Finden Sie Ihre Schwächen

Durch unsere Offensive-Security-Services können Sie die Cyber-Abwehrfähigkeiten Ihres Unternehmens analysieren und bewerten. Entdecken Sie, wie sich Ihr Sicherheitsplan gegen ein Team hochentwickelter Gegner schlägt, die Maßnahmen ergreifen, und erfahren Sie, wie Sie Ihre kritischen Vermögenswerte und Abläufe effektiv schützen können.

  • Finden Sie Sicherheitslücken und Konfigurationsfehler, bevor es Ihre Gegner tun.

  • Verbessern Sie Ihre Verteidigung, um den neuesten Taktiken, Techniken und Verfahren standhalten zu können, die von fortgeschrittenen böswilligen Akteuren bei ihren Angriffen eingesetzt werden.

  • Stellen Sie sicher, dass das Sicherheitsteam die entsprechende Alarmstufe einhält, um maximalen Schutz zu gewährleisten.

Wie wir arbeiten?

Methodik

  • Wir simulieren das böswillige Verhalten echter Gegner und emulieren die Taktiken, Techniken und Verfahren (TTP), die in realen Angriffsszenarien verwendet werden, ohne Ihr Unternehmen oder seinen Betrieb zu gefährden.

  • Wir demonstrieren die geschäftlichen Auswirkungen, die ein echter Angriff auf das Unternehmen haben könnte, und geben Einblick in potenzielle Angriffsvektoren und -ziele.

  • Wir erkennen gefährdete Informationen und kritische Vermögenswerte.

  • Wir lokalisieren die in Ihrer Umgebung vorhandenen Schwachstellen, helfen dabei, das Risikoniveau des Unternehmens zu ermitteln und schlagen gültige Abhilfemechanismen im Kontext Ihres Unternehmens und seiner Abläufe vor.
Kontaktiere uns

Phasen einer Dienstleistung

  • 1

    In einem Erstgespräch analysieren wir Ihre Bedürfnisse und Anforderungen zur Anpassung an das Projekt.

  • 2

    Wir planen die Übung oder Kampagne basierend auf diesen Bedürfnissen in einem Kick-Off-Meeting.

  • 3

    Wir führen die Übung gemäß den zuvor definierten Richtlinien, Standards und Verfahren durch.

  • 4

    Wir liefern Berichte mit einer Zusammenfassung, technischen Erläuterungen und Lösungsdetails.

  • 5

    Das Projekt endet mit einer hochkarätigen Präsentation der erzielten Ergebnisse für alle interessierten Parteien.

Projekttypen

Fingerabdruck

Bewertung der öffentlichen digitalen Präsenz einer Organisation zur Identifizierung offengelegter Informationen und potenzieller Angriffsvektoren. Beinhaltet die Analyse von Domains, Infrastrukturen, Lecks und offenen Oberflächen. Ermöglicht die Reduzierung von Risiken, die sich aus für einen Angreifer zugänglichen Informationen ergeben.

Bedrohungsinformationen

Sammlung und Korrelation von Bedrohungsinformationen, die für die Organisation relevant sind. Analysiert Akteure, Techniken, Kampagnen und aufkommende Schwachstellen, die auf Ihren Sektor abzielen. Liefert operativen Kontext, um Angriffe vorherzusehen und die Verteidigung zu stärken.

Schatten-IT

Identifizierung von nicht autorisierten Diensten, Geräten und Anwendungen, die von Mitarbeitern oder Abteilungen verwendet werden. Bewertet deren Auswirkungen auf die Sicherheit und die Exponierung des Unternehmens. Hilft, die Kontrolle über die Infrastruktur zurückzugewinnen und nicht verwaltete Sicherheitslücken zu reduzieren.

Pentesting Web

Sicherheitsaudit von Webanwendungen zur Erkennung technischer und logischer Schwachstellen. Beinhaltet Tests zu Authentifizierung, Autorisierung, Injektion, Konfiguration und sicherem Design. Ziel ist es, die exponierten Dienste zu schützen und Exploit-Risiken zu mindern.

Ransomware-Simulation

Gesteuerte Simulation von Ransomware-Angriffen auf die Infrastruktur.
Bewertet die Fähigkeit zur Erkennung, Segmentierung, Eindämmung und technischen Reaktion. Ermöglicht die Messung der globalen Resilienz gegenüber einer der derzeit kritischsten Bedrohungen.

Pentesting Mobile Apps

Sicherheitsanalyse von mobilen Anwendungen auf iOS und Android. Beinhaltet Reverse Engineering, Berechtigungsanalyse, Kommunikation, Speicherung und APIs. Ziel ist es, den Datenschutz zu gewährleisten und Kompromittierungen des Geräts oder Backends zu vermeiden.

Interne Revision

Pentest aus dem internen Netzwerk, um einen Angreifer mit physischem Zugang oder anfänglich kompromittiertem Zugang zu simulieren. Bewertet laterale Bewegungen, Privilegieneskalationen und Schwachstellen in internen Diensten. Ermöglicht die Messung der tatsächlichen Widerstandsfähigkeit gegenüber Vorfällen interner Sicherheitsverletzungen oder Eindringversuchen.

AD-Prüfung (Active Directory)

Tiefgehende Sicherheitsbewertung der Active Directory-Umgebung. Überprüft Konfigurationen, Delegationen, Zugriffspolitiken, Kerberos und Domänenvektoren. Das Ergebnis ist eine klare Karte der Angriffswege und Empfehlungen zur Härtung von AD.

Externe Penetrationstests

Tests der über das Internet zugänglichen Dienste zur Identifizierung von ausnutzbaren Schwachstellen von außen. Beinhaltet die Analyse von Ports, Konfigurationen, Protokollen, Filterung und externen Anwendungen. Ziel ist es, die Angriffsfläche, die für jeden Angreifer zugänglich ist, zu minimieren.

Gegnernachahmung

Detaillierte Nachbildung des tatsächlichen Verhaltens eines bestimmten Bedrohungsakteurs. Es werden Taktiken, Techniken und Verfahren (TTPs) verwendet, die auf aktuellen Erkenntnissen basieren. Ermöglicht die Bewertung der Erkennungs- und Reaktionsfähigkeit gegenüber konkreten Gegnern.

Gegnersimulation

Fortgeschrittene und flexible Simulation eines Angreifers, ohne sich auf einen bestimmten Akteur zu beschränken. Sie konzentriert sich auf die Geschäftsziele und darauf, mehrere Ausnutzungswege zu erkunden. Sie hilft zu verstehen, wie die Organisation in realen Szenarien kompromittiert werden könnte.

Rotes Team

Umfassende Übung, die Eindringen, Social Engineering und Umgehung kombiniert, um kritische Vermögenswerte zu kompromittieren. Ihr Zweck ist es, die defensive Sicherheit insgesamt zu bewerten, nicht nur technische Schwachstellen. Sie bietet eine realistische Einschätzung des Risikos und der Zeit, die benötigt wird, um einen Angriff zu erkennen.