Damian Strobel
Gründer und CEO
"PTaaS wird auf jedes Unternehmen angepasst und kann von Auftraggeber zu Auftraggeber ganz unterschiedlich ausfallen. Wir finden eine Lösung!"
Was ist PTaaS - Penetrationstests als Service?
In einer digitalisierten Welt werden Änderungen an Software, Hardware und Netzwerken täglich vorgenommen - das mindert ziemlich schnell die Aussagekraft eines einmaligen Penetrationstests. Gestern mag alles in Ordnung gewesen sein - mit dem neusten Produktupdate kann das schon ganz anders aussehen. Aus unserer Praxis sehen wir, wie oft und wie schnell Sicherheitslücken entstehen und für längere Zeit unentdeckt bleiben - viele davon könnte in kürzester Zeit entdeckt werden. Um das zu ermöglichen bietet DSecured "Pentest as a Service" an.
PTaaS ist ein flexibler und skalierbarer Service, der es Unternehmen ermöglicht, regelmäßig Penetrationstests durchzuführen - wir bei DSecured nennen diese kurzen punktuellen Tests "Mini-Pentest".
Allgemein ist die Definition von PTaaS nicht wirklich einheitlich. Im DACH-Raum bedeutet PTaaS meist konzentrierte kurze Penetrationstests, die von einem Menschen durchgeführt werden und einen bestimmten Fokus haben, den der Auftraggeber vorgibt. In anderen Ländern kann PTaaS auch ein automatisierter Prozess sein, der kontinuierlich nach Sicherheitslücken sucht und quasi einen Penetrationstester ersetzen soll. Hybride Modelle sind ebenfalls möglich.
Der DSecured PTaaS folgt dem hybriden Modell: Wir führen Mini-Pentests manuell durch und lassen parallel immer unsere automatiesierten Tools laufen.
Was wird bei Pentest as a service getestet?
PTaaS ist eine maßgeschneiderte Lösung, die auf die Anforderung des Auftraggebers zugeschnitten wird. Wie bei einem normalen Penetrationstest wird der Scope sowie Go/NoGos vorab definiert. In der Regel wird eine bestimmte Anzahl an Stunden pro Monat vereinbart, die das Unternehmen jederzeit abfragen kann. Dabei wird meist innerhalb sehr kurzer Zeit (2-3 Stunden) ein Mini-Pentest durchgeführt, der nach groben Schwachstellen sucht. Das Ziel ist oft eine neue Funktion in einer bestehenden Applikation) oder der Launch einer neuen Webseite oder einer neuen API. Die Kommunikation erfolgt auf möglichst kurzen Wegen und Berichte werden meist per E-Mail (oder einen anderen Kanal) mit dem relevanten Entwickler-Team geteilt. Die Tests können auch automatisiert durchgeführt werden - beispielsweise, wenn der Auftraggeber ein großes externes Netzwerk in der Cloud hat.
DSecured PTaaS beinhaltet IMMER (kostenlos) ebenfalls unsere eASM-Plattform Argos, so können wir unsere Zeit effizient nutzen und dort suchen, wo automatische Lösungen nicht weiter kommen würden.
Für wen ist PTaaS geeignet?
PTaaS ist für jedes Unternehmen geeignet, das agil arbeitet und in dem Deploymentzyklen von wenigen Tagen oder Wochen üblich sind. PTaaS ist auch für Unternehmen geeignet, die eine hohe Anzahl an Apps oder Webseiten betreiben und sicherstellen wollen, dass diese regelmäßig auf Schwachstellen geprüft werden. Auch wenn der Schutzbedarf besonders hoch ist - weil beispielsweise Finanzdaten oder persönliche Daten gespeichert werden - lohnt es sich nachzudenken, ob eine Kombination aus jährlichem Penetrationstest und PTaaS sinnvoll ist.
Wie viel kostet PTaaS?
Wir sind hier flexibel - die meisten Kunden buchen ein festes Stundenkontingent pro Monat. Dieses wird mit unserem Stundensatz multipliziert. Je nach Menge der Stunden und Laufzeit können wir Rabatte anbieten. Die Möglichkeit auf "Zuruf" kurze Tests durchzuführen, ist ebenfalls möglich - hier kann es aber zu Wartezeiten kommen. Wir empfehlen daher, ein festes Stundenkontingent zu buchen - so gibt es Planbarkeit auf beiden Seiten. PTaaS beginnt bei DSecured bei einem Stundenkontingent von 8 Stunden im Monat. Hierfür werden aktuell 1599,00 € pro Monat berechnet. Die Laufzeit beträgt mindestens 3 Monate.
Wir machen Ihnen ein unschlagbares PTaaS-Angebot! Kontaktieren Sie uns!
Vergleich zwischen Penetrationstest und PTaaS
Penetrationstest | PTaaS | |
---|---|---|
Scope/Umfang | Einmalig definierte Ziele und Umfang | Anpassbar an neue Bedrohungen und Geschäftsanforderungen |
Berichterstattung | Umfassender Bericht nach Abschluss des Tests | Fortlaufende kurze Berichte und Updates zu einzelnen Findings |
Engagement | Kurzfristiges Engagement für einen spezifischen Zeitraum | Langfristige Partnerschaft mit kontinuierlicher Überwachung und Tests |
Flexibilität | Gering: Fester Plan und Umfang, schwer anzupassen | Hoch: Flexibler Ansatz, um auf neue Bedrohungen und Änderungen zu reagieren |
Kostenstruktur | Einmalig: Feste Kosten für den definierten Testzeitraum | Abonnement-basiert: Regelmäßige Zahlungen über die Vertragslaufzeit |
Skalierbarkeit | Begrenzt: Feste Ressourcen für die Dauer des Tests | Hoch: Ressourcen können je nach Bedarf angepasst werden |
Kontinuierliche Sicherheit | Keine: Sicherheit wird nur während des Testzeitraums geprüft | Ja: Kontinuierliche Überwachung und regelmäßige Sicherheitstests |
Pentest as a service beinhaltet auch
Pentest as a Service: Ergänzendes
Einige Unternehmen, denen wir bisher helfen konnten
Weitere Fragen samt Antworten zum Thema
"Pentest as a service (PTaaS)"
Wie lang dauert typischerweise Pentest as a Service (PTaaS)?
PTaaS ist ein kontinuierlicher Prozess, der je nach Umfang und Komplexität der IT-Infrastruktur eines Unternehmens variieren kann. In der Regel wird ein Vertrag über einen definierten Scope mit festgeschriebenen Stunden abgeschlossen. Dieser dauert minimal 3 Monate.
Welche Arten von Sicherheitslücken können durch Pentest as a Service (PTaaS) identifiziert werden?
Unsere Penetrationstester fokussieren sich auf kritische Sicherheitslücken in Ihren Anwendungen. Es kommt aber immer ganz stark darauf an, was das Ziel ist, was der Scope ist und auf welche Arbeitsweise man sich einigt.
Welche Empfehlungen kann man für Pentest as a Service (PTaaS) abgeben?
Das Ziel von PTaaS ist es schnell und fokussiert reagieren zu können - ohne Zeit für komplexe Berichte zu verschwenden. Wichtig ist das Finden von Sicherheitslücken. Wir empfehlen daher pro Monat mindestens ein Zeitbudget von 15 Stunden zu haben, damit können unsere Tester auf Zuruf relevante Teile Ihrer Systeme testen.
Welche Informationen benötigt man, um mit einem Pentest as a Service (PTaaS) zu beginnen?
Im Grunde die gleichen wie bei einem regulären Pentest: Scope, Dauer, NoGos.
PTaaS anfragen