Was sind Penetrationstests?
Erkennung von Schwachstellen in Ihrer Angriffsoberfläche
Penetration testing is a process to get insight into security weaknesses within your attack surface. Unlike a vulnerability assessment program, which is an ongoing process, pen tests provide a point-in-time picture into your cyber health. Pen tests can help define ways to reduce cyber risk and build stronger vulnerability assessment practices.
Erfahren Sie mehr über diese Themen:
How to Make Pen Tests More Effective
Exposure management best practices can improve the effectiveness of your pen testing processes.
Mehr erfahrenHäufig gestellte Fragen zu Penetrationstests
Haben Sie Fragen zu Penetrationstests? In den FAQ finden Sie Antworten auf einige der am häufigsten gestellten Fragen zu diesem Thema.
Mehr erfahrenTenable Community für Penetrationstests
Möchten Sie sich mit anderen Pentestern austauschen? Die Tenable Community ist ein hervorragender Ort, um Unterstützung zu erhalten, Ideen auszutauschen und Fragen zu stellen.
Mehr erfahrenSchwachstellen-Scanning und Penetrationstests als ineinandergreifende Komponenten
Vulnerability scanning is a key component of your overall penetration testing processes.
Mehr erfahrenMaximize Your Penetration Tests with Tenable
Tenable supports penetration testing by automating processes to quickly discover security weaknesses so you can decrease cyber risk.
How are Penetration Testing and Vulnerability Scanning Different?
Obwohl Penetrationstests und Schwachstellen-Scanning einander ergänzen, handelt es sich dennoch um unterschiedliche Prozesse.
Penetrationstests helfen Ihnen, Schwachpunkte in Ihrer Angriffsfläche zu aufzuspüren, sodass Sie ermitteln können, ob Angreifer in Ihr Netzwerk eindringen oder sich unbefugt Zugriff auf Ihre Assets und Systeme verschaffen können.
Pen tests are generally conducted by an experienced and well-trained third-party, who may use a variety of techniques to uncover and exploit these weaknesses just like an attacker would.
While a penetration test is a point-in-time assessment of vulnerabilities across your environment both on-prem and in the cloud, vulnerability scanning seeks out known security issues and misconfigurations within your attack surface so you can plan remediation to reduce your organization’s cyber risk.
Regulierungs- und Compliance-Behörden können eine regelmäßige Durchführung von Penetrationstests und Schwachstellen-Scanning vorschreiben, wie etwa gemäß dem Payment Card Industry Data Security Standard (PCI DSS). Aber dennoch sind sich einige Unternehmen über die Unterschiede zwischen den beiden Konzepten nicht im Klaren.
In this pen test guide, learn more about the differences between pen testing and vulnerability scanning to better understand how both are critical components of a mature and effective overall cybersecurity program.
Tenable Community: Your Go-To Resource for Pen Testing
Sind Sie ein Cybersecurity-Experte, der sich auf Penetrationstests spezialisiert hat? Haben Sie Fragen zu Ressourcen, Tools oder Best Practices für Penetrationstests? Die Tenable Community ist ein hervorragender Ort, um sich mit anderen Experten über Penetrationstests und damit zusammenhängende Themen auszutauschen.
Der Tenable Community beitreten
Hier einige Beispiele für Diskussionen, die derzeit stattfinden:
Penetration Testing for all of my Public IPs?
We have bought the Nessus Professional scanner. We have to perform penetration testing to all our public IPs. Are there recommended plugins or a plugin family for me to choose? Also required to run vulnerability assessment for all my applications.
WeiterlesenVulnerability Scan vs Penetration Testing
We conduct periodic vulnerability assessments and take measures against vulnerabilities. Would this be a countermeasure if a penetration test is performed? What vulnerabilities or security risks, if any, are not detected by the vulnerability assessment and are first discovered by penetration testing?
WeiterlesenCIS Control 20: Penetration Tests and Red Team Exercises
As a final testament to a good security program, CIS Control 20 recommends testing all security controls. These exercises are very beneficial to training and security awareness. Many times, attackers can exploit well-intended measures. For example, a really strict password policy can result in users taping passwords to their keyboard.
WeiterlesenHäufig gestellte Fragen zu Penetrationstests
Was sind Penetrationstests?
Wie funktioniert ein Penetrationstest?
Welche Ziele werden mit einem Penetrationstest verfolgt?
Wie häufig sollten Penetrationstests durchgeführt werden?
Warum sind Penetrationstests wichtig?
Was ist der Unterschied zwischen Schwachstellenbewertung und Penetrationstest?
How is penetration testing different from vulnerability management?
Aus welchen Phasen bestehen Penetrationstests?
Gibt es unterschiedliche Ansätze für Penetrationstests?
Welche Best Practices gibt es für Penetrationstests?
Some pen testing best practices are:
- Conduct tests at least quarterly and as required to meet compliance standards.
- Set goals, objectives and scope before conducting each pen test.
- Review results to plan for remediation.
- Follow up with additional tests as needed.
- Retain evidence uncovered by your pen tests, taking into account related laws and compliance standards for evidence retention.
Wie wird Schwachstellen-Scanning für Penetrationstests eingesetzt?
Schwachstellen-Scanning und Penetrationstests als ineinandergreifende Komponenten
Penetrationstests sind Prozesse, mit deren Hilfe Sie Schwachstellen in Ihrer Angriffsoberfläche aufdecken können, bevor Angreifer sie ausnutzen. Doch wo anfangen?
