Pentest-Advisor verifiziert als neutrale Stelle das Vorgehen von Pentest-Unternehmen und prüft Kriterien für hochwertige Pentests. Alle Unternehmen aus der Kategorie Hochwertige Pentests können sicher gute Pentests anbieten.
Ziel
Kann das Pentest-Unternehmen echte Pentests anbieten?
Pentest-Advisor prüft als neutrale Stelle praxisnahe Kriterien, die für eine Pentest-Ausschreibung wichtig sind. Dadurch haben potenzielle Kunden einen einfachen Indikator für qualitativ hochwertige Pentest-Unternehmen.
Darstellung
Werden die unten aufgeführten Kriterien erfüllt, wird das Profil des Unternehmens um ein Badge Hochwertige Pentests erweitert. Gleichzeitig wird das Unternehmen in der entsprechenden Kategorie Hochwertige Pentests aufgelistet, die lediglich verifizierten Unternehmen vorbehalten ist.
Kriterien
Die Verifizierung nimmt das Unternehmen und den Pentest-Prozess in den Fokus.
1. Unternehmenspräsentation
- Die Eckdaten zum Unternehmen sind transparent
2. Pentest-Philosophie
- Ethische Pentests stehen im Vordergrund
3. Zertifizierungen
- z. B. OCSP, CompTIA PENTEST+
4. Pentest-Prozess
Der Pentest-Prozess erfüllt alle Kriterien eines echten Pentests.
4.1 Kickoff
Rahmenbedingungen des Pentests werden festgelegt und dokumentiert
- Art des Pentests
- Ziele
- Parameter
- Vorgehen
- Legalität, z. B. Cloud-Infrastruktur Dritter
4.2 Discovery
- Informationsbeschaffung mittels automatisierter und/oder manueller Methoden sowie strukturierter Dokumentation
4.3 Identifikation
- Analyse der gefundenen Informationen und Bestimmung von Angriffsvektoren
4.4 Exploitation
Methodische Prüfung auf Schwachstellen
- Überwiegend manuell
- Unterstützt durch Automatisierung, z. B. Fuzzing
- Anhand OWASP, MITRE ATT&CK
- Anhand gängiger CVEs
4.5 Präsentation
Dokumentation und Aufbereitung der Ergebnisse
- Schwachstellenbeschreibung
- Risikobewertung, z. B. CVE
- Lösungsansätze
- Priorisierung
- Persönliche Präsentation
4.6 Optionale Behebung
- Unterstützung bei Behebung
Erforderliche Unterlagen
- Unternehmenspräsentation, z. B. Webseite oder Werbebroschüre
- Beschreibung des Pentest-Prozesses, z. B. Whitepaper
- Anonymisierter, echter Pentest-Bericht
- Zertifizierungen