Hochwertige Pentests – so verifiziert Pentest-Advisor

Pentest-Advisor verifiziert als neutrale Stelle das Vorgehen von Pentest-Unternehmen und prüft Kriterien für hochwertige Pentests. Alle Unternehmen aus der Kategorie Hochwertige Pentests können sicher gute Pentests anbieten.

Ziel

Kann das Pentest-Unternehmen echte Pentests anbieten?

Pentest-Advisor prüft als neutrale Stelle praxisnahe Kriterien, die für eine Pentest-Ausschreibung wichtig sind. Dadurch haben potenzielle Kunden einen einfachen Indikator für qualitativ hochwertige Pentest-Unternehmen.

Darstellung

Werden die unten aufgeführten Kriterien erfüllt, wird das Profil des Unternehmens um ein Badge Hochwertige Pentests erweitert. Gleichzeitig wird das Unternehmen in der entsprechenden Kategorie Hochwertige Pentests aufgelistet, die lediglich verifizierten Unternehmen vorbehalten ist.

Kriterien

Die Verifizierung nimmt das Unternehmen und den Pentest-Prozess in den Fokus.

1. Unternehmenspräsentation

  • Die Eckdaten zum Unternehmen sind transparent

2. Pentest-Philosophie

  • Ethische Pentests stehen im Vordergrund

3. Zertifizierungen

  • z. B. OCSP, CompTIA PENTEST+

4. Pentest-Prozess

Der Pentest-Prozess erfüllt alle Kriterien eines echten Pentests.

Hochwertige Pentests

4.1 Kickoff

Rahmenbedingungen des Pentests werden festgelegt und dokumentiert

  • Art des Pentests
  • Ziele
  • Parameter
  • Vorgehen
  • Legalität, z. B. Cloud-Infrastruktur Dritter

4.2 Discovery

  • Informationsbeschaffung mittels automatisierter und/oder manueller Methoden sowie strukturierter Dokumentation

4.3 Identifikation

  • Analyse der gefundenen Informationen und Bestimmung von Angriffsvektoren

4.4 Exploitation

Methodische Prüfung auf Schwachstellen

  • Überwiegend manuell
  • Unterstützt durch Automatisierung, z. B. Fuzzing
  • Anhand OWASP, MITRE ATT&CK
  • Anhand gängiger CVEs

4.5 Präsentation

Dokumentation und Aufbereitung der Ergebnisse

  • Schwachstellenbeschreibung
  • Risikobewertung, z. B. CVE
  • Lösungsansätze
  • Priorisierung
  • Persönliche Präsentation

4.6 Optionale Behebung

  • Unterstützung bei Behebung

Erforderliche Unterlagen

  1. Unternehmenspräsentation, z. B. Webseite oder Werbebroschüre
  2. Beschreibung des Pentest-Prozesses, z. B. Whitepaper
  3. Anonymisierter, echter Pentest-Bericht
  4. Zertifizierungen