Hält Ihre IT einem Hackerangriff stand?

Video abspielen

Haben Sie schonmal einen Hacker beauftragt, um Ihr System zu testen? Mit Enginsight ist das ganz einfach! Unser Hacktor versucht ganz automatisiert in Ihr System einzudringen und die Kontrolle zu übernehmen.

Genutzt von Unternehmen, denen Ihre IT-Sicherheit am Herzen liegt

jenoptik Logo

Automatisierter Pentest

Unser Hacktor ist Ihr persönlicher Pentester, der innerhalb eines Netzsegmentes alle erreichbaren Assets einem Pentest unterziehen kann. Im übersichtlichen Audit-Report sehen Sie, wie weit er innerhalb Ihrer Systeme vorgedrungen ist und welche weiteren Sicherheitslücken gefunden wurden. 

Schritt 1: Zielsystem festlegen

Auditieren Sie Ihre IT, egal was

Definieren Sie Ihre individuellen Ziele, welche auditiert werden sollen. Dies können einfache IP-Adressen, eine IP-Range, Ihr gesamtes Inventar bzw. Netzwerksegment oder Ihre Unternehmens-Webseite bis hin zur Fritzbox, NAS, VM, Server, Client… was auch immer, sein.

Schritt 2: VORLAGE DEFINIEREN

Automation und Skripte

Der Hacktor bringt bereits ein sehr umfangreiches Testset und verschiedenste Angriffsszenarien mit. Darüber hinaus können Sie eigene Bruteforce-Listen mitgeben oder sogar individuelle Prüf-Skripte auf den Zielsystemen ausführen.  

Schritt 3: Reporting

Vergleichbare Audits

Schaffen Sie reproduzierbare Test-Szenarien und sehen Sie auf einen Blick, was Ihre Maßnahmen zur Härtung Ihrer IT-Systeme gebracht haben. Somit können Sie ein ausführliches Risikomanagement betreiben und Nachweispflichten erfüllen.

Prüfen Sie Ihre IT von außen und innen

Der automatisierte Pentest von Enginsight kann quasi auf Knopfdruck durchgeführt werden. Somit sparen Sie gleich doppelt: die externen Stundensätze entfallen ebenso wie die notwendigen internen Ressourcen bei der Durchführung eines manuellen Pentests.

Risikomanagment und Erfüllen von nachweispflichten

IT-Infrastrukturen verändern sich ständig, sowohl die Hard- als auch die Software. Noch schnelllebiger sind die Angreifer. Wer schützt Sie vor einer neuen Sicherheitslücke, welche direkt einen Tag nach Ihrem Security Audit auftritt? Welche Tagesform hatte eigentlich Ihr Pentester? Sind Sie sich sicher, dass er das richtige Know-How für Ihre Infrastruktur mitgebracht hat?

Für unseren Hacktor spielt das alles keine Rolle. Er hat stets den Überblick über Ihre aktuelle Hard- und Softwareumgebung und kennt den stundenaktuellen Stand bekannter Sicherheitslücken.

Security-Self-Assessment

Führen Sie, ganz ohne Mehrkosten, so viele Pentests durch wie Sie möchten. Mit unseren aussagekräftigen Reportings haben Sie nicht nur eine perfekte Schwachstellen-Übersicht, sondern können Ihre eigenen Security-Maßnahmen auf Erfolg prüfen.

War room

Umfangreiche Risikobewertung

Nur wer alles im Blick hat, kann das eigene Risiko wirklich einschätzen und konkrete Maßnahmen ergreifen. Im Enginsight War Room sehen Sie alle durch den Hacktor aufgedeckten Sicherheitslücken. 

websecurity
Lassen sie sich von enginsight hacken

bevor es ein krimineller hacker macht

Infrastruktur | server | services | Webseiten

Bruteforce und Discovery

Der Pentest von Enginsight prüft ganz gezielt Services, welche innerhalb einer IT-Infrastruktur verwendet werden. Das Ziel besteht darin, herauszufinden ob ein Login sowie die Rechteübernahme möglich ist. In der Discovery werden mit den erlangten Rechten weiterführende Analysen durchgeführt, um z.B. an sensible Daten zu gelangen. 

