- Start
- Cyber Security
- Leistungen
- Cyber Security
- Security Testing
Security Testing
Vulnerability Scans
Penetrationstests
Hybrid Security Assessment
Source Code Audit
Security Audit und Hardening Check
Vulnerability Scans
Schwachstellen-Scans sind ein wesentlicher Bestandteil der präventiven Sicherheitsstrategie von Unternehmen und stellen zudem eine kostengünstige Alternative zu Penetrationstests dar. Durch die regelmäßige Durchführung dieser Scans können potentielle Sicherheitsrisiken frühzeitig identifiziert und behoben werden, bevor sie von Angreifern ausgenutzt werden können. Ziel unserer Dienstleistung ist es, die Sicherheit unserer Kunden durch eine umfassende Untersuchung ihrer Systeme und Netzwerke zu erhöhen und dabei den Kosten-Nutzen-Faktor im Auge zu behalten.
In der heutigen, digitalen Welt ist es unerlässlich, proaktiv nach potenziellen Sicherheitsschwachstellen zu suchen. Die Hauptgründe für die Durchführung von Schwachstellen-Scans umfassen:
- Frühzeitige Erkennung von Sicherheitslücken: Identifikation von Schwachstellen, bevor sie ausgenutzt werden können.
- Compliance: Sicherstellung, dass Systeme und Anwendungen mit geltenden Sicherheitsstandards und Vorschriften übereinstimmen.
- Risikominderung: Reduzierung des Risikos von Datenverlust oder ‑diebstahl durch frühzeitige Erkennung und Behebung von Schwachstellen.
- Verbesserung der Sicherheitspostur: Stärkung der Gesamtsicherheit durch kontinuierliche Überwachung und Verbesserung.
Unser Ziel ist es, durch Schwachstellen-Scans eine umfassende Bewertung der Sicherheitslage unserer Kunden zu liefern. Dies beinhaltet:
- Identifikation und Klassifizierung von Schwachstellen: Erkennung von Sicherheitslücken in Systemen, Netzwerken und Anwendungen.
- Bewertung des Risikos: Einschätzung der potenziellen Auswirkungen jeder identifizierten Schwachstelle.
- Priorisierung der Behebungsmaßnahmen: Empfehlung von Maßnahmen zur Behebung der Schwachstellen basierend auf ihrem Risiko.
- Verbesserung der Sicherheitsmaßnahmen: Beratung zur Stärkung der Sicherheitsinfrastruktur und ‑praktiken.
Die Durchführung von Schwachstellen-Scans erfolgt in folgenden Schritten:
- Vorbereitung: Abstimmung des Scopes und der Ziele des Scans mit dem Kunden.
- Scanning: Einsatz fortschrittlicher Scanning-Tools zur Identifikation von Schwachstellen in der IT-Infrastruktur.
- Analyse: Detaillierte Auswertung der Scan-Ergebnisse zur Identifikation realer Sicherheitsrisiken.
- Berichterstattung: Erstellung eines umfassenden Berichts, der die gefundenen Schwachstellen, deren Risikobewertung und Empfehlungen für Abhilfemaßnahmen enthält.
- Nachbesprechung: Diskussion der Ergebnisse und des weiteren Vorgehens zur Behebung der Schwachstellen mit dem Kunden.
Unsere Schwachstellen-Scans konzentrieren sich auf verschiedene Bereiche, darunter:
- Betriebssysteme, Anwendungen und Datenbanken
- Netzwerkkomponenten wie Router, Switches und Firewalls
- Cloud-Dienste und ‑Konfigurationen
- Webanwendungen und APIs
- Endpunktgeräte und mobile Anwendungen
- NMAP
- Nessus Professional
- Metasploit
- OpenVAS
- Nuclei
Nach Abschluss des Schwachstellen-Scans:
- Behebung der Schwachstellen: Unterstützung des Kunden bei der Planung und Umsetzung von Korrekturmaßnahmen.
- Follow-up Scans: Durchführung von Folgescans zur Überprüfung der Wirksamkeit der umgesetzten Maßnahmen.
- Regelmäßige Überprüfungen: Empfehlung einer Strategie für regelmäßige Schwachstellen-Scans zur kontinuierlichen Sicherheitsüberwachung.
Penetrationstest
Mit Hilfe eines simulierten Angriffs dringen wir auf verschiedenen Ebenen in die IT-Infrastruktur Ihres Unternehmens ein oder untersuchen Ihr Softwareprodukt hinsichtlich des aktuellen IT-Sicherheitsniveaus. Ziel der Analysen ist es, die IT-Sicherheit zu verbessern und die Risiken eines Cyber-Angriffs zu minimieren.
