Audits & Assessments. IT Security-Risiken erkennen, analysieren und bewerten.

Transkript

1 & IT Security-Risiken erkennen, analysieren und bewerten

2 AUDITS Infrastructure > > Externe Überprüfung der Perimeter-Umgebung Audit: External Infrastructure Penetration Test Seite 4 > > Interne Überprüfung ausgewählter Netzwerkkomponenten Audit: Internal Infrastructure Penetration Test Seite 5 > > Analyse von Firewalls und Servern Audit: Inspect Seite 6 > > Penetrationstest zur Simulation komplexer Angriffe Audit: Infiltrate Seite 7 > > Überprüfung von Funknetzwerken Audit: Wireless LAN Audit Seite 8 > > Überprüfung von Voice-over-IP -Umgebungen Audit: VoIP Security Seite 9 Application > > Prüfung von Windows oder Linux basierten nativen Anwendungen im Blackbox Ansatz Audit: Zero Day Application Exploiting Seite 10 > > Überprüfung von Webanwendungen und Webservices Audit: Web Audit Advanced Seite 11 > > Überprüfung von Apps für Smartphones und Tablets Audit: Mobile App Audit Seite 12 > > Analyse von Terminalservern Audit: Citrix Audit Seite 13 Endpoint > > Überprüfung von Smartphones und Tablets Audit: Mobile Device Audit Seite 14 > > Analyse von Notebook / Desktop Systemen Audit: Client Analysis Seite 15 Forensic, Awareness and PCI 2 > > Untersuchung von Sicherheitsvorfällen Audit: Forensics Seite 16 > > Prüfung des Sicherheitsbewusstseins innerhalb des Unternehmens Audit: Social Engineering Seite 17 > > Sensibilisierung von Führungskräften, Mitarbeitern und Kunden Audit: Security Awareness / Live-Hacking Seite 18 > > Quartalsweise externe Vulnerability Scans gemäß PCI DSS Audit: Quarterly PCI ASV Security Scans Seite 19 > > Vor-Ort-Prüfung bei der PCI DSS Compliance Assessment: Payment Card Industry (PCI) Qualified Security Assessor (QSA) Seite 20 > > Selektive Prüfungen von speziellen Umgebungen Audit: Rent A Pentester Seite 21

3 AUDITS & ASSESSMENTS ASSESSMENTS Infrastructure > > Next Generation Proxy Next Generation Proxy Assessment Seite 22 > > Ist Ihr Unternehmen infiziert? Assessment: Cyber-Defense Seite 23 > > Grundsicherung des IT-Betriebs Assessment: Backup and Disaster Recovery Seite 24 > > Perimeter-Sicherheit überprüfen Assessment: Firewall Seite 25 > > Sicheres mobiles Arbeiten Assessment: Remote Access & SSL-VPN Seite 26 Data & Application > > Lastverteilung und Ressourcennutzung optimieren Assessment: Application Delivery Controller (ADC) und Load Balancer Seite 27 > > Leistungsfähigkeit von Netzwerken und Anwendungen prüfen Assessment: Network & Application Performance Seite 28 > > Schwachstellen in SAP-Umgebungen ermitteln Assessment: SAP Security Seite 29 > > Datenabflüsse erkennen und vermeiden Assessment: Data Leakage Seite 30 > > Zugriffsrechte transparent darstellen Assessment: Managing permissions for unstructured data Seite 31 Identity > > PKI und Prozessbewertung Assessment: Public Key Infrastructure (PKI) Seite 32 > > Ein Identity Management System ist nie fertig Assessment: Identity Management Seite 34 > > Überblick über eingesetzte Zertifikate erlangen Assessment: Certificate Seite 36 PCI- > > Unterstützung bei der Selbstbeurteilung der PCI DSS Compliance Assessment: Payment Card Industry (PCI Self) Seite 37 > > Compliance-konformes Risikomanagement (BaFin, FINMA, FMA) Assessment: Finance and Insurance Compliance (BaFin, FINMA, FMA) Seite 38 3

4 Externe Überprüfung der Perimeter-Umgebung Audit: External Infrastructure Penetration Test Der External Infrastructure Penetration Test untersucht folgende Kategorien von Schwachstellen: > > Information Gathering > > Backdoors und Fehlkonfigurationen > > HTTP- und CGI-Missbrauch > > TCP Sequenznummernvorhersage > > Identifizierung von Trojanern > > Firewall-, Filter- und Proxy- Schwachstellen > > File Transfer Protocol-Missbrauch > > Stärke der Authentisierungsmechanismen > > Protocol Spoofing-Angriffe > > DNS- und Bind-Angriffe > > Portscanning-Angriffe > > Remote File Access-Angriffe > > Remote Procedure Call-Angriffe > > SMTP- und Mail-Transferschwachstellen > > SNMP / Netzwerkmanagement Schwachstellen > > Ermittlung von unnötigen und überflüssigen Diensten > > SMB / NetBIOS-Angriffe > > Windows Service Pack und Hotfix Überprüfungen Der Service External Infrastructure Penetration Test beinhaltet eine externe Überprüfung der öffentlichen Systeme über das Internet. Damit ist dieser Service der ideale Einstieg, um die Effektivität der durchgeführten Schutzmaßnahmen einer Firewall / VPN-Umgebung unabhängig zu verifizieren. Wir empfehlen, alle öffentlichen Systeme (Web-, Mail-, FTP-, DNS-Server, Firewall, Router, usw.) mit diesem Service zu überprüfen. Neben möglichen Fehlkonfigurationen von Systemen erkennen Sie bei dieser Prüfung auch Schwachstellen in Betriebssystemen und Anwendungen, durch die ein Angreifer u.u. nicht autorisierten Zugriff auf das interne Netzwerk und kritische Systeme erhält. Wir ermitteln den aktuellen Sicherheitszustand und erstellen einen detaillierten Bericht mit den gefundenen Schwachstellen und den notwendigen Maßnahmen zur Fehlerbehebung. Den External Infrastructure Penetration Test führen wir in Form eines manuellen Penetrationstests mit eigenen Scripts und Exploits durch. Unterstützend setzen wir im Rahmen dieser Prüfung marktführende kommerzielle und Open Source Security Assessment Tools ein. Die Überprüfung erfolgt über das Internet. Denial-of-Service (DoS) Angriffe, bei denen ein Dienst bzw. das gesamte System zum Absturz gebracht werden kann, führen wir nur nach expliziter Einwilligung durch. Die Anzahl der zu prüfenden IP-Adressen wird auf die jeweilige Umgebung nach Bedarf angepasst. Dieser Service umfasst im Basispaket eine Überprüfung von insgesamt bis zu 8 IP-Adressen. Nach Vereinbarung erhält die von Ihnen bestimmte Kontaktperson den Bericht persönlich in elektronischer oder gebundener Form. 4

