heise academy Workshop – Penetrationstests: Methodik verstehen, richtig ausschreiben und Ergebnisse auswerten
Schöpfen Sie mit Ihren Penetrationstests das volle Potential aus? Penetrationstests werden von vielen Organisationen extern beauftragt oder durch eigene Teams durchgeführt. Häufig mangelt es den Auftraggebern aber an den nötigen Kenntnissen der Methoden, um die richtigen Prüfansätze auszuwählen, Prüfenden die passenden Rückfragen zu stellen und die Ergebnisse richtig zu interpretieren. Pentests liefern dann weniger Erkenntnisse, als möglich wäre, oder verführen […]
weiterlesen …
tl;dr: Brute-Force Angriffe im Rahmen eines Penetrationstests bieten so gut wie keinen Mehrwert und stellen in fast allen Fällen eine falsche Verwendung der Prüfungsressourcen dar. Zielführender ist es stattdessen, gezielt den Schutz der Anwendung vor dieser Angriffsart zu untersuchen und zu prüfen. Um was geht es? Moderne Angreifer:innen benutzen eine Vielzahl an Angriffstechniken, die eine große Bandbreite von technisch ausgefeilt […]
weiterlesen …
Vortrag auf der verinice.XP zum Thema ISMS und Penetrationstests
Penetrationstests als Teil eines ISMS? Manche Standards fordern es explizit in den Anforderungen, andere wiederum nur implizit. Warum ist ein konstantes Zusammenspiel wichtig und welche Vorteile können dabei entstehen? Viktor Rechel, Penetrationstester, ISMS-Berater und ISO 27001-Auditor in unserem Haus, wird in seinem Vortrag „Penetrationstests als Teil eines ISMS – Grundlagen, Relevanz und mögliche Ansätze“ auf der verinice.XP, praxisnah von seinen […]
weiterlesen …
Fachartikel: Penetrationstests von Anwendungen
Penetrationstests von Webanwendungen sind individuell zu planenden Projekte. In unserem Haus sprechen wir mit Interessenten stets über die konkreten Ziele und die Anwendung selbst. Der Business-Case ist für das Risiko nämlich der entscheidende Faktor. Bei der Planung gibt es viele Stolpersteine. In der Winterausgabe 2021/22 der iX Developer hat Tobias Glemser einen Fachartikel über Penetration Testing von Webanwendungen veröffentlicht. Wenn […]
weiterlesen …
„Shift Left“ ist das Paradigma für sichere Softwareentwicklung. Sichere Entwicklung in den Entwicklungsprozess zu denken, ist das Ziel. Neben dem „Secure Coding“ sollten auch objektive Prüfungen in den Entwicklungsprozesse einbezogen werden. Als Teil dieser Prüfungen können Penetrationstests hinzugezogen werden, um Risiken und Schwachstellen ermitteln zu können. Die Konferenz heise devSec bietet Vorträge und Workshops rund um das Themengebiet der sicheren […]
weiterlesen …