergabe evaluiert. Insbesondere wird dabei auf die bei MongoDB häufig vorkommende Lücke eines fehlenden Passworts getestet.
Diese Services sind sehr kritisch für das Betreiben der Infrastruktur. Schafft es ein Angreifer in diesen Bereich einzudringen, kann er nahezu die vollständige Kontrolle über das System / die Server übernehmen. Der Hacktor prüft mithilfe der Bruteforce-Attacke, ob ein Zugriff und die Übernahme der Rechte möglich ist.
web basierte attacken und scans
Die Webseite oder Webservices sind für Unternehmen insb. im Endkundengeschäft das Aushängeschild schlechthin. Wenn alles funktioniert und auch noch gut aussieht ist der Kunde glücklich und hat Vertrauen in Ihr Unternehmen. Doch was, wenn nichts mehr funktioniert, der Onlineshop down geht oder die User auf Ihrer Webseite korrumpiert werden? Dann geht nicht nur der Umsatz, sondern auch Ihre Reputation schneller in den Keller als Ihnen lieb ist.
Das muss aber nicht sein. Wir zeigen Ihnen die Schwachstellen auf, welche ein Hacker ausnutzen kann, um Ihr Unternehmen vor ungewollten Manipulationen zu schützen.
web basierte attacke
Wir versuchen Schadcode im Rahmen eines vermeintlich sicheren Kontext in Ihr System einzuschleusen.
web basierte attacke
Der Versuch Datenbankbefehle über die Anwendung, die den Zugriff auf die Datenbank bereitstellt einzubringen.
web basierte attacke
Einbetten und Ausführen von Programmcode in den Webserver über Sicherheitslücken in Skript-basierten Webanwendungen
web basierte attacke
Senden von Systemkommandos per Webrequest an einen Server, wie zum Beispiel einen Shutdown.
konfigurationen
Überprüfung Ihrer Zertifikate, ob diese Chiffren verwenden, welche Sicherheitslücken aufweisen.
konfigurationen
Überprüfung der sicherheitsrelevanten HTTP-Header inkl. Infos zur korrekten Implementierung. Schützen Sie die Besucher Ihrer Webseite!
konfigurationen
Untersuchung nach Dateien, welche sensitive Daten über ein Zielsystem preisgeben (z.B. Passwörter, Konfigdaten) sowie nach Datenbank-Dumps die öffentlich erreichbar sind.
konfigurationen
Ermittlung, ob die Gegenseite Informationen preisgibt, die das Ziel potenziell angreifbar machen. Dazu zählen u.a. erreichbare Konfigdateien oder auch Logs.
7 Tage Wissen und Insights für IT-Security Dienstleister.