5 AUDITS & ASSESSMENTS Interne Überprüfung ausgewählter Netzwerkkomponenten Audit: Internal Infrastructure Penetration Test Der Internal Infrastructure Penetration Test untersucht folgende Kategorien von Schwachstellen: > > Information Gathering > > Backdoors und Fehlkonfigurationen > > HTTP- und CGI-Missbrauch > > TCP Sequenznummernvorhersage > > Identifizierung von Trojanern > > Firewall-, Filter- und Proxy- Schwachstellen > > File Transfer Protocol-Missbrauch > > Stärke der Authentisierungsmechanismen > > Protocol Spoofing-Angriffe > > DNS- und Bind-Angriffe > > Portscanning-Angriffe > > Remote File Access-Angriffe > > Remote Procedure Call-Angriffe > > SMTP- und Mail-Transferschwachstellen > > SNMP / Netzwerkmanagement Schwachstellen > > Ermittlung von unnötigen und überflüssigen Diensten > > SMB / NetBIOS-Angriffe > > Windows Service Pack und Hotfix Überprüfungen Der Service Internal Infrastructure Penetration Test beinhaltet eine interne Überprüfung von ausgewählten Netzwerkkomponenten. Durch diesen Service kann die Effektivität der lokalen Schutzmaßnahmen unabhängig verifiziert werden. Im Gegensatz zu einem externen Penetrationstest untersuchen wir bei diesem Service ausgewählte Systeme innerhalb des lokalen Netzes oder in einer Schutzzone. Wir empfehlen, alle sensitiven internen Systeme wie Datenbank- Server, Intranet-Server, Mail-Server oder interne Applikationsserver im Rahmen dieser Untersuchung überprüfen zu lassen. Neben möglichen Fehlkonfigurationen von Systemen erkennen wir bei dieser Überprüfung auch Schwachstellen in Betriebssystemen und Anwendungen, durch die ein Angreifer unter Umständen nicht autorisierten Zugriff auf lokale Systeme oder das gesamte Netzwerk erhält. Wir ermitteln für Sie den aktuellen Sicherheitszustand und erstellen Ihnen einen detaillierten Bericht mit den gefundenen Schwach stellen und den notwendigen Maß nahmen zur Fehlerbehebung. Nach Vereinbarung erhält die von Ihnen bestimmte Kontaktperson den Bericht persönlich in elektronischer oder gebundener Form. Die Prüfverfahren sind analog zum Service External Infrastructure Penetration Test. Allerdings findet die Prüfung bei diesem Service in Form eines internen Penetrationstests innerhalb der DMZ bzw. im lokalen Netz statt. Denial-of-Service (DoS) Angriffe, bei denen ein Dienst bzw. das gesamte System zum Absturz gebracht werden kann, führen wir nur nach expliziter Einwilligung durch. Die Anzahl der zu prüfenden IP-Adressen wird auf die jeweilige Umgebung nach Bedarf angepasst. Der Service Internal Infrastructure Penetration Test umfasst im Basispaket eine Überprüfung von insgesamt bis zu 12 IP-Adressen. 5

6 Analyse von Firewalls und Servern Audit: Inspect Im Einzelnen führen wir für Sie bei diesem Service folgende Untersuchungen durch: Der Service Inspect beinhaltet eine detaillierte, manuelle Vor-Ort Überprüfung einer Firewall-Umgebung bzw. ausgewählter Server. Durch diesen Service können wir zusätzliche Schwachstellen aufdecken, die nicht unmittelbar aus dem Netzwerk sichtbar sind. Der Service Inspect ist eine ideale Ergänzung zu den Überprüfungen über das Netzwerk. Damit können auch verborgene sicherheitsrelevante Fehlkonfigurationen erkannt werden. Falls beispielsweise der externe Zugriff auf einen kritischen Server ohne ausreichende Authentisierung für einen einzelnen Client (IP- Adresse) zugelassen ist, kann dies im Rahmen eines Infrastruktur Penetrationstests nicht erkannt werden. Im Rahmen der Durchsicht des Firewall-Regelsatzes wird dieser potenzielle Zugriff dagegen erkannt. Die Betriebssystem-Härtungsüberprüfung wird auch einzeln für ausgewählte Server angeboten. Es wird ein detaillierter Bericht erstellt, der alle empfohlenen Konfigurationseinstellungen und eine Beschreibung der notwendigen Maßnahmen zur Fehlerbehebung enthält. Die Aushändigung des Berichtes erfolgt nach Vereinbarung persönlich an die vom Kunden bestimmte Kontaktperson in elektronischer oder gebundener Form. Im Basispaket umfasst dieser Service eine Überprüfung von fünf Systemen inklusive Firewall. > > Firewall-Konfigurationsanalyse und Firewall-Regelsatzanalyse, Patches, etc. (derzeit für Check Point FireWall-1; CISCO ASA, Juniper, weitere auf Anfrage) > > Firewall-Topologiebewertung > > Betriebssystem Härtungsüberprüfung (derzeit für Windows, Linux, Cisco IOS, weitere auf Anfrage) Weiterhin können wir durch eine detaillierte Konfigurationsprüfung von ausgewählten Servern Schwachstellen aufdecken, die nur für angemeldete Nutzer auf dem Server ausnutzbar sind, z.b. Privilege Escalation oder lokale Zugriffe auf sensitive Daten. 6

7 AUDITS & ASSESSMENTS Penetrationstest zur Simulation komplexer Angriffe Audit: Infiltrate Simulation interner Angreifer Dabei verbindet sich der Mitarbeiter von NTT Security mit dem Firmennetz und versucht durch Analyse des Datenverkehrs und explizitem Ausnutzen von Schwachstellen Zugriff auf sensitive Daten zu erhalten oder Systeme komplett zu übernehmen. Social Engineering Der Service Infiltrate initiiert komplexe Angriffe möglichst realistisch. Neben der Überprüfung über das Internet betrachten wir dabei auch Hintertüren, wie Remote- Zugänge, Social Engineering sowie interne Angriffe. Bei der Absicherung des internen Netzwerkes konzentrieren sich viele Unternehmen meist auf den Internetzugang, der mittels einer mehrstufigen Firewall- Umgebung geschützt wird. Ein Einbruch in das Unternehmensnetzwerk über versteckte Modemzugänge oder illegale Zugriffe durch interne Angreifer steht oftmals nicht im direkten Fokus. Dies gilt auch für Szenarien, in denen unbefugte Dritte sich in das Unternehmen einschleichen, z.b. als Reinigungskraft oder Wartungspersonal und dort versuchen, Zugriff auf vertrauliche Daten zu bekommen. Oder in denen Mitarbeiter, persönlich oder via Telefon, zur Preisgabe von sensitiven Daten verleitet werden. Im Rahmen des Services Infiltrate, der in verschiedenen Stufen angeboten wird, betrachten wir genau diese Hintertüren. Die Angriffe werden innerhalb eines zuvor festgelegten Zeitraums unangekündigt ausgeführt und simulieren einen realen Hackerangriff. Alle gefundenen Schwachstellen versuchen wir auszunutzen, um Zugriff auf Systeme zu erlangen und Informationen zu bekommen. Dabei kann insbesondere auf Wunsch des Kunden ein vorher festgelegtes Ziel (Änderung einer Webseite, Erlangen einer Passwortdatei, Erweiterung von Rechten, Zutritt zu sensitiven Bereichen) anvisiert werden. Durch eine geschickte Vorgehensweise können vertrauliche Informationen direkt von Mitarbeitern erlangt werden, mit denen dann nachfolgend ein Zugang zum Netzwerk bzw. zu sensitiven Systemen möglich ist. Im Normalfall findet diese Informationsgewinnung über das Telefon statt. Physikalische Sicherheit Durch die Überprüfung der Zugänge zu Firmengebäuden und DV-Verteilern kann der physikalische Schutz ermittelt werden. Hierbei simuliert der NTT Security Mitarbeiter das Eindringen durch Unbefugte in sensitive Bereiche und bewertet den möglichen Schaden. Wardialling Zusätzlich versuchen wir über Modem und ISDN-Zugänge in das Firmennetzwerk einzudringen. Dabei werden ausgewählte Telefonnummernbereiche innerhalb der Firma auf angeschlossene Modem- / ISDN-Adapter untersucht und anschließend hinsichtlich der Stärke der Authentisierung überprüft. 7

