Sie befin­den sich hier:

Secu­ri­ty Test­ing

Vul­nerabi­li­ty Scans
Pene­tra­ti­ons­tests
Hybrid Secu­ri­ty Assess­ment
Source Code Audit
Secu­ri­ty Audit und Har­dening Check

Vul­nerabi­li­ty Scans

Schwach­stel­len-Scans sind ein wesent­li­cher Bestand­teil der prä­ven­ti­ven Sicher­heits­stra­te­gie von Unter­neh­men und stel­len zudem eine kos­ten­güns­ti­ge Alter­na­ti­ve zu Pene­tra­ti­ons­tests dar. Durch die regel­mä­ßi­ge Durch­füh­rung die­ser Scans kön­nen poten­ti­el­le Sicher­heits­ri­si­ken früh­zei­tig iden­ti­fi­ziert und beho­ben wer­den, bevor sie von Angrei­fern aus­ge­nutzt wer­den kön­nen. Ziel unse­rer Dienst­leis­tung ist es, die Sicher­heit unse­rer Kun­den durch eine umfas­sen­de Unter­su­chung ihrer Sys­te­me und Netz­wer­ke zu erhö­hen und dabei den Kos­ten-Nut­zen-Fak­tor im Auge zu behal­ten.

Pene­tra­ti­ons­test

Mit Hil­fe eines simu­lier­ten Angriffs drin­gen wir auf ver­schie­de­nen Ebe­nen in die IT-Infra­struk­tur Ihres Unter­neh­mens ein oder unter­su­chen Ihr Soft­ware­pro­dukt hin­sicht­lich des aktu­el­len IT-Sicher­heits­ni­veaus. Ziel der Ana­ly­sen ist es, die IT-Sicher­heit zu ver­bes­sern und die Risi­ken eines Cyber-Angriffs zu mini­mie­ren.

Hybrid Secu­ri­ty Assess­ment

Bei Smart­TECS Cyber Secu­ri­ty haben wir erkannt, dass Pene­tra­ti­ons­tests und Schwach­stel­len­for­schung zwar bei­de auf die Ver­bes­se­rung der Sys­tem­si­cher­heit abzie­len, aber nicht iden­tisch sind. Um den Her­aus­for­de­run­gen kom­ple­xer oder stark inte­grier­ter Sys­te­me gerecht zu wer­den, haben wir unse­ren Ansatz wei­ter­ent­wi­ckelt. Unse­re hybri­de Sicher­heits­be­wer­tun­gen kom­bi­nie­ren Ele­men­te der Schwach­stel­len­for­schung mit tra­di­tio­nel­len Pene­tra­ti­ons­tests, um ein tie­fe­res Ver­ständ­nis und eine umfas­sen­de­re Bewer­tung der Sicher­heits­la­ge unse­rer Kun­den zu ermög­li­chen.

Quell­code-Audit

Wir set­zen moderns­te Tools zur sta­ti­schen und dyna­mi­schen Code­ana­ly­se ein, um Ihren Quell­code gründ­lich auf Schwach­stel­len und poten­zi­el­le Sicher­heits­ri­si­ken zu unter­su­chen. Wir iden­ti­fi­zie­ren kri­ti­sche Schwach­stel­len und geben prak­ti­sche Emp­feh­lun­gen zur Behe­bung der Schwach­stel­len.

Die sta­ti­sche Ana­ly­se einer Anwen­dung (engl. Sta­tic Appli­ca­ti­on Secu­ri­ty Test­ing, kurz SAST) bezeich­net die Unter­su­chung eines Anwen­dungs­sys­tems durch ein Review des Quell­tex­tes. Die Ana­ly­se deckt ver­schie­de­ne Ebe­nen und Per­spek­ti­ven des Anwen­dungs­sys­tems ab:

  •  Über­prü­fung auf Anwen­dungs­ebe­ne
    •  z. B. Imple­men­tie­rung von Anwen­dungs­kom­po­nen­ten, Inter­ak­ti­on mit ande­ren Soft­ware­kom­po­nen­ten, etc.
  • Über­prü­fung auf Klas­sen- und Logik­ebe­ne
    • z. B. Imple­men­tie­rung von Klas­sen, Kon­troll­flüs­sen, Ein­ga­be­va­li­die­rung, etc.
  • Über­prü­fung von Kon­fi­gu­ra­tio­nen
    • z. B. für den Anwen­dungs­ser­ver, ver­wen­de­te Frame­works, Log­ging, etc.

Secu­ri­ty Audit und Har­dening Check

Unse­re umfas­sen­den Audits wer­den durch moder­ne Sicher­heits­tools und ‑tech­no­lo­gien unter­stützt, um Ihre gesam­te Infra­struk­tur auf Schwach­stel­len und poten­zi­el­le Angriffs­vek­to­ren zu unter­su­chen. Mit unse­ren Har­dening Checks stel­len wir sicher, dass Ihre Sys­te­me auf dem neu­es­ten Stand der Sicher­heits­stan­dards sind, um Ihre Daten und Sys­te­me zu schüt­zen.

Ein Secu­ri­ty Audit und Har­dening Check umfasst die Über­prü­fung einer Unter­neh­mens­in­fra­struk­tur oder ein­zel­ner Anwen­dun­gen in Form von leit­fa­den­ge­stütz­ten Inter­views mit den ver­ant­wort­li­chen Ansprech­part­nern der Kun­den­or­ga­ni­sa­ti­on. Gegen­stand des Audits sind die sicher­heits­re­le­van­ten Pro­zes­se der Orga­ni­sa­ti­on sowie die Archi­tek­tur und Kon­fi­gu­ra­ti­on der IT-Sys­te­me. Dar­über hin­aus kann für aus­ge­wähl­te Sys­te­me eine detail­lier­te Über­prü­fung der Kon­fi­gu­ra­ti­on (Har­dening-Check) durch­ge­führt wer­den.

Quel­len

[1] The OWASP® Foun­da­ti­on, OWASP Appli­ca­ti­on Secu­ri­ty Veri­fi­ca­ti­on Stan­dard, https://owasp.org/www-project-application-security-verification-standard/

[2] The OWASP® Foun­da­ti­on, OWASP Code Review Gui­de, https://owasp.org/www-project-code-review-guide/

[3] Car­ne­gie Mel­lon Uni­ver­si­ty Soft­ware Engi­nee­ring Insti­tu­te , SEI CERT Coding Stan­dards, https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standards

[4] IT-Grund­schutz-Kom­pen­di­um, BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html 

[5] BSI-Stan­dards zur Inter­net-Sicher­heit, BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/ISI-Reihe/isi-reihe.html 

[6] CIS Bench­marks, Cen­ter for Infor­ma­ti­on Secu­ri­ty (CIS): https://www.cisecurity.org/cis-benchmarks/