Hybrid Security Assessment
Bei SmartTECS Cyber Security haben wir erkannt, dass Penetrationstests und Schwachstellenforschung zwar beide auf die Verbesserung der Systemsicherheit abzielen, aber nicht identisch sind. Um den Herausforderungen komplexer oder stark integrierter Systeme gerecht zu werden, haben wir unseren Ansatz weiterentwickelt. Unsere hybride Sicherheitsbewertungen kombinieren Elemente der Schwachstellenforschung mit traditionellen Penetrationstests, um ein tieferes Verständnis und eine umfassendere Bewertung der Sicherheitslage unserer Kunden zu ermöglichen.
Die hybride Sicherheitsbewertung ist ein Ansatz, der darauf abzielt, die Sicherheit von großen und komplexen Systemen vollständig zu verstehen und zu bewerten. Dies geht über traditionelle Penetrationstests hinaus, indem wir direkt mit den dem Kunden zusammenarbeiten, um ein tiefgreifendes Verständnis des Systems zu erlangen. Der Prozess kann je nach Bedarf Aspekte der Bedrohungsmodellierung, Angreiferanalyse, Netzwerktests, Architekturprüfung, Anwendungstests, Reverse Engineering und Quellcodeprüfung umfassen.
Die hybride Bewertung bietet zahlreiche Vorteile gegenüber herkömmlichen Methoden:
- Tieferes Systemverständnis: Durch die enge Zusammenarbeit mit dem Kunden können unsere Experten ein umfassenderes Verständnis der Systemarchitektur und ‑dynamik entwickeln.
- Identifikation spezifischer Schwachstellen: Die detaillierte Analyse ermöglicht die Identifikation spezifischer, oft übersehener Schwachstellen in komplexen Systemen.
- Maßgeschneiderte Sicherheitslösungen: Auf Basis des erlangten Wissens können wir präzise und praktikable Empfehlungen zur Behebung von Sicherheitslücken geben.
- Risikominimierung: Der Ansatz ermöglicht eine proaktive Identifikation und Minimierung potenzieller Sicherheitsrisiken, bevor sie ausgenutzt werden können.
Während traditionelle Penetrationstests oft standardisierte Methoden zur Bewertung der Sicherheitslage anwenden, ist die hybride Sicherheitsbewertung durch ihre Flexibilität und Tiefe gekennzeichnet. Sie berücksichtigt die spezifischen Eigenschaften und Anforderungen jedes Systems, was zu einem präziseren Sicherheitsbild führt.
Um die Wirksamkeit der hybriden Sicherheitsbewertung zu veranschaulichen, betrachten wir eine fiktive Architektur, die auf realen Aufträgen basiert:
Ein Kunde betreibt eine komplexe Anwendungslandschaft mit mehreren interagierenden Komponenten, darunter Web-Frontends, Microservices und einer Cloud-basierten Datenpipeline. Unsere Aufgabe ist es, die Sicherheit dieser Architektur umfassend zu bewerten.
Durch direkte Zusammenarbeit mit dem Entwicklungsteam des Kunden und tiefgreifende technische Analysen identifizieren wir nicht nur offensichtliche Schwachstellen, sondern auch subtile Sicherheitsrisiken, die aus der Interaktion zwischen den Komponenten resultieren. Durch die Kombination verschiedener Bewertungsmethoden können wir ein umfassendes Sicherheitsbild erstellen und gezielte Empfehlungen für jede identifizierte Schwachstelle bieten.
Die Umsetzung unseres hybriden Bewertungsdienstes umfasst mehrere Schritte:
- Vorbereitung: Zusammenarbeit mit dem Kunden, um den Umfang und die Ziele der Bewertung festzulegen.
- Tiefenanalyse: Einsatz von Bedrohungsmodellierung, Angreiferanalyse, Netzwerktests, Architekturprüfung, Anwendungstests, Reverse Engineering und Quellcodeprüfung, um ein umfassendes Verständnis des Systems zu erlangen.
- Bewertung: Identifikation und Analyse von Schwachstellen, basierend auf dem erlangten detaillierten Systemverständnis.
- Berichterstattung: Erstellung eines detaillierten Berichts mit den Ergebnissen der Bewertung, einschließlich spezifischer Schwachstellen und Empfehlungen für deren Behebung.
Unser hybrider Sicherheitsbewertungsdienst konzentriert sich auf eine Reihe von Testschwerpunkten, darunter:
- Identifikation von Sicherheitslücken in der Systemarchitektur und Konfiguration.
- Bewertung der Effektivität von Sicherheitsmaßnahmen und ‑protokollen.
- Analyse von Anwendungen und APIs auf Schwachstellen.
- Überprüfung der Sicherheit von Netzwerkkomponenten und Datenübertragungen.