8 Überprüfung von Funknetzwerken Audit: Wireless LAN Audit Innerhalb des Service WLAN- Audit können folgende Tests durchgeführt werden: > > Insertion-Attacken > > Abfangen und unautorisiertes Monitoring des WLAN-Datenverkehrs > > Attacken auf die Verschlüsselung > > Brute Force-Angriffe auf Passwörter > > Störversuche > > Client-zu-Client-Attacken > > Reichweite des Funknetzwerkes prüfen Mit dem Service Wireless-LAN Audit können die Schwachstellen in einer produktiven a/b/g/n Wireless-LAN-Umgebung aufgespürt werden. Das Hauptproblem bei der Absicherung eines Wireless-LAN (WLAN) ist die Datenverbreitung über ein Medium, welches nicht unter der physikalischen Kontrolle des LAN-Betreibers liegt. Ein potenzieller Angreifer kann passiv und unbemerkt Daten aus einem WLAN mitlesen. Der Angreifer kann eine Funk netzwerkkarte in Verbindung mit einem Protokollanalysewerkzeug einsetzen und so die Nutzdaten aus den übertragenen Paketen herausfiltern. Diese Möglichkeit existiert zwar auch bei verkabelten Netzen, aber mit wesentlich höherem Aufwand. Die Sicherheitsüberprüfung einer WLAN- Umgebung umfasst einen Black-Box Penetrationstest der WLAN- Komponenten. Dies beinhaltet eine Prüfung der Access-Points (AP) sowie der Clients. Der Penetrationstest kann mit oder ohne Denial-of-Service-Angriffe durchgeführt werden. Um jedoch ein maximales Spektrum möglicher Verwundbarkeiten abzudecken, sollte die Durchführung des Tests mit DoS-Attacken erfolgen. Für einige dieser Tests ist u.u. ein Zugang zum internen (Funk-) Netzwerk erforderlich. Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. Im Basispaket umfasst dieser Service eine Überprüfung einer exemplarischen WLAN-Konfiguration (bestehend aus einem Access- Point / Client). Weitere zusätzliche WLAN-Konfigurationen können bei Bedarf hinzugenommen werden. 8

9 AUDITS & ASSESSMENTS Überprüfung von Voice-over-IP -Umgebungen Audit: VoIP Security Mit dem Service VoIP Security Audit können vorhandene Schwachstellen in Voice-over- IP und Videoconferencing Umgebungen identifiziert werden. Durch den Einsatz von Voice-over-IP (VoIP) innerhalb eines Unternehmens ergeben sich Bedrohungsszenarien auf verschiedenen Ebenen. Zunächst sind die klassischen Angriffsmöglichkeiten auf die Netzwerkkomponenten und Anwendungen auch hier gegeben. Durch Software- und Konfigurationsfehler der beteiligten Komponenten kann es zu Kompromittierungen und Ausfällen kommen. Darüber hinaus sind weitere VoIPspezifische Angriffe zu betrachten, die direkten Einfluss auf die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität haben. Die Verfügbarkeit des Dienstes ist im Unternehmensumfeld von großer Bedeutung. Durch eine Vielzahl von Denial-of-Service Angriffen, die in verschiedenen Varianten und für alle VoIP-Komponenten möglich sind, kann die Verfügbarkeit erheblich gefährdet werden. Ähnlich sieht es auch in Bezug auf die Vertraulichkeit aus. Die Kommunikation zwischen den VoIP-Komponenten ist in der Standardkonfiguration meist nicht ausreichend gesichert. Dies gilt einerseits für die Kontrollverbindungen (z.b.: SIP, H323, SCCP), mit denen der angerufene Teilnehmer lokalisiert und die Session zwischen den beiden Teilnehmern ausgehandelt wird. Andererseits werden auch die Gesprächsdaten selbst oft unverschlüsselt übertragen. Abhängig von der vorliegenden Umgebung sind zahlreiche weitere Bedrohungsszenarien, wie die Umleitung von Gesprächen (Verlust der Vertraulichkeit und Integrität), die Fälschung der Identität des Anrufers (Verlust der Authentizität und Integrität) oder Gebührenbetrug möglich. Im Rahmen des VoIP Security werden die grundlegenden Angriffspunkte aufgegriffen und geprüft. Der Service wird im LAN bzw. in der VoIP- Umgebung des Kunden durchgeführt und beinhaltet eine Überprüfung der VoIP-Infrastruktur, bestehend aus Telefonen, PBX und Gateways, sowie deren Kommunikationsbeziehungen. Innerhalb des Service VoIP Security Audit können folgende Tests durchgeführt werden: > > Penetrationstest der VoIP- Komponenten zur Identifizierung bekannter Schwachstellen > > Identifizierung von nicht benötigten Diensten > > Topologiebewertung der VoIP- Umgebung und Identifizierung von Optimierungspotenzial > > Sicherheitsanalyse VoIP-spezifischer Konfigurationsparameter > > Analyse des Call Routings und Durchführung von Testanrufen zur Prüfung von Möglichkeiten des Gebührenbetrugs und Privilege Escalation > > Prüfung der Abhörmöglichkeiten von Telefonaten durch eine Trafficanalyse > > Prüfung der Manipulationsmöglichkeit der Telefone durch eine physische Analyse der Geräte Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 9

