SPONSORED-POST Advertorial von Boll Engineering

Penetration Testing der fortgeschrittenen Art

Uhr

Durch Penetration Tests erhalten Unternehmen ein realistisches Bild der Angreifbarkeit ihrer IT-Infrastrukturen. Synack bietet eine Penetration-Testing-Lösung an, die das Optimum an Technologie mit einem weltumspannenden Spezialistennetzwerk vereint.

(Source: Gorodenkoff Productions OU)
(Source: Gorodenkoff Productions OU)

Schwachstellen treten in jedem IT-System auf, von der einzelnen Applikation bis zu ganzen Netzwerksegmenten. Traditionell nutzt man zum Aufspüren von Sicherheitslecks sogenannte Vulnerability-Scanning-­Werkzeuge. Diese liefern als Resultat ihrer Prüftätigkeit regelmässig eine Liste der erkannten Schwachstellen und klassifizieren sie dabei nach Schweregrad. Vulnerability Scanning ist bei allen grösseren Unternehmen Usus und unterstützt das Patch Management massgeblich.

Penetration Tests greifen tiefer

Ein Scan auf bekannte Schwachstellen zeigt jedoch nicht das gesamte Bild, das ein Angreifer von der fraglichen Infrastruktur erlangt. Vulnerability Scanning deckt nur bereits bekannte Sicherheitslecks ab, die sich automatisiert erkennen lassen. Alle anderen Methoden, die Cyberkriminelle für ihre Attacken nutzen, werden nicht erfasst. Denn auch wenn die gesamte Infrastruktur auf aktuellem Stand mit Sicherheitsupdates versorgt ist, können Angreifer auf vielfältige Hacking-Tools und -Methoden zurückgreifen – man denke beispielsweise an Schwachstellen, für die es noch keine Patches gibt.

Penetration Tests gehen einen Schritt weiter. Auch dabei wird die Infrastruktur zunächst per Vulnerability Scan auf Schwachstellen abgecheckt. Danach jedoch kommt der Mensch ins Spiel: Spezialisierte «White Hat»-Hacker versuchen im Auftrag ihrer Kunden, die Schwachstellen aktiv auszunutzen (natürlich ohne tatsächlich Schaden anzurichten) und liefern einen detaillierten Bericht über die in der Realität erfolgreichen Angriffsmethoden.

Plattformgestützter Managed Service

IT-Dienstleister, die Penetration Testing anbieten, offerieren diesen Service normalerweise als einzelne, zeitlich begrenzte Massnahme und greifen für die Durchführung meist auf eine relativ kleine Zahl von Experten zurück.

Die technische Basis der Synack-Lösung ist eine Plattform, bestehend aus dem KI-gestützten Vulnerability Scanner Hydra, der Machine Learning Engine Apollo und dem Secure Testing Gateway LaunchPoint. Letzterer kommt dann zum Einsatz, wenn interne Systeme geprüft werden sollen. Die Plattform bietet dem Kunden jederzeit Zugriff auf die laufend aktualisierten Testresultate. Synack verfolgt das Ziel, für Kunden regelmässige Pene­tration Tests auszuführen. Im Speziellen für Applikationen, die sehr häufig aktualisiert werden und besonders geschäftskritisch sind. Dies im Gegensatz zum möglicherweise nur einmal jährlich ­erhältlichen Report beim Einsatz eines konventio­nellen Pentest-Anbieters. Anders ausgedrückt: ­Synack offeriert Pene­tration Testing nicht nur in Form von einmaligen Testprojekten, sondern auch als Managed Service mit kontinuierlicher Überprüfung der infrage stehenden Infrastrukturen.

Technologie und menschliche Intelligenz vereint

Die Technik ist allerdings nicht alles, was ­Synack auszeichnet. Sie liefert bloss die Basis für das weitergehende Testen. Denn noch wichtiger ist das globale Netzwerk von über 1600 White-Hat-Hackern aus mehr als 80 Ländern, genannt Synack Red Team (SRT), die im Crowdsourcing-Modell die Infrastrukturen der Synack-Kunden auf Herz und Nieren testen. So wird es möglich, dass an einem Penetration Test üblicherweise mehrere hochkarätige Spezialisten beteiligt sind – dies mit einem hohen Grad an Internationalität.

Das breit aufgestellte Know-how und die je nach Weltgegend unterschiedlichen Hacking-­Methoden ergeben ein realistisches Gesamtbild der tatsächlichen Angreifbarkeit. Die Mitglieder des SRT werden selbstverständlich auf Fähigkeiten und Vertrauenswürdigkeit geprüft, bevor sie mit der Arbeit beginnen dürfen. Zusammen mit der innovativen Technologieplattform ergibt sich ein skalierbarer Penetration-Testing-Service, der das Beste aus künstlicher und menschlicher Intelligenz vereint.

Synack: die Highlights

  • Intelligente Testplattform

  • Kundenportal mit aktuellen ­Informationen

  • Globales Netzwerk von mehr als
    1600 White-Hat-Hackern

  • Discover: Vulnerability Discovery über 14 Tage

  • SmartScan: Vulnerability Assessment 24/7/365

  • Certify: Penetration Testing über 14 Tage

  • Synack365: Penetration Testing 24/7/365

  • Unterstützt Compliance nach PCI, OWASP Top 10 und NIST 800-53

BOLL Engineering AG
Jurastrasse 58
5430 Wettingen
Tel. 056 437 60 60
info@boll.ch
www.boll.ch

Webcode
DPF8_208971

Kommentare

« Mehr