Was sind Penetrationstests?
Erkennung von Schwachstellen in Ihrer Angriffsoberfläche
Penetrationstests sind ein Verfahren, mit dem Sie Einblicke in die Sicherheitsschwächen in Ihrer Angriffsoberfläche erhalten. Im Gegensatz zu einem Programm zur Schwachstellenbewertung, das ein fortlaufender Prozess ist, liefern Penetrationstests eine Momentaufnahme des Zustands Ihrer Cybersicherheit. Pentests können helfen, Methoden zur Verringerung von Cyberrisiken zu definieren und bessere Verfahren für die Schwachstellenbewertung zu entwickeln.
Erfahren Sie mehr über diese Themen:
Pentests effektiver gestalten
Best Practices im Exposure-Management können die Effektivität Ihrer Penetrationstests verbessern.
Mehr erfahrenHäufig gestellte Fragen zu Penetrationstests
Haben Sie Fragen zu Penetrationstests? In den FAQ finden Sie Antworten auf einige der am häufigsten gestellten Fragen zu diesem Thema.
Mehr erfahrenTenable Community für Penetrationstests
Möchten Sie sich mit anderen Pentestern austauschen? Die Tenable Community ist ein hervorragender Ort, um Unterstützung zu erhalten, Ideen auszutauschen und Fragen zu stellen.
Mehr erfahrenSchwachstellen-Scanning und Penetrationstests als ineinandergreifende Komponenten
Schwachstellen-Scans sind ein wichtiger Bestandteil Ihrer übergeordneten Prozesse für Penetrationstests.
Mehr erfahrenMaximieren Sie Penetrationstests mit Tenable
Tenable unterstützt Penetrationstests durch die Automatisierung von Prozessen zur schnellen Aufdeckung von Sicherheitslücken, damit Sie das Cyberrisiko verringern können.
Worin besteht der Unterschied zwischen Penetrationstests und Schwachstellen-Scans?
Obwohl Penetrationstests und Schwachstellen-Scanning einander ergänzen, handelt es sich dennoch um unterschiedliche Prozesse.
Penetrationstests helfen Ihnen, Schwachpunkte in Ihrer Angriffsfläche zu aufzuspüren, sodass Sie ermitteln können, ob Angreifer in Ihr Netzwerk eindringen oder sich unbefugt Zugriff auf Ihre Assets und Systeme verschaffen können.
Penetrationstests werden in der Regel von einem erfahrenen und gut geschulten Dritten durchgeführt, der eine Vielzahl von Techniken anwenden kann, um diese Schwachpunkte genauso aufzuspüren und auszunutzen, wie es ein Angreifer tun würde.
Bei einem Penetrationstest handelt es sich um eine zeitpunktbezogene Bewertung der Schwachstellen in Ihrer Umgebung, sowohl On-Premise als auch in der Cloud. Schwachstellen-Scans hingegen ermitteln bekannte Sicherheitsprobleme und Fehlkonfigurationen innerhalb Ihrer Angriffsoberfläche, sodass Sie Behebungsmaßnahmen planen können, um das Cyberrisiko Ihres Unternehmens zu verringern.
Regulierungs- und Compliance-Behörden können eine regelmäßige Durchführung von Penetrationstests und Schwachstellen-Scanning vorschreiben, wie etwa gemäß dem Payment Card Industry Data Security Standard (PCI DSS). Aber dennoch sind sich einige Unternehmen über die Unterschiede zwischen den beiden Konzepten nicht im Klaren.
In diesem Leitfaden für Pentests erfahren Sie mehr über die Unterschiede zwischen Penetrationstests und Schwachstellen-Scans, um ein besseres Verständnis dafür zu erlangen, dass beide kritische Komponenten eines ausgereiften und effektiven Cybersecurity-Programms darstellen.