10 Prüfung von Windows oder Linux basierten nativen Anwendungen im Blackbox Ansatz Audit: Zero Day Application Exploiting Der Service Zero Day Application Exploiting beinhaltet eine pragmatische Prüfung von Client-Server oder Standalone-Anwendungen aus dem Windows- und Linux-Umfeld hinsichtlich möglicher Schwachstellen in der Programmierung. Wenn Unternehmen spezielle Anforderungen haben, die sich mit nativen Standardanwendungen nicht realisieren lassen, kommen Fremd- oder Eigenentwicklungen zum Einsatz. Bei der Entwicklung dieser Applikationen stehen funktionale Aspekte im Vordergrund und Sicherheitserwägungen werden häufig nicht in den Entwicklungsprozess eingebunden. Eine Gefährdung für das Unternehmen kann jedoch nur ausgeschlossen werden, wenn wir auch solche Anwendungen in die allgemeine Sicherheitsbetrachtung einbeziehen. Während der Designphase erreichen wir dies durch Quellcodeanalysen und Secure Coding Prozesse. Im Nachhinein ist dies meist nicht möglich. Hier setzt der Service Zero Day Application Exploiting an. Das Ziel der Überprüfung besteht darin, bisher unbekannte Schwachstellen innerhalb einer Applikation zu ermitteln, die eine Kompromittierung der Applikation bzw. des Systems oder der Daten ermöglichen oder zumindest erleichtern. Hierbei greift das Audit Team der NTT Security auf zwei Verfahren aus dem Bereich der Schwachstellenanalyse zurück, um Sicherheitslücken auch nach Fertigstellung der Software zu entdecken, bevor diese ausgenutzt werden. Beim Fuzzing-Verfahren wird mit Hilfe von geeigneter Software eine Vielzahl von zufälligen Eingaben an das System übergeben. Falls die auditierte Applikation dabei abstürzt, ist dies ein Hinweis auf eine mögliche Schwachstelle. Die bei dem Absturz verwendeten Daten helfen dem Auditor, auf effiziente Weise erste Sicherheitslücken zu identifizieren. Die Übergabe der Daten kann über das Netzwerk (Client-Server-Struktur) oder lokal über das Dateisystem erfolgen. Beim Reverse Engineering wird die ausführbare Datei analysiert, in dem der Maschinencode mit Softwareunterstützung untersucht wird. Der Vorteil liegt darin, dass auch Sicherheitsprobleme in schwer erreichbaren Programmbestandteilen erkannt werden können. Folgende Kategorien von Schwachstellen innerhalb einer Applikation können mit dem Service Zero Day Application Exploiting identifiziert werden: > > Ausführung von Schadcode durch fehlende Prüfung der Eingabeparameter, wie z.b. Buffer Overflow oder Command Injection > > Probleme bei der Authentifizierung und Authentisierung, wie das Umgehen von Login-Mechanismen oder Berechtigungskonzepten > > Unsichere Konfigurationen, die einen weiteren Angriff erleichtern > > Denial-of-Service-Angriffe, bei dem die Nutzung des Systems unterbunden werden kann > > Falsch gesetzte Berechtigungen oder andere sicherheitsrelevante Konfigurationsfehler Je nach Ausnutzbarkeit können optional für die Schwachstellen Proof-of- Concept Exploits erstellt werden. Der resultierende Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 10

11 AUDITS & ASSESSMENTS Überprüfung von Webanwendungen und Webservices Audit: Web Audit Advanced Unter anderem werden folgende wichtige Kategorien der Applikationssicherheit geprüft: >Injection-Schwachstellen, > wie SQL-, OS- oder LDAP-Injection > > Fehler in der Authentifizierung und im Session Management > > Cross-Site Scripting (Stored, Reflected und DOM-based XSS) > > Cross-Site Request Forgery (CSRF) > > Mangelhafte Prüfung von Berechtigungen > > Zugriff auf sensible Daten > > Clickjacking und UI-Redressing > > Verwendung bekanntermaßen unsicherer Komponenten und fehlerhafter Konfigurationen. Der Service Webaudit Advanced beinhaltet eine umfassende Prüfung von Webanwendungen und Webservices. Das Web hat sich als Plattform für Anwendungen und Dienstleistungen durchgesetzt. Es bietet den Vorteil standardisierter Technologien und Protokolle und ein Browser ist als Client heutzutage auf jedem PC und Smartphone bereits installiert. Neue Technologien wie HTML5 bieten eine große und stetig wachsende Funktionsvielfalt, die neue Anwendungsgebiete für Webanwendungen erschließen und viele Cloud-Anwendungen erst möglich machen. Die vielen Möglichkeiten und die hohe Komplexität heutiger Webanwendungen erhöhen jedoch auch die Angriffsfläche auf die Logik und Daten der Anwendung. Das Ziel des Service Webaudit Advanced besteht darin, Schwachstellen in der untersuchten Webanwendung auf Applikationsebene zu identifizieren. Hierzu wird die Anwendung einer manuellen Analyse unterzogen, die durch automatisierte Tools unterstützt wird. Dabei orientieren wir uns in der Vorgehensweise an anerkannten Standards wie den OWASP Top 10 Application Security Risks und erweitern diese um Prüfungen auf aktuelle oder applikationsspezifische Bedrohungen. Im Rahmen eines Webaudit Advanced können auch Web Services betrachtet werden. Es wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen, sowie Maßnahmen zu deren Behebung enthält. Dieser Bericht kann von Entwicklern und dem IT-Betrieb als Leitfaden für die Behebung der Schwachstellen genutzt werden. 11

12 Überprüfung von Apps für Smartphones und Tablets Audit: Mobile App Audit Typische Schwachstellen, auf die bei diesem Service geprüft wird, sind: > > Unverschlüsselte oder unauthentifizierte Kommunikation mit dem Backend. > > Offenlegung von sicherheitskritischen Applikationskomponenten über APIs wie Intents oder URL-Handler. > > Information Leakage durch Drittkomponenten, die z.b. für Werbeeinblendungen verwendet werden. > > Speicherung sensibler Daten in unsicheren Bereichen, wie z.b. SD-Karten oder außerhalb des Key Chains. > > Unsichere Nutzung von Web- Views durch Offenlegung von internen App-APIs an nicht vertrauenswürdige Webseiten. > > Fehlende Berechtigungsprüfung im Backend. > > Klassische Schwachstellen wie SQL Injection und Buffer Overflows. Mit dem Service Mobile App Audit können vorhandene Schwachstellen und Risiken von Apps für Mobile Devices identifiziert werden. Die Einsatzgebiete von Apps für mobile Geräte wie Smartphones und Tablets sind vielfältig. Viele Unternehmen entwickeln und veröffentlichen Apps, um ihren Kunden Zugang zu Informationen und Diensten von mobilen Geräten aus anzubieten. Auf der anderen Seite werden Apps auch aus den gleichen Gründen in Unternehmen eingesetzt. Wie native Anwendungen auf dem PC oder Webanwendungen, können Apps ebenfalls Schwachstellen enthalten, die sich jedoch aufgrund der Besonderheiten der jeweiligen Plattformen deutlich von den klassischen Bedrohungen unterscheiden. Angreifer können solche Schwachstellen in mobilen Apps nutzen, um Zugang zu Daten auf mobilen Geräten zu erhalten oder diese als Sprungbrett für Angriffe auf die IT-Infrastruktur des Unternehmens zu verwenden. Dabei werden die Apps in unserem Labor sowohl manuell als auch durch Tools unterstützt auf Schwachstellen hin untersucht. Hierzu wird unter anderem die Kommunikation mit dem Backend, die Datenspeicherung auf dem mobilen Gerät sowie die Interaktionsmöglichkeit mit anderen Apps geprüft. Da Apps und Backend-Komponenten oft eine Einheit bilden, erfolgt auch eine Untersuchung der Backend-Services auf Applikationsebene. Es wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen sowie Maßnahmen zu deren Behebung enthält. Dieser Bericht kann von Entwicklern und dem IT-Betrieb als Leitfaden für die Behebung der Schwachstellen genutzt werden. Das Ziel des Mobile App Audit besteht darin, Schwachstellen der untersuchten Apps auf Applikationsebene zu identifizieren. 12