- Untersuchung von Endpunkt- und mobilen Sicherheitspraktiken.
Nach Abschluss der Bewertung arbeiten wir eng mit unseren Kunden zusammen, um:
- Priorisierte Maßnahmen zur Behebung identifizierter Schwachstellen zu planen.
- Strategien für die langfristige Verbesserung der Sicherheitspostur zu entwickeln.
- Regelmäßige Folgebewertungen zu planen, um die kontinuierliche Sicherheit des Systems zu gewährleisten.
Quellcode-Audit
Wir setzen modernste Tools zur statischen und dynamischen Codeanalyse ein, um Ihren Quellcode gründlich auf Schwachstellen und potenzielle Sicherheitsrisiken zu untersuchen. Wir identifizieren kritische Schwachstellen und geben praktische Empfehlungen zur Behebung der Schwachstellen.
Die statische Analyse einer Anwendung (engl. Static Application Security Testing, kurz SAST) bezeichnet die Untersuchung eines Anwendungssystems durch ein Review des Quelltextes. Die Analyse deckt verschiedene Ebenen und Perspektiven des Anwendungssystems ab:
- Überprüfung auf Anwendungsebene
- z. B. Implementierung von Anwendungskomponenten, Interaktion mit anderen Softwarekomponenten, etc.
- Überprüfung auf Klassen- und Logikebene
- z. B. Implementierung von Klassen, Kontrollflüssen, Eingabevalidierung, etc.
- Überprüfung von Konfigurationen
- z. B. für den Anwendungsserver, verwendete Frameworks, Logging, etc.
Ein Quellcode Audit ermöglicht die Identifikation von Sicherheitsschwachstellen in den frühen Phasen des Softwareentwicklungszyklus, um aufwändige Änderungen im späteren Projektverlauf zu verhindern (Secure by Design). Da die Untersuchung auf Quelltextebene stattfindet, ist für die Analyse nicht zwangsweise eine lauffähige Instanz des vollständigen Softwaresystems notwendig. Durch die Einbindung von Sicherheitsanalysen in den Software Development Lifecycle (SDLC) können entwicklungsbegleitend Hinweise und Fachexpertise aus dem Bereich der sichere Softwareentwicklung eingebracht werden. Zudem erlaubt die Analyse des Quelltextes die Untersuchung von Konfigurationen sowie der Anwendungslogik auf einem tieferen Level als es in einer vergleichbaren Untersuchungsform während der Laufzeit der Fall ist.
Das Ziel der Analyse besteht im Allgemeinen aus den folgenden drei Punkten:
- Identifikation von vorhandenen Schwachstellen und Fehlkonfigurationen innerhalb des Anwendungssystems.
- Empfehlung geeigneter Maßnahmen zur Behebung der Schwachstellen, um die Softwarequalität im Bereich IT-Sicherheit (Security) zu erhöhen.
- Bestimmung des Sicherheitsniveaus auf Anwendungsebene zum Zeitpunkt der Testdurchführung auf Basis der Testergebnisse.
Neben den oben genannten allgemeinen Zielen besteht die Möglichkeit in Absprache mit dem Auftraggeber die konkreten Ziele sowie deren Priorisierung individuell im Vorfeld der Analyse zu ermitteln und die Untersuchung entsprechend anzupassen.
Die Untersuchung von Quelltext basiert auf Empfehlungen des OWASP Application Security Verification Standards [1], dem OWASP Code Review Guide [2] sowie den SEI CERT Coding Standards [3]. Die konkrete Analyse wird entsprechend dem vereinbarten Kundenziel sowie den technischen Gegebenheiten angepasst.
Security Audit und Hardening Check
Unsere umfassenden Audits werden durch moderne Sicherheitstools und ‑technologien unterstützt, um Ihre gesamte Infrastruktur auf Schwachstellen und potenzielle Angriffsvektoren zu untersuchen. Mit unseren Hardening Checks stellen wir sicher, dass Ihre Systeme auf dem neuesten Stand der Sicherheitsstandards sind, um Ihre Daten und Systeme zu schützen.
Ein Security Audit und Hardening Check umfasst die Überprüfung einer Unternehmensinfrastruktur oder einzelner Anwendungen in Form von leitfadengestützten Interviews mit den verantwortlichen Ansprechpartnern der Kundenorganisation. Gegenstand des Audits sind die sicherheitsrelevanten Prozesse der Organisation sowie die Architektur und Konfiguration der IT-Systeme. Darüber hinaus kann für ausgewählte Systeme eine detaillierte Überprüfung der Konfiguration (Hardening-Check) durchgeführt werden.
