Gordon Vulnerability Assessment and Penetration Testing (VAPT) kombiniert automatisiertes Schwachstellenscanning mit von zertifizierten Analysten durchgeführten Penetrationstests in einem einzigen, kontinuierlich verfügbaren Service, der die Lücke zwischen geplanten Bewertungen und laufender Exposition schließt.
Der Service beginnt mit der automatisierten Erkennung und Schwachstellenscans über die externen und internen Angriffsflächen einer Organisation, einschließlich Netzwerk-Infrastruktur, Webanwendungen, APIs, Cloud-Umgebungen und Endpunkten. Entdeckte Schwachstellen werden validiert, um Fehlalarme zu entfernen, bevor die Ergebnisse präsentiert werden, sodass jeder Befund im Bericht ein bestätigtes, ausnutzbares Problem widerspiegelt und nicht nur ein rohes Scanner-Ergebnis.
Zertifizierte Penetrationstester führen dann manuelle Exploitation-Tests gegen festgelegte Ziele durch und simulieren die Taktiken, Techniken und Verfahren, die in realen Angriffen verwendet werden, einschließlich Privilegieneskalation, laterale Bewegung, Authentifizierungsumgehung, Injektionsfehler und Geschäftslogik-Schwachstellen, die automatisierte Tools nicht erkennen können. Die Tests decken externe Netzwerke, interne Netzwerke, Webanwendungen, API- und Cloud-Infrastruktur-Bereiche ab, die pro Engagement konfigurierbar sind.
Jede Bewertung erzeugt zwei Berichtsformate aus denselben Ergebnissen: einen technischen Bericht mit vollständigen Exploit-Ketten, betroffenen Assets, CVSS-Werten und Schritt-für-Schritt-Anleitungen zur Behebung für Sicherheits- und Engineering-Teams; und eine Zusammenfassung in einfacher Sprache für Führungskräfte und Compliance-Stakeholder, mit einer Risikobewertung, einer Geschäftsauswirkungsanalyse und einer Prioritätenreihenfolge für die Behebung. Beide werden innerhalb der vereinbarten SLA geliefert, ohne dass der Kunde die Ergebnisse neu formatieren oder übersetzen muss.
Abgeschlossene Bewertungen ordnen die Ergebnisse den Anforderungen von SOC 2, ISO 27001, PCI DSS, HIPAA, NIST CSF und Cyber Essentials zu. Kunden erhalten einen Verifizierungstest zur Behebung ohne zusätzliche Kosten, um Korrekturen zu bestätigen, bevor das Engagement abgeschlossen wird. Alle Festlegungen, Planungen, Berichterstattungen und Nachtestanforderungen werden über ein Self-Service-Portal verwaltet, ohne dass eine E-Mail-basierte Koordination erforderlich ist.