13 AUDITS & ASSESSMENTS Analyse von Terminalservern Audit: Citrix Audit Innerhalb des Service Citrix- Audit können folgende Tests durchgeführt werden: > > Nutzung von nicht freigegebenen Applikationen oder Funktionen für einen typischen Nutzer > > Ausbruch aus der vorgegebenen Umgebung > > Zugriff auf vertrauliche Daten > > Privilege Escalation > > Kompromittierung des Systems > > Prüfung des möglichen Zugriffes auf benachbarte Systeme in der DMZ bzw. im internen Netz > > Prüfung, ob Proof-of-Concept Schadcode auf das System heruntergeladen werden kann Der Service Citrix Audit beinhaltet die Prüfung einer typischen Terminalserver-Umgebung. Durch diesen Service können Schwachstellen in der Absicherung dieser zentralen Komponenten aufgedeckt werden. Für die Bereitstellung von zentralen Applikationen wird oft eine Terminalserver-Umgebung eingesetzt, über die externe Mitarbeiter und mobile Nutzer Zugriff auf ausgewählte Anwendungen und Ressourcen erhalten. Die Applikationen werden dabei entweder dediziert für einen browserbasierten Zugriff freigeschaltet oder die Benutzer bekommen einen direkten Zugang auf den Desktop. Die Gefahren, die sich aus diesen Szenarien ergeben, werden dabei häufig unterschätzt. NTT Security prüft, inwieweit ein typischer Nutzer einer Terminalserver Umgebung nicht freigegebene Applikationen oder Funktionalitäten nutzen kann (z.b. Internet-Zugriff, Aufruf von Systembefehlen) oder die Möglichkeit hat, das System zu kompromittieren. Sofern ein Ausbruch aus der vorgegebenen Umgebung möglich ist, wird der Zugriff auf benachbarte Systeme in der DMZ oder im internen Netz geprüft. Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 13

14 Überprüfung von Smartphones und Tablets Audit: Mobile Device Audit Mit dem Service Mobile Device Audit können vorhandene Schwachstellen auf mobilen Geräten identifiziert werden. Es ist heutzutage für moderne Unternehmen undenkbar, ohne sie auszukommen. Die Zeiten, in denen Blackberry Smartphones das Maß aller Dinge waren und zudem den mobilen Alltag sicherheitstechnisch überschaubar und kontrollierbar machten, sind längst vorbei. Heute findet man iphones, ipads, Android, Windows Phone und andere Geräte überall in Unternehmen. Der Wechsel auf diese moderneren und offeneren Plattformen birgt jedoch auch Risiken. Nicht nur die Geräte haben sich geändert, sondern auch deren Benutzung im geschäftlichen und privaten Alltag. Wurden früher noch geschäftliche von privaten Daten strikt getrennt, findet heute eher eine Vermischung statt. Zudem werden immer mehr kritische und vor allem sensible Daten auf den Plattformen gespeichert und verarbeitet. Oft ist unklar, welche Daten tatsächlich auf den Geräten gespeichert werden und wie bzw. ob diese vor unbefugtem Zugriff geschützt sind. Dem Sicherheitsverantwortlichen des Unternehmens ist dies in vielen Fällen bewusst. Doch was tun, wenn der berühmte Prophet im eigenen Land nicht zählt und alle s des Managements und vertrauliche Dokumente ungeschützt Dritten zugänglich sind? NTT Security bietet für diese Fälle den Service Mobile Device Audit an. Wir prüfen Ihre mobilen Geräte auf Einhaltung der üblichen Sicherheitsstandards und legen dabei offen, welche Risiken für Ihr Unternehmen bestehen. Innerhalb des NTT Security Service Mobile Device Audit können folgende Geräte geprüft werden: > > Apple ios (iphone / ipad) > > Android > > Windows Mobile > > Windows Phone > > BlackBerry OS Es werden im Rahmen dieses Services folgende Sicherheitsaspekte betrachtet: > > Sicherheitsrelevante Einstellungen des Mobile-OS > > Anbindung der Endgeräte an das Unternehmensnetz > > Unautorisierter Zugriff auf das Gerät > > Extrahierung von gespeicherten Daten > > Bewertung der Absicherung der Datenspeicherung > > Prüfung Ihrer speziellen Anforderungen > > Einhaltung von unternehmensspezifischen Richtlinien Der resultierende Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 14

15 AUDITS & ASSESSMENTS Analyse von Notebook / Desktop Systemen Audit: Client Analysis Folgende Aspekte werden bei der Option Konfigurationsprüfung betrachtet: > > Grundkonfiguration des Betriebssystems > > Sicherheit des Browsers > > Manipulation von Hardware > > Manipulation von Daten oder Software > > Diebstahl des Gerätes > > Ungeordneter Benutzerwechsel > > Mobile-Security Mit dem Service Client Analysis kann die Sicherheit von Clients im Unternehmen geprüft werden. Dieser Service kann auch dazu genutzt werden, ein neues Notebook bzw. Desktop-Image vor dem Rollout intensiv auf Schwachstellen zu untersuchen. Die Prüfung eines Windows-Arbeitsplatzes dient dem Zweck, einen sicherheitstechnisch störungsfreien Betrieb zu gewährleisten und den Arbeitsplatz vor heutzutage üblichen Gefahren abzusichern. Folgende grundsätzliche Gefährdungen bzw. deren gegenüberstehende Schutzmaßnahmen werden betrachtet: > > Angriffe aus dem Netzwerk > > Manipulation durch den Benutzer > > Eindringen von Malware innerhalb von erlaubten Verbindungen (Surfen, ) Dieser Service ist zweistufig und umfasst zunächst die Konfigurationsprüfung der sicherheitsrelevanten Systemeinstellungen und Schutzmaßnahmen. Darüber hinaus kann mit der Option Einschleusen von Schadcode geprüft werden, inwieweit es aktuell möglich ist über das Unternehmensnetz Schadcode auf ein Gerät herunterzuladen und auszuführen. Die Vorgehensweise bei der Option Einschleusen von Schadcode ist wie folgt: > > Analyse des Notebooks im NTT Security Labor > > Einschleusen von Schadcode (Proof-of-Concept) über das Unternehmensnetz auf das Notebook, sofern möglich > > Auswertung und Dokumentation Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. Im Basispaket umfasst dieser Service die Überprüfung eines exemplarischen Notebookoder Desktop-Images. Dieser Service wird auch in Form eines Stolen-Notebook Checks ohne Login Information angeboten. 15

