Ein Penetrationstest (Penetration Test, Pentest, Sicherheitstest) entspricht einer realitätsnahen Angriffssimulation. Es werden sämtliche technischen Aspekte der Zielsysteme auf Schwachstellen und Verwundbarkeiten hin überprüft. Je nachdem, worauf der Penetration Test abzielt, ergeben sich unterschiedliche Formen von Penetration Tests:
IT Infrastructure Penetration Test
Breitflächiges, manuelles Hacking Ihrer Netzwerkumgebung
Wir überprüfen Ihre Netzwerkumgebung auf mögliche Eintrittspunkte, Schwachstellen und etwaige Backdoors. Bei der Prüfung stützt sich die Swiss Infosec AG auf das MITRE ATT&CK Framework und definiert individuell anhand der Zielumgebung passende Angriffstaktiken, -techniken und -prozeduren (TTP). Die Durchführung des IT Infrastructure Penetration Tests erfolgt Szenario-basiert:
- Internal: Überprüfung der Resilienz der Systeme gegen Angriffe von innen. Entspricht dem Szenario «Angreifer im internen Netzwerk». Konkretes Beispiel: Es wird simuliert, dass ein Gerät eines Mitarbeitenden kompromittiert wurde und die Angreifer können nun aus dem Status dieses Mitarbeitenden Angriffe ausführen.
- External: Überprüfung der Internet-exponierten Systeme. Entspricht dem Szenario «Angreifer im Internet».
Application Penetration Test
Vertieftes, manuelles Hacking Ihrer Softwarelösung
Die Funktionen Ihrer Softwarelösung werden von Penetration Testern der Swiss Infosec AG aus offensiver Sicht geprüft. Hierbei operieren wir üblicherweise im Grey Box-Verfahren, wobei wir gültige Accounts von Ihnen erhalten, mit denen wir die Applikation auch authentifiziert untersuchen können. Die Swiss Infosec AG orientiert sich bei der Durchführung dieser Penetration Tests generell an den Best Practices des Open Web Application Security Projects (OWASP). Siehe hierzu auch
- OWASP Web Security Testing Guide (WSTG)
- OWASP Top 10 Web Application Security Risks
- OWASP API Security Project
- OWASP Mobile Top 10
Apropos Software, siehe auch unsere weiteren Informationen zu Software Security.
GenAI Penetration Test
Vertieftes, manuelles Hacking Ihrer GenerativeAI-Lösung
Lassen Sie Ihr neues GenAI-System von Penetration Testern der Swiss Infosec AG hinsichtlich der sicherheitstechnischen Rahmenbedingungen untersuchen. Bei der Durchführung des Penetration Tests orientieren wir uns an etablierten Standards und Frameworks, wie dem OWASP Artificial Intelligence Security Verification Standard (AISVS), den OWASP Top 10 for Large Language Model Applications und dem MITRE ATLAS™-Framework.
Die Dauer eines Penetrationstests hängt von der Komplexität des Modells und der gewünschten Überprüfungstiefe ab. Bei Penetrationstests kann eine Vielzahl von Techniken und Werkzeugen zum Einsatz kommen. Typische Prüfbereiche beinhalten:
- Prompt Injections und Inputvalidierung
- Data Leaking und unautorisierte Informationsfreigabe
- Dependencies und Third Party Components
- Modellrobustheit
- Einhaltung von Datenschutzbestimmungen
- Wirksamkeit von Zugriffsbeschränkungen
Apropos KI, siehe auch unser Schulungsangebot AI Manager Security & Privacy.
Ihr Mehrwert
Wir schaffen und vermitteln ein vertieftes Verständnis der Sicherheitsaspekte der geprüften Systeme. In unserem abschliessenden Bericht geben wir Ihnen einen priorisierten Massnahmenkatalog an die Hand, mit dem Sie die Sicherheit zielgerichtet und ressourceneffizient verbessern können. Optional stellen wir Ihnen ein Zertifikat aus, das Sie gegenüber Ihren Kunden als Sicherheitsnachweis verwenden können.