Tenable Community: Ihre erste Anlaufstelle für Penetrationstests
Sind Sie ein Cybersecurity-Experte, der sich auf Penetrationstests spezialisiert hat? Haben Sie Fragen zu Ressourcen, Tools oder Best Practices für Penetrationstests? Die Tenable Community ist ein hervorragender Ort, um sich mit anderen Experten über Penetrationstests und damit zusammenhängende Themen auszutauschen.
Der Tenable Community beitreten
Hier einige Beispiele für Diskussionen, die derzeit stattfinden:
Penetrationstests für alle meine öffentlichen IPs?
Wir haben den Nessus Professional Scanner erworben und müssen Penetrationstests für alle unsere öffentlichen IPs durchführen. Gibt es empfohlene Plugins oder eine Plugin-Familie, die ich auswählen sollte? Außerdem muss ich eine Schwachstellenanalyse für alle meine Anwendungen durchführen.
WeiterlesenSchwachstellen-Scan vs. Penetrationstest
Wir führen regelmäßig Schwachstellenanalysen durch und ergreifen Maßnahmen gegen Schwachstellen. Wäre es eine Gegenmaßnahme, wenn ein Penetrationstest durchgeführt wird? Welche Schwachstellen oder Sicherheitsrisiken, wenn überhaupt, werden nicht durch die Schwachstellenbewertung erkannt, sondern werden erst durch einen Penetrationstest aufgedeckt?
WeiterlesenCIS Control 20: Penetrationstests und Red-Team-Übungen
Als abschließenden Nachweis für ein gutes Sicherheitsprogramm empfiehlt CIS Control 20 das Testen sämtlicher Sicherheitskontrollen. Diese Übungen sind sehr nützlich für Schulung und Sicherheitsbewusstsein. In vielen Fällen können Angreifer gut gemeinte Maßnahmen ausnutzen. Eine sehr strenge Passwortrichtlinie kann zum Beispiel dazu führen, dass Benutzer ihre Passwörter an ihre Tastatur kleben.
WeiterlesenHäufig gestellte Fragen zu Penetrationstests
Was sind Penetrationstests?
Wie funktioniert ein Penetrationstest?
Welche Ziele werden mit einem Penetrationstest verfolgt?
Wie häufig sollten Penetrationstests durchgeführt werden?
Warum sind Penetrationstests wichtig?
Was ist der Unterschied zwischen Schwachstellenbewertung und Penetrationstest?
Wie unterscheiden sich Penetrationstests vom Schwachstellenmanagement?
Aus welchen Phasen bestehen Penetrationstests?
Gibt es unterschiedliche Ansätze für Penetrationstests?
Welche Best Practices gibt es für Penetrationstests?
Einige Best Practices für Penetrationstests:
- Führen Sie Tests mindestens vierteljährlich durch sowie bei Bedarf, um Compliance-Anforderungen zu erfüllen.
- Legen Sie vor Durchführung jedes Penetrationstests Ziele, Vorgaben und den jeweiligen Umfang fest.
- Prüfen Sie die Ergebnisse, um Behebungsmaßnahmen zu planen.
- Führen Sie im Anschluss weitere Tests nach Bedarf durch.
- Bewahren Sie die im Rahmen von Penetrationstests aufgedeckten Nachweise auf und berücksichtigen Sie dabei die entsprechenden Gesetze und Compliance-Standards für die Aufbewahrung von Nachweisen.
Wie wird Schwachstellen-Scanning für Penetrationstests eingesetzt?
Schwachstellen-Scanning und Penetrationstests als ineinandergreifende Komponenten
Penetrationstests sind Prozesse, mit deren Hilfe Sie Schwachstellen in Ihrer Angriffsoberfläche aufdecken können, bevor Angreifer sie ausnutzen. Doch wo anfangen?
Schwachstellen-Scans sind ein guter Ausgangspunkt und ein wichtiger Bestandteil Ihrer übergeordneten Prozesse für Penetrationstests. Schwachstellen-Scanning kann Ihnen dabei helfen, alle Schwachstellen in Ihrer Angriffsoberfläche aufzuspüren, damit Sie sie beheben können, bevor Angreifer sie ausnutzen und sich dadurch Zugriff auf Ihre Daten und Systeme verschaffen.