16 Untersuchung von Sicherheitsvorfällen Audit: Forensics In der heutigen Zeit gibt es viele rechtswidrige, unbefugte oder unzulässige Handlungen, die mit Hilfe von Computersystemen ermöglicht oder erleichtert werden. Durch den Service Forensics erhalten Sie eine umfassende Analyse von Systemen, die in einen Sicherheitsvorfall involviert waren, um die Ursache zu klären und ggf. Beweise, Indizien und Spuren zu sichern. Bei einer forensischen Analyse werden die Fragen des Wer, Was, Wo, Wann, Womit und Wie behandelt. Ziel ist es, herauszufinden, welche Schwachstellen bzw. welche Methoden ausgenutzt wurden, um die unbefugten Aktivitäten durchzuführen, welcher Schaden entstanden ist und falls möglich, wer der Angreifer ist. NTT Security betrachtet dabei verschiedene Ausprägungen. Bei der Netzwerk- Forensik versuchen wir in der Regel den Ursprung einer Kompromittierung durch die Analyse von Log-Dateien zu ermitteln. Bei der Computer-Forensik ist es besonders wichtig, soviel Informationen wie möglich auf den involvierten Systemen zu identifizieren, zu extrahieren und zu erfassen, ohne die Originaldaten, die sich auf dem System befinden, zu verändern oder zu manipulieren. Daher erfolgt hier zunächst eine forensisch einwandfreie Beweissicherung der Daten. Im Einzelnen werden bei der Netzwerk-Forensik die Zielsysteme und ggf. vorgelagerte Komponenten untersucht, um zu ermitteln: > > Welche Schwachstellen ausgenutzt wurden > > Ob Trojaner installiert wurden > > Wo der Ursprung der Kompromittierung ist > > Ob Daten bzw. andere Systeme kompromittiert wurden > > Welche Techniken der Angreifer verwendet hat Bei der Computer-Forensik erfolgt eine manuelle Untersuchung der beteiligten Systeme, um > > Daten forensisch einwandfrei zu sichern. > > Diese nach Beweisen und Spuren zu untersuchen > > Daten wiederherzustellen, um nach Indizien zu suchen > > Ihr eigenes Vorgehen einwandfrei und lückenlos zu dokumentieren > > Schwachstellen bzw. den Ursprung einer Kompromittierung zu identifizieren > > Sicherheitsvorfälle so weit als möglich zu rekonstruieren > > Die Erkenntnisse in verwertbaren und verständlichen Berichten zusammenzufassen 16

17 AUDITS & ASSESSMENTS Prüfung des Sicherheitsbewusstseins innerhalb des Unternehmens Audit: Social Engineering Mit dem Service Social Engineering werden Einfallstore ins Unternehmen betrachtet die über die klassischen Angriffspunkte auf die IT-Infrastruktur hinausgehen Oft führt der einfachste Weg eines Angreifers ins Unternehmen über Mitarbeiter, die unbewusst Informationen preisgeben. Durch geschickt präparierte Phishing Mails kann ein Angreifer Mitarbeiter zur Preisgabe von Login-Daten und anderen sensitiven Informationen verleiten. Außerdem kann über diesen Weg Malware eingeschleust werden. Neben solchen klassischen Phishing Szenarien kann oft auch eine gezielte Ansprache von Mitarbeitern über das Telefon für einen Angreifer zum Erfolg führen. Die erforderlichen Informationen für einen solchen gezielten Angriff holt sich der Angreifer über soziale Netzwerke und andere öffentliche Quellen. falscher Identitäten, über unzureichend geschützte Hintereingänge oder auch durch ungesicherte öffentliche bzw. halböffentliche Zonen geschehen. Unabhängig davon welche dieser Social Engineering Varianten ein Angreifer wählt, können die Konsequenzen für das Unternehmen gravierend sein. Im Rahmen dieses Services wird pragmatisch aufgezeigt, inwieweit in diesen Bereichen Optimierungspotential besteht. Alle durchgeführten Tätigkeiten und Resultate werden statistisch ausgewertet und detailliert dokumentiert. Dabei wird darauf geachtet, dass keine Rückschlüsse auf einzelne Mitarbeiter gezogen werden können. Es wird ein Bericht erstellt, der ggf. organisatorische, technische und konzeptionelle Vorschläge zur Verbesserung des Sicherheitsniveaus enthält. Der Bericht enthält darüber hinaus eine Zusammenfassung der Ergebnisse in Form einer Management-Summary. Folgende Szenarien stehen zur Auswahl: > > Verdächtige s / Phishing > > Weitergabe von sensiblen Daten über Telefon > > Stillschweigen über Betriebsgeheimnisse > > Transportable Medien / Software Urheberrechte > > Zugriff auf Mitarbeiter-PC s und Mitnahme sensibler Daten > > Zugriff für unbefugte Dritte auf vertrauliche Daten von Mitarbeitern > > Preisgabe von sensiblen Daten über soziale Netzwerke > > Zutrittsschutz zum Gebäude > > Erstellung von sensitiven Fotos > > Schutz von Unternehmenseigentum Durch einen Security Audit mit Social Engineering Szenarien lässt sich das aktuelle Sicherheitsbewusstsein der Mitarbeiter Ihres Unternehmens ermitteln. Darüber hinaus ist es trotz vermeintlich ausreichender Schutzmaßnahmen in vielen Fällen möglich, dass sich externe Personen unbemerkt physischen Zutritt zu sensitiven Bereichen eines Unternehmens verschaffen. Beispielsweise kann dies durch das Vortäuschen 17

18 Sensibilisierung von Führungskräften, Mitarbeitern und Kunden Audit: Security Awareness / Live-Hacking Im Rahmen von 30- bis 90-minütigen Security Awareness Workshops bzw. Live Hacking Vorführungen wird gezeigt, wie leicht ein Angreifer auf vertrauliche Daten oder sensible Systeme zugreifen kann. Diese Proof-of-Concept Angriffe werden dabei in der Regel in einer von NTT Security gestellten Umgebung durchgeführt. Ein Zugriff auf Ihr LAN bzw. ein Internetzugang ist in diesem Fall nicht erforderlich. Dabei können bestehende Regelungen des Unternehmens, wie zum Beispiel der Umgang mit Passwörtern oder Wechselmedien, eingearbeitet werden. Nachfolgend werden die gemeinsam vereinbarten Inhalte der Zielgruppe im Rahmen des Workshops präsentiert. Selbstverständlich können die dargestellten Themengebiete auch in Form einer Live Hacking Präsentation im Rahmen von Kunden- oder Firmenveranstaltungen durchgeführt werden. Themenauswahl: Angriffe auf Webanwendungen > > Angriffsszenarien bei Webshops > > Cross Site Scripting > > SQL Injection > > Manipulation von Parametern > > Angriffe auf den Client > > Schutzmaßnahmen für Webanwendungen NFC-Security Die Inhalte der Security Awareness / Live Hacking Workshops können Sie nach Ihren Anforderungen auf Basis der vorhandenen Bausteine zusammenstellen. Weitere Themen sind ggf. auf Anfrage möglich. > > Auslesen von Zahlungskarten > > Umgehung von Zutrittskontrollsystemen > > Phishing Mobile Security Alternativ zu diesen Bausteinen bieten wir Workshops an, bei denen wir die Inhalte dediziert auf die individuellen Anforderungen des Kunden abstimmen. > > Aktuelle Angriffsszenarien bei Smartphones > > Zugriff auf Android und ios Geräte Zunächst erarbeiten wir dazu mit Ihnen ein Konzept für den Workshop, welches auf die Zielgruppe und deren IT-Kenntnisse abgestimmt wird. > > Auslesen von persönlichen Daten z.b. SMS, , Kontakte, Social Media Voice-over-IP Security > > Abhören von Gesprächen > > Angriffe auf VoIP-Komponenten > > Denial-of-Service Schwachstellen auf Endgeräten > > Pufferüberläufe > > Code Execution > > Privilege Escalation 18

