Startseite » Information & TK » Synack: Penetration Testing der fortgeschrittenen Art

Synack: Penetration Testing der fortgeschrittenen Art

Schwachstellen treten in jedem IT-System auf, von der einzelnen Applikation bis zu ganzen Netzwerksegmenten. Traditionell nutzt man zum Aufspüren von Sicherheitslecks sogenannte Vulnerability-Scanning-Werkzeuge. Diese liefern als Resultat ihrer Prüftätigkeit regelmässig eine Liste der erkannten Schwachstellen und klassifizieren sie dabei nach Schweregrad. Vulnerability Scanning ist bei allen grösseren Unternehmen Usus und unterstützt das Patch Management massgeblich.

Penetration Tests greifen tiefer

Ein Scan auf bekannte Schwachstellen zeigt jedoch nicht das gesamte Bild, das ein Angreifer von der fraglichen Infrastruktur erlangt. Vulnerability Scanning deckt nur bereits bekannte Sicherheitslecks ab, die sich automatisiert erkennen lassen. Alle anderen Methoden, die Cyberkriminelle für ihre Attacken nutzen, werden nicht erfasst. Denn auch wenn die gesamte Infrastruktur auf aktuellem Stand mit Sicherheitsupdates versorgt ist, können Angreifer auf vielfältige Hacking-Tools und -Methoden zurückgreifen ? man denke beispielsweise an Schwachstellen, für welche es noch keine Patches gibt.

Penetration Tests gehen einen Schritt weiter. Auch dabei wird die Infrastruktur zunächst per Vulnerability Scan auf Schwachstellen abgecheckt. Danach jedoch kommt der Mensch ins Spiel: Spezialisierte «White Hat»-Hacker versuchen im Auftrag ihrer Kunden, die Schwachstellen aktiv auszunutzen (natürlich ohne tatsächlich Schaden anzurichten) und liefern einen detaillierten Bericht über die in der Realität erfolgreichen Angriffsmethoden.

Plattformgestützter Managed Service

IT-Dienstleister, die Penetration Testing anbieten, offerieren diesen Service normalerweise als einzelne, zeitlich begrenzte Massnahme und greifen für die Durchführung meist auf eine relativ kleine Zahl von Experten zurück.

Die technische Basis der Synack-Lösung ist eine Plattform, bestehend aus dem KI-gestützten Vulnerability Scanner Hydra, der Machine Learning Engine Apollo und dem Secure Testing Gateway LaunchPoint. Letzterer kommt dann zum Einsatz, wenn interne Systeme geprüft werden sollen. Die Plattform bietet dem Kunden jederzeit Zugriff auf die laufend aktualisierten Testresultate. Synack verfolgt das Ziel, für Kunden regelmässige Penetration-Tests auszuführen. Im speziellen für Applikationen, welche sehr häufig aktualisiert werden und besonders geschäftskritisch sind. Dies im Gegensatz zum möglicherweise nur einmal jährlich erhältlichen Report beim Einsatz eines konventionellen Pentest-Anbieters. Anders ausgedrückt: Synack offeriert Penetration Testing nicht nur in Form von einmaligen Testprojekten, sondern auch als Managed Service mit kontinuierlicher Überprüfung der infrage stehenden Infrastrukturen.

Technologie und menschliche Intelligenz vereint

Die Technik ist allerdings nicht alles, was Synack auszeichnet. Sie liefert bloss die Basis für das weitergehende Testen. Denn noch wichtiger ist das globale Netzwerk von über 1600 White-Hat-Hackern aus mehr als 80 Ländern, genannt Synack Red Team (SRT), die im Crowdsourcing-Modell die Infrastrukturen der Synack-Kunden auf Herz und Nieren testen. So wird es möglich, dass an einem Penetration Test üblicherweise mehrere hochkarätige Spezialisten beteiligt sind ? dies mit einem hohen Grad an Internationalität.

Das breit aufgestellte Know-how und die je nach Weltgegend unterschiedlichen Hacking-Methoden ergeben ein realistisches Gesamtbild über die tatsächliche Angreifbarkeit. Die Mitglieder des SRT werden selbstverständlich auf Fähigkeiten und Vertrauenswürdigkeit geprüft, bevor sie mit der Arbeit beginnen dürfen. Zusammen mit der innovativen Technologieplattform ergibt sich ein skalierbarer Penetration-Testing-Service, der das Beste aus künstlicher und menschlicher Intelligenz vereint.

Synack: die Highlights

Intelligente Testplattform

Kundenportal mit aktuellen Informationen

Globales Netzwerk von mehr als 1600 White-Hat-Hackern

Discover: Vulnerability Discovery über 14 Tage

SmartScan: Vulnerability Assessment 24/7/365

Certify: Penetration Testing über 14 Tage

Synack365: Penetration Testing 24/7/365

Unterstützt Compliance nach PCI, OWASP Top 10 und NIST 800-53

Posted by on 11. März 2021. Filed under Information & TK. You can follow any responses to this entry through the RSS 2.0. You can leave a response or trackback to this entry

Sie müssen angemeldet sein um Kommentare zu schreiben Anmelden


Blogverzeichnis - Blog Verzeichnis bloggerei.de Blog Top Liste - by TopBlogs.de Blogverzeichnis