Hier einige Beispiele dafür, wie Schwachstellen-Scanning und Penetrationstests ineinandergreifen:
Während eines Penetrationstests kann der Pentester entweder Schwachstellen-Scans auf der gesamten Angriffsoberfläche durchführen oder nur einen bestimmten Teil einbeziehen, z. B. interne oder externe Netzwerke, Cloud-Umgebungen, IoT-Geräte (Internet of Things), IIoT-Geräte (Industrial Internet of Things), OT-Geräte (operative Technologie), Container oder Web-Apps.
Nessus Professional ist ein Tool zur Schwachstellenbewertung, das Sie dabei unterstützen kann, diese Schwachstellen mithilfe von Scans ausfinding zu machen. Es wird mit vorgefertigten Vorlagen geliefert, die Sie bei der Durchführung von authentifizierten und nicht-authentifizierten Schwachstellen-Scans unterstützen. Nessus Professional kann Sie bei der schnellen und unkomplizierten Durchführung von sowohl Whitebox- als auch Blackbox-Tests unterstützen.
Nessus-Vorlagen unterstützen zahlreiche Compliance-Frameworks, wie etwa CIS (Center for Internet Security), HIPAA (Health Insurance Portability and Accountability Act), DISA (Defense Information Systems Agency), STIG (Security Technical Implementation Guides) und viele weitere.
Sie können Nessus-Vorlagen auch für Ihre eigenen Tests anpassen und die Einstellungen so festlegen, dass falsch negative oder falsch positive Ergebnisse vermieden werden.
Möchten Sie mehr darüber erfahren, wie Sie Nessus im Rahmen Ihrer Penetrationstests für Schwachstellen-Scanning nutzen können?
WeiterlesenNessus – der Goldstandard in Sachen Schwachstellenbewertung
Die Schwachstellen und Assets in Ihrer modernen Angriffsoberfläche verändern sich ständig. Verlassen Sie sich auf Nessus Professional und seien Sie Angreifern stets einen Schritt voraus.
Blogbeiträge zum Thema Penetrationstests
How Exposure Management Can Make Pen Testing More Effective
Bedauerlicherweise priorisieren Unternehmen oftmals den Umgang mit Compliance-Anforderungen und -Problemen gegenüber der Entwicklung proaktiver und präventiver Sicherheitsansätze wie Schwachstellen-Scans und Penetrationstests. Wenn dies auch die Vorgehensweise Ihres Unternehmens ist, werden Sie Ihre Cyberrisiken möglicherweise nie vollständig in den Griff bekommen, vor allem weil Angreifer fortwährend nach Schwachstellen in Ihrem System suchen. Erfahren Sie mehr darüber, wie Sie Best Practices für das Exposure-Management auf Ihre Penetrationstests anwenden können, um diese effektiver zu gestalten.
Discover the Most Valuable Cyber Skills, Key Cloud Security Trends and Cyber’s Big Business Impact
Obwohl es nach wie vor einen Mangel an qualifizierten Fachkräften für Cybersecurity gibt, ist es gut zu wissen, dass diese Qualifikationen weiterhin sehr gefragt sind. Wenn Sie sich die Daten von Foote Partners über den Marktwert von technischen Fähigkeiten genauer ansehen, werden diejenigen, die sich für eine Berufslaufbahn als Pentester interessieren, erfreut feststellen, dass der durchschnittliche Gehaltsaufschlag für Kompetenzen als Penetrationsexperte 17 % des Grundgehalts beträgt und der Marktwert um mehr als 21 % steigt. Lesen Sie weiter, um mehr darüber zu erfahren, welchen Wert Penetrationstests in diesem sich verändernden Markt haben.