19 AUDITS & ASSESSMENTS Quartalsweise externe Vulnerability Scans gemäß PCI DSS Audit: Quarterly PCI ASV Security Scans Das PCI (Payment Card Industry) DSS-Programm wurde von den führenden Kreditkartenorganisationen, darunter MasterCard und VISA, ins Leben gerufen, um die Sicherheit von Kreditkartendaten zu gewährleisten. Alle Händler und Service Provider, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, unterliegen diesem Standard. MasterCard verlangt die Erfüllung des Standards zusätzlich auch für alle Karten, die ein Maestro-Logo tragen, z.b. EC-Karten oder Prepaid-Karten. Das Programm definiert die Sicherheitsmechanismen, die eingesetzt und aufrechterhalten werden müssen, um die Kreditkartendaten bei einem Händler oder Service Provider zu schützen. Händler und Service Provider werden von ihrem Acquirer in verschiedene Kategorien (Level) eingestuft, die von der jeweiligen Kreditkartenorgani sation, auf Basis der Anzahl der jährlichen Transaktionen und unter Berücksichtigung von Sicherheitsvorfällen, definiert werden. Händler der Level 1, 2 und 3 sowie alle Service Provider müssen quartalsweise einen externen Vulnerability Scan durchführen lassen, durch den alle über das Internet erreichbaren Systeme hinsichtlich möglicher Schwachstellen untersucht werden. Für Händler des Level 4 wird die Durchführung der Vulnerability Scans empfohlen. NTT Security wurde der formelle ASV- Status (Approved Scanning Vendor) durch das PCI Security Standards Council verliehen und ist damit berechtigt, entsprechende Vulnerability Scans für ihre Kunden durchzuführen. Neben den Sicherheitslücken, die auf veralteten und unsicheren Diensten beruhen, werden auch Schwachstellen identifiziert, die auf Fehlkonfigurationen von Betriebssystemen und Anwendungen basieren und zu unbefugtem Zugang zu Komponenten in Schutzzonen oder im internen Netzwerk führen können. Im Zuge des ASV-Sicherheitsscans von NTT Security gewinnen Sie einen Einblick in den PCI-Compliance-Status Ihrer Organisation. Nach Abschluss des Scans erhalten Sie einen detaillierten PCI-konformen Bericht mit Empfehlungen zur Beseitigung möglicher gefundener Schwachstellen. Der resultierende Bericht enthält: > > Identifizierung von PCIrelevanten Komponenten > > Detaillierte Analyse der im untersuchten Netzwerkbereich bestehenden Sicherheitsrisiken > > Schwachstellen in Betriebssystemen > > Empfehlungen zur Schwachstellenbeseitigung > > Priorisierung der Gegenmaßnahmen > > Referenzen zu den gefundenen Schwachstellen > > Compliance-Status der Infrastruktur Gemäß den Anforderungen für ASV Scans wird, neben dem detaillierten Bericht, auch ein High- Level Bericht mit einer Zusammenfassung des Compliance Status generiert. Die Berichte werden nachfolgend gesichert an die vom Kunden definierten Ansprechpartner übermittelt. 19

20 Vor-Ort-Prüfung bei der PCI DSS Compliance Audit: Payment Card Industry (PCI) Qualified Security Auditor (QSA) Das PCI (Payment Card Industry) DSS-Programm wurde von den führenden Kreditkartenorganisationen, darunter MasterCard und VISA, ins Leben gerufen, um die Sicherheit von Kreditkartendaten zu gewährleisten. Alle Händler und Service Provider, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, unterliegen diesem Standard. MasterCard verlangt die Erfüllung des Standards zusätzlich auch für alle Karten, die ein Maestro- Logo tragen, z.b. EC-Karten oder Prepaid-Karten. Das Programm definiert die Sicherheitsmechanismen, die eingesetzt und aufrechterhalten werden müssen, um die Kreditkartendaten bei einem Händler oder Service Provider zu schützen. Händler und Service Provider werden von ihrem Acquirer in verschiedene Kategorien (Level) eingestuft, die von der jeweiligen Kreditkartenorganisation, auf Basis der Anzahl der jährlichen Transaktionen und unter Berücksichtigung von Sicherheitsvorfällen, definiert werden. Abhängig von dieser Einstufung ist entweder eine Selbstbeurteilung oder ein Audit von einem PCI QSA (Qualified Security Auditor) erforderlich. In beiden Fällen müssen die resultierenden Dokumente von einem Mitglied der Geschäftsleitung unterzeichnet werden. Für größere Händler (Level 1) sowie für die meisten Service Provider ist ein QSA Audit verpflichtend. Bei Nichterfüllung der Compliance drohen dem entsprechenden Acquirer Vertragsstrafen, die dieser dann an seine Händler und Service Provider weitergeben kann. Die NTT Security bietet folgende QSA Audit Services an: NTT Security wurde der formelle QSA- Status (Qualified Security Auditor) durch das PCI Security Standards Council verliehen und darf entsprechende für ihre Kunden durchführen. Zahlreiche unserer Kunden in den USA und Europa wurden bereits bei der Erfüllung ihrer PCI-Anforderungen durch NTT Security Berater unterstützt. Die Dienstleistung umfasst die Identifikation der zu prüfenden Umgebung (Scoping), die Ermittlung der noch fehlenden Schutzmaßnahmen und Dokumente (Gap-Analyse) sowie die Durchführung einer abschließenden formalen Auditierung, die beim Kunden vor Ort stattfindet. Darüber hinaus ist eine Unterstützung bei der Entwicklung von Kompensationskontrollen für Anforderungen möglich, die nicht unmittelbar erfüllt werden können. Nach der Durchführung eines QSA- erhalten Sie einen ausführlichen Bericht, der den Compliance- Status der geprüften Umgebung anhand der PCI DSS-Vorgaben dokumentiert. Die Ergebnisse werden, gemäß den spezifischen Anforderungen der zuständigen Kreditkartenorganisation, an die vorgeschriebene Stelle übermittelt. Herausforderung Für größere Händler (Level 1) ebenso für die meisten Service Provider ist ein QSA Assessment verpflichtend. Bei Nichterfüllung der Compliance drohen dem entsprechenden Acquirer Vertragsstrafen. Audit NTT Security wurde der formelle QSA-Status (Qualified Security Assessor) durch das PCI Security Standards Council verliehen und darf entsprechende für Kunden durchführen. Schritte > > Aufbauen und Aufrechterhalten eines sicheren Netzwerks > > Schutz der Daten von Karteninhabern > > Aufbauen und Aufrechterhalten eines wirksamen Programms zum Schwachstellenmanagement > > Implementierung starker Zugriffskontrollmaßnahmen > > Regelmäßige Überwachung und regelmäßige Auditierung von Netzwerken > > Aufrechterhalten von Richtlinien, die sich mit den Anforderungen an die Informationssicherheit und Best Practices für die Geschäftstätigkeit befassen 20