Schwachstellen-Scans sind ein guter Ausgangspunkt und ein wichtiger Bestandteil Ihrer übergeordneten Prozesse für Penetrationstests. Schwachstellen-Scanning kann Ihnen dabei helfen, alle Schwachstellen in Ihrer Angriffsoberfläche aufzuspüren, damit Sie sie beheben können, bevor Angreifer sie ausnutzen und sich dadurch Zugriff auf Ihre Daten und Systeme verschaffen.
Hier einige Beispiele dafür, wie Schwachstellen-Scanning und Penetrationstests ineinandergreifen:
During a penetration test, your tester may perform vulnerability scans across your complete attack surface or choose to specifically target a subset, for example your internal networks, external networks, your cloud environments, internet of things (IoT) devices, industrial internet of things (IIoT) devices, operational technology (OT) devices, containers or web apps.
Nessus Professional ist ein Tool zur Schwachstellenbewertung, das Sie dabei unterstützen kann, diese Schwachstellen mithilfe von Scans ausfinding zu machen. It comes with pre-built templates to help you conduct authenticated and non-authenticated vulnerability scans. It can help you quickly — and easily — conduct both whitebox testing and blackbox testing.
Nessus templates support many compliance frameworks such as Center for Internet Security (CIS), Health Insurance Portability and Accountability Act (HIPAA), Defense Information Systems Agency (DISA), Security Technical Implementation Guides (STIG), and others.
Sie können Nessus-Vorlagen auch für Ihre eigenen Tests anpassen und die Einstellungen so festlegen, dass falsch negative oder falsch positive Ergebnisse vermieden werden.
Möchten Sie mehr darüber erfahren, wie Sie Nessus im Rahmen Ihrer Penetrationstests für Schwachstellen-Scanning nutzen können?
WeiterlesenNessus – der Goldstandard in Sachen Schwachstellenbewertung
Die Schwachstellen und Assets in Ihrer modernen Angriffsoberfläche verändern sich ständig. Verlassen Sie sich auf Nessus Professional und seien Sie Angreifern stets einen Schritt voraus.
Blogbeiträge zum Thema Penetrationstests
How Exposure Management Can Make Pen Testing More Effective
Unfortunately, many times organizations will prioritize addressing compliance requirements and issues over developing proactive and preventive security approaches, like vulnerability scanning and penetration testing. If that's your organization's approach, you may never fully address your cyber risks, especially because attackers are constantly on the hunt for vulnerabilities in your system. Learn more about how you can apply exposure management best practices to your pen test processes to make them more effective.
Discover the Most Valuable Cyber Skills, Key Cloud Security Trends and Cyber’s Big Business Impact
Although there continues to be an ongoing shortage of skilled cybersecurity professionals, it’s good to know these skills remain in high demand. In fact, after taking a closer look at Foote Partners’ data about tech skill market value, those interested in penetration testing careers might rejoice in finding that for penetration skills, the average pay premium is 17% of the base salary equivalent, and the market value increase is more than 21%. Read more to find out about pen test value in this changing market.
Tenable Nessus Expands Attack Surface Coverage with Web App Scanning
Unsecure web apps can lead to data breaches with devastating consequences. Yet, as penetration testers know all too well, keeping up with keeping up with all the latest vulnerabilities and other potential attack methods is challenging. Far too long, testers have piecemealed different tools to try to address as many potential issues across an attack surface as they can. Read more about how a unified solution can help testers get a more comprehensive picture and overcome challenges commonly caused by siloed solutions.
Maximize Your Penetration Tests with Tenable
Penetration testing and vulnerability assessments are the perfect pair to use in tandem to mature your cybersecurity practices. Both of these processes seek out weaknesses in your attack surface. While automated vulnerability assessments can help you quickly identify some of these most common security issues, you can’t overlook the added value of a pen tester's skills and creativity to think just like an attacker and mimic steps they may take to access your environment.
Focus on Active Scanning
Active scanning, a core component of Nessus Professional, a part of the Tenable One Platform, is a great way to complement your existing pen testing practices. For example, if you’re looking for an exploit within a website, you can use a web application scanner to find specific ways your internet-facing applications are vulnerable to attacks. Once identified, you can put your pen test skills to work to explore these issues in greater detail.
Save Time
Automated vulnerability scans can quickly identify areas where you should focus your pen testing activities. For example, if you conduct a scan and discover that a client’s Apache framework has a security issue, you can focus on demonstrating how an attacker might exploit that issue and then offer a remediation solution.
Conduct Offline Assessments
While internet-facing assets are often front-of-mind for potential attacks, your offline assets are at risk too. With the support of Nessus Professional’s Live Results, for example, as part of your penetration testing, you can perform offline vulnerability assessments every time a plugin is updated. If something suspicious pops up, you get an alert and can focus pen testing steps from there.
Die Nummer eins in Sachen Genauigkeit
Mit seiner Six-Sigma-Genauigkeit (0,32 Defekte pro 1 Million Scans) kann Nessus die branchenweit niedrigste False-Positive-Rate vorweisen.
Die Nummer eins in Sachen Abdeckung
Nessus bietet mehr als 140.000 Plugins für über 50.000 bekannte CVEs (Common Vulnerabilities and Exposures) Tenable veröffentlicht jede Woche über 100 neue Plugins, die im Falle von High-Profile-Schwachstellen innerhalb von 24 Stunden nach Bekanntwerden bereitgestellt werden.
Die Nummer eins in Sachen Branchenakzeptanz
Zehntausende von Unternehmen weltweit vertrauen auf Nessus. Die Lösung wurde bereits über zwei Millionen Mal heruntergeladen und wird von der Hälfte der Fortune 500-Unternehmen eingesetzt.