Tenable Nessus Expands Attack Surface Coverage with Web App Scanning
Unsichere Webanwendungen können zu Datenpannen mit verheerenden Folgen führen. Doch wie Penetrationstester nur zu gut wissen, ist es schwierig, mit all den neuesten Sicherheitslücken und anderen potenziellen Angriffsmethoden Schritt zu halten. Zu lange schon haben Tester versucht, mit verschiedenen Tools so viele potenzielle Probleme auf einer Angriffsoberfläche abzudecken, wie sie konnten. Lesen Sie mehr darüber, wie eine einheitliche Lösung Pentestern helfen kann, ein umfassenderes Bild zu erhalten und die Probleme zu überwinden, die häufig durch isolierte Lösungen verursacht werden.
Maximieren Sie Penetrationstests mit Tenable
Penetrationstests und Schwachstellenanalysen sind die perfekte Kombination, um Ihre Cybersecurity-Verfahren zu verbessern, denn beide Prozesse suchen nach Schwachpunkten in Ihrer Angriffsoberfläche. Während automatisierte Schwachstellenanalysen Ihnen helfen, einige der gängigsten Sicherheitsprobleme schnell zu identifizieren, dürfen Sie den Mehrwert der Fähigkeiten und der Kreativität eines Pentesters nicht außer Acht lassen, der in der Lage ist, wie ein Angreifer zu denken und dessen Schritte nachzuahmen, um sich Zugang zu Ihrer Umgebung zu verschaffen.
Fokus auf aktives Scannen
Aktives Scannen, eine Kernkomponente von Nessus Professional und Teil der Tenable One-Plattform, ist eine hervorragende Möglichkeit, Ihre bisherigen Pentest-Verfahren zu ergänzen. Wenn Sie beispielsweise nach einer Schwachstelle in einer Website suchen, können Sie einen Web-App-Scanner einsetzen, um herauszufinden, in welcher Weise Ihre Anwendungen mit Internetanbindung für Angriffe anfällig sind. Sobald Sie dies herausgefunden haben, können Sie Ihre Pentest-Fähigkeiten einsetzen, um diese Probleme eingehender zu untersuchen.
Zeit sparen
Mit automatisierten Schwachstellen-Scans können Sie schnell die Bereiche identifizieren, auf die Sie Ihre Pentest-Aktivitäten fokussieren sollten. Wenn Sie beispielsweise einen Scan durchführen und feststellen, dass das Apache-Framework eines Kunden ein Sicherheitsproblem aufweist, können Sie gezielt aufzeigen, wie ein Angreifer dieses Problem ausnutzen könnte, und dann eine Lösung zur Problembehebung anbieten.
Offline-Bewertungen durchführen
Zwar sind Assets mit Internet-Anbindung häufig besonders durch potenzielle Angriffe bedroht, aber auch Ihre Offline-Assets sind gefährdet. Mit Unterstützung von Nessus Professional Live Results können Sie beispielsweise im Rahmen Ihrer Penetrationstests jedes Mal, wenn ein Plugin aktualisiert wird, Offline-Schwachstellenbewertungen durchführen. Wenn etwas Verdächtiges auftaucht, erhalten Sie eine Warnung und können Ihre Pentest-Schritte entsprechend ausrichten.
Die Nummer eins in Sachen Genauigkeit
Mit seiner Six-Sigma-Genauigkeit (0,32 Defekte pro 1 Million Scans) kann Nessus die branchenweit niedrigste False-Positive-Rate vorweisen.
Die Nummer eins in Sachen Abdeckung
Nessus bietet mehr als 140.000 Plugins für über 50.000 bekannte CVEs (Common Vulnerabilities and Exposures) Tenable veröffentlicht jede Woche über 100 neue Plugins, die im Falle von High-Profile-Schwachstellen innerhalb von 24 Stunden nach Bekanntwerden bereitgestellt werden.
Die Nummer eins in Sachen Branchenakzeptanz
Zehntausende von Unternehmen weltweit vertrauen auf Nessus. Die Lösung wurde bereits über zwei Millionen Mal heruntergeladen und wird von 65 % der Fortune 500-Unternehmen eingesetzt.