21 AUDITS & ASSESSMENTS Selektive Prüfungen von speziellen Umgebungen Audit: Rent A Pentester Häufig gibt es sehr spezielle Auditanforderungen aufgrund von neuen Technologien, proprietären Systemen oder veralteter Technik, die weiterhin eingesetzt wird. Immer wieder gibt es im Unternehmen Aufgabenstellungen für Sicherheitsprüfungen, die nicht über klassische Auditierungsmethoden, wie z.b. einem typischen Infrastruktur Penetrationstest, einer Webapplikationsprüfung oder einer Clientanalyse abgedeckt werden können. NTT Security hat aufgrund langjähriger Erfahrungen im Bereich der technischen Auditierungen Spezialwissen, welches im Rahmen dieser besonderen Anforderungen eingesetzt werden kann. Beispielsweise können wir die Sicherheit eines auf NFC-Technologie basierten Zugangssystems durch eine technische Auditerung hinsichtlich möglicher Kompromitterungen prüfen. Im Rahmen einer klassischen Einwahlprüfung kann von uns festgestellt werden, ob analoge oder digitale Endgeräte über Ihre Telefonanlage bzw. über dedizierte Rufnummern erreichbar sind. Weiterhin haben wir die Möglichkeit bestimmte Embedded Devices zu prüfen, z.b. Bankautomaten oder Head Units von Fahrzeugen. Haben Sie auch ähnlich spezielle Anforderungen bzw. individuelle Wünsche an eine Prüfung? Dann kommen Sie bitte auf uns zu. Wir prüfen Ihre Anforderungen sorgfältig durch unsere Spezialisten und bieten Ihnen, sofern möglich, eine individuell abgestimmte Prüfung der Umgebung an. Umfang und Detailtiefe der Prüfung werden abhängig von der Art der Untersuchung im Vorfeld besprochen und abgestimmt. Es wird ein Bericht erstellt, der ggf. organisatorische, technische und konzeptionelle Vorschläge zur Verbesserung des Sicherheitsniveaus enthält. Der Bericht enthält darüber hinaus eine Zusammenfassung der Ergebnisse in Form einer Management-Summary. Beispiele für mögliche Spezialprüfungen: NFC Security Analyse > > Blackbox Test von NFC basierten Karten und Zugangssystemen Kiosk Audit > > Analyse von Infoterminals Wardialling > > Einwahlprüfung zur Identifizierung von analogen und digitalen TK-Endgeräten Initial Security Overview > > Initialer Test der Perimeter Umgebung mit dem Ziel nur die kritischsten Schwachstellen zu ermitteln, typischerweise für große Umgebungen (z.b Systeme) von Embedded Systemen > > ATM, Head Unit Audit eines Enterprise Service Bus (ESB) 21

22 Der Next Generation Proxy Assessment: Next Generation Proxy Assessment Das Web ist dynamisch und die Anforderungen an eine Web Proxy Umgebung ändern sich stetig. Soziale Netzwerke, Streaming Dienste und Apps machen inzwischen den überproportionalen Anteil des weltweiten Datenverkehrs aus und bergen neben neuen Möglichkeiten auch unbekannte Gefahren für Unternehmen. Neben den klassischen Diensten der Inhalts- und Web-Steuerung muss ein Proxy auch die neuen Inhalte in Echtzeit überprüfen und sie dem Benutzer in Echtzeit zur Verfügung stellen. Viele Lösungsanbieter erkennen diesen Bedarf und versehen ihre bestehenden Web-Proxy Lösungen mit neuen Funktionen, Mechanismen und Optionen, um sich für die Next Generation fit zu machen. Die Spezialisten für Sicheres Web Browsing (SWB) der NTT Security prüfen und untersuchen die jeweiligen Infrastrukturen in Ihrem Haus. Wir stellen sicher, dass Ihre Web Proxy Infrastruktur sowohl den aktuellen IT-gestützten geschäftlichen Anforderungen, als auch den aktuellen Sicherheitsstandards entspricht. Des Weiteren unterziehen wir Ihre bestehende Lösung einem Benchmark gegenüber relevanten Best Practices. Die NTT Security Spezialisten unterbreiten Ihnen Vorschläge zur Optimierung von Architektur und Richt linien. Diese basieren auf den tatsächlich verfügbaren Funktionen Ihrer aktuell eingesetzten Lösung. Performance-Analyse NTT Security analysiert und bewertet die Leistung der Umgebung. Wir messen auch die Latenz und Übertragungsraten bis in die Client Netzwerke. Gleichzeitig wird die Auslastung und Effizienz der Proxys untersucht, von der CPU und Speicher Auslastung bis hin zu Cache und Authentifizierung. Software- und Firmware-Stände Unsere Spezialisten überprüfen und bewerten die aktuell eingesetzten Soft- und Firmware-Stände gegenüber den aktuell verfügbaren Versionen, inklusive aller passenden Patches und Hotfixes. Diese sind ebenfalls Bestandteil des und stehen jeweils im Kontext zu den durch die Hersteller veröffentlichten End of Life Informationen. Wir wollen Ihre Lösung nachhaltig bewerten. Richtlinien für Web-Zugriffe Wir überprüfen auch die technisch eingesetzten Richtlinien. Hoch-Verfügbarkeitskonzept, Browser-Konfiguration, Schad-Code- und Inhaltsüberprüfung sowie Authentifizierung, Web-Filter und gruppenbasierte Richtlinien werden von uns konzeptionell und in deren Umsetzung analysiert. Der NTT Security Berater verfasst zum Abschluss des einen Bericht, der neben der Darstellung der bestehenden Effizienz der Umgebung auch Vorschläge zur Steigerung der Sicherheit und Leistung beinhaltet. Herausforderung Das Web ist dynamisch und die Anforderungen an eine Web Proxy Umgebung ändern sich stetig. Ziele Die Sicherstellung, dass die Web Proxy Infrastruktur sowohl den aktuellen IT-gestützten geschäftlichen Anforderungen, als auch den aktuellen Sicherheitsstandards entspricht. Schritte > > Performance Analyse > > Software- und Firmware-Stände > > Überprüfung der Richtlinien für Web-Zugriffe Ergebnis Am Ende des Assessements wird ein Bericht mit den Ergebnissen zusammen gefasst und Ihnen vorgestellt. Dieser beinhaltet neben der Darstellung der bestehenden Effizienz der Umgebung auch Vorschläge zur Steigerung der Sicherheit und Leistung. 22