Mit Hilfe eines Security Audit und Hardening Check kann sehr effizient das Sicherheitsniveau einer Organisation bewertet werden, wobei auch die Geschäftsprozesse berücksichtigt werden. Im Gegensatz zu beispielsweise Penetrationstests bietet ein Audit damit eine ganzheitliche Sicht auf den IT-Betrieb. Durch die Durchführung in Form von leitfadengestützten Interviews bietet ein Audit tiefere Einblicke in interne Prozesse. Zudem entfällt in der Regel die Erstellung von Zugängen und Berechtigungen für die Sicherheitsspezialisten, was sich zeitsparend auswirkt.
Die wesentlichen Ziele von Security Audits und Hardening Checks sind daher die Identifizierung von Sicherheitslücken, die Risikobewertung und die allgemeine Verbesserung des Sicherheitsniveaus.
- Identifizierung von Sicherheitslücken: Ein wesentliches Ziel von Security Audits und Hardening Checks ist es, Schwachstellen in Prozessen oder IT-Systemen aufzudecken, die den sicheren Betrieb der Infrastruktur gefährden. Durch die Identifizierung solcher Schwachstellen können Unternehmen Maßnahmen ergreifen, um diese Lücken zu schließen und ihre Sicherheit zu erhöhen.
- Risikobewertung: Ein Security Audit und Hardening Check kann dazu beitragen, Risiken in Bezug auf die Sicherheit von IT-Systemen zu bewerten. Durch die Identifizierung und Bewertung von Risiken können Unternehmen bessere Entscheidungen darüber treffen, welche Maßnahmen sie ergreifen sollten, um die Sicherheit ihrer IT-Systeme zu verbessern.
- Verbesserung des Sicherheitsniveaus: Das letztendliche Ziel eines Security Audits und Hardening Checks ist die Verbesserung des Sicherheitsniveaus einer Organisation. Indem Schwachstellen identifiziert und bewertet werden, können Unternehmen Maßnahmen ergreifen, um diese Lücken zu schließen und ihr Sicherheitsniveau zu erhöhen.
Als Ergebnis geben die Auditoren Empfehlungen zur Verbesserung des Sicherheitsniveaus der Organisation durch gezielte Maßnahmen.
Die Durchführung eines Sicherheitsaudits gliedert sich in mehrere Phasen. Ziel ist es, eine bestmögliche Abdeckung der Auditthemen entsprechend den Zielen des Kunden zu gewährleisten:
- Vorbereitung
- Vorgespräch zur Definition der Ziele
- Organisatorische Punkte (Durchführungszeitpunkt/-ort, Ansprechpartner)
- Grobe Vorstellung der Infrastruktur des Unternehmens
- Dokumentensichtung
- Bereitstellung und Sichtung relevanter Dokumente
- Erstellung Auditplan
- Zeitliche und inhaltliche Festlegung der Auditthemen
- Sicherstellung der Verfügbarkeit und Erreichbarkeit relevanter Ansprechpartner
- Durchführung des Audits
- Vor-Ort- oder Remote-Audit
- Interviewbasierte Vorstellung der Prozesse und Systemkonfigurationen
- Dokumentation und Berichterstellung
- Dokumentation von Abweichungen und Behebungsmaßnahmen
- Erstellung des Abschlussberichts
- Abschlussgespräch
- Präsentation der Ergebnisse und empfohlener Maßnahmen zur Behebung
- Abstimmung der nächsten Schritte
Die Prüfpunkte beim Audit einer Unternehmensinfrastruktur orientieren sich an den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Hierzu zählen insbesondere das BSI-Grundschutzkompendium [4] sowie die Serie von Standards zur Internet-Sicherheit (ISi-Reihe) [5]. Darüber hinaus bringen die Auditoren der SmartTECS Cyber Security GmbH eigene Prüfpunkte ein, die auf Erfahrungen bei der Auditierung von Organisationen basieren.
Für die Prüfung von Härtungsmaßnahmen einzelner Systeme werden die Vorgaben des Center for Information Security (CIS-Benchmarks) sowie Empfehlungen der Hersteller herangezogen [6].
Quellen
[1] The OWASP® Foundation, OWASP Application Security Verification Standard, https://owasp.org/www-project-application-security-verification-standard/
[2] The OWASP® Foundation, OWASP Code Review Guide, https://owasp.org/www-project-code-review-guide/
[3] Carnegie Mellon University Software Engineering Institute , SEI CERT Coding Standards, https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standards
[4] IT-Grundschutz-Kompendium, BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
[5] BSI-Standards zur Internet-Sicherheit, BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/ISI-Reihe/isi-reihe.html
[6] CIS Benchmarks, Center for Information Security (CIS): https://www.cisecurity.org/cis-benchmarks/