Services und Protokolle

Bei Protokollen testet der Hacktor, ob der Remote-Nutzer Root-Rechte hat. Sollte dies der Fall sein, könnte u.a die Kontrolle über eine Anlage (telnet), Server (FTP, SSH) oder E-Mail (POP3, IMAP) erlangt werden.

Weiterhin wird geprüft, ob es möglich ist mit einem anonymen oder Standard-Account Daten zu löschen, Verzeichnisse anzulegen oder aus der Directory auszubrechen. Gelingt es dem Nutzer in der Directory-Struktur zurückzugehen, würde ihm dies erlauben, das Passwort des Servers auszulesen. 

SQL Datenbanken

Bei SQL Datenbanken zielt der Pentest darauf ab, ob ein anonymer Login möglich ist, ob der Standarduser Rechte für das Erstellen und Löschen von Datenbanken oder Privilegien besitzt und ob ein Zugriff auf Systeminternals möglich ist.

NoSQL Datenbanken

Die Mongo DB ist eine NoSQL Datenbank, wodurch sie insbesondere im BigData Umfeld immer beliebter wird.

Für die MongoDB werden ausgerichtet auf diese Technologie ebenfalls Login-Möglichkeiten sowie die Rechtevergabe evaluiert. Insbesondere wird dabei auf die bei MongoDB häufig vorkommende Lücke eines fehlenden Passworts getestet. 

Key Value Store / Message Bus

Diese Services sind sehr kritisch für das Betreiben der Infrastruktur. Schafft es ein Angreifer in diesen Bereich einzudringen, kann er nahezu die vollständige Kontrolle über das System / die Server übernehmen. Der Hacktor prüft mithilfe der Bruteforce-Attacke, ob ein Zugriff und die Übernahme der Rechte möglich ist.

web basierte attacken und scans

Angriff auf Ihre Reputation

Die Webseite oder Webservices sind für Unternehmen insb. im Endkundengeschäft das Aushängeschild schlechthin. Wenn alles funktioniert und auch noch gut aussieht ist der Kunde glücklich und hat Vertrauen in Ihr Unternehmen. Doch was, wenn nichts mehr funktioniert, der Onlineshop down geht oder die User auf Ihrer Webseite korrumpiert werden? Dann geht nicht nur der Umsatz, sondern auch Ihre Reputation schneller in den Keller als Ihnen lieb ist. 

Das muss aber nicht sein. Wir zeigen Ihnen die Schwachstellen auf, welche ein Hacker ausnutzen kann, um Ihr Unternehmen vor ungewollten Manipulationen zu schützen.

web basierte attacke

Cross-Site-Scripting

Wir versuchen Schadcode im Rahmen eines vermeintlich sicheren Kontext in Ihr System einzuschleusen.

web basierte attacke

SQL Injection

Der Versuch Datenbankbefehle über die Anwendung, die den Zugriff auf die Datenbank bereitstellt einzubringen.

web basierte attacke

File Inclusion

Einbetten und Ausführen von Programmcode in den Webserver über Sicherheitslücken in Skript-basierten Webanwendungen

web basierte attacke

Command Injection

Senden von Systemkommandos per Webrequest an einen Server, wie zum Beispiel einen Shutdown.

konfigurationen

SSL/TLS Chiffren Scan

Überprüfung Ihrer Zertifikate, ob diese Chiffren verwenden, welche Sicherheitslücken aufweisen.

konfigurationen

HTTP-Header

Überprüfung der  sicherheitsrelevanten HTTP-Header inkl. Infos zur korrekten Implementierung. Schützen Sie die Besucher Ihrer Webseite!

konfigurationen

Sensitive Data Leak

Untersuchung nach Dateien, welche sensitive Daten über ein Zielsystem preisgeben (z.B. Passwörter, Konfigdaten) sowie nach Datenbank-Dumps die öffentlich erreichbar sind. 

konfigurationen

Common Source Leaks

Ermittlung, ob die Gegenseite Informationen preisgibt, die das Ziel potenziell angreifbar machen. Dazu zählen u.a. erreichbare Konfigdateien oder auch Logs.

der einfachste pentest der welt

ist ihr system wirklich sicher?

NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo