PENETRATIONSTESTS UND TECHNISCHE AUDITS. Delivering Transformation. Together.

Transkript

1 PENETRATIONSTESTS UND TECHNISCHE AUDITS Delivering Transformation. Together.

2 HERAUSFORDERUNG IT-SICHERHEIT Als Folge der fortschreitenden Digitalisierung hängt der Erfolg eines Unternehmens immer stärker vom produktiven Beitrag seiner IT ab. Die zunehmende Vernetzung von unternehmenskritischen Anwendungen, Produktionsanlagen oder Haustechnik erhöht die Auswirkungen potenzieller Störungen und Ausfälle. Gleichzeitig nimmt die Intensität und Qualität von Cyberangriffen zu. IT-Sicherheit hat daher höchste Priorität: Firewalls, Antivirus-Software und Systemhärtung, Patchmanagement und SIEM (Security Information and Event Management) sowie kompetentes Personal und regelmäßige Awareness-Trainings sind Eckpfeiler einer sicheren Unternehmens-IT. Aber wie gut funktionieren diese Maßnahmen tatsächlich? Sind die Systeme wirklich auf dem neusten Stand? Wie gut sind Ihre Mitarbeiter im echten Leben gegen Social Engineering gefeit? Hält Ihre Infrastruktur auch gezielten Angriffen hochqualifizierter Hacker stand? Wir machen mit Ihnen den ultimativen Praxistest: Unsere zertifizierten Penetrations - tester führen einen Angriff so durch, wie es echte Cyberkriminelle machen würden, und finden so Lücken in Ihren Systemen bevor es andere tun.

3 WAS IST EIN PENETRATIONSTEST? Ein Penetrationstest ist die systematische Untersuchung eines Computersystems, einer Anwendung, eines Netzwerks oder Prozesses auf Schwach stellen, die eine Beeinträchtigung der Vertraulichkeit, Integrität oder Verfügbarkeit der verarbeiteten, gespeicherten oder übertragenen Daten ermöglichen. Im ersten Schritt suchen wir mit Vulnerability-Scannern nach bekannten Schwachstellen. Je nach Anlass des Tests prüfen wir manuell weitere Angriffsvektoren (Fuzzing, Fehler in der Anwendungslogik, Social Engineering). Im zweiten Schritt versuchen wir, eine Kombination der identifizierten Schwachstellen für reale Angriffe zu nutzen. Damit verifizieren wir die tatsächliche Verwundbarkeit Ihrer IT-Infrastruktur. In der Regel finden wir nach einem erfolgreichen Angriff weitere kritische Schwachstellen, die ein reiner Vulnerability Scan nicht aufgedeckt hätte.

4

5 UNSERE VORGEHENSWEISE Unsere zertifizierten Penetrationstester orientieren sich an standardisierten Vorgehensweisen (OWASP, OSSTMM, BSI) und führen je nach Untersuchungsgegenstand toolgestützte und manuelle Tests durch. Die Projekte laufen im Normalfall so ab: Klärung der organisatorischen, rechtlichen und technischen Voraussetzungen Ermittlung von Schwachstellen in den zu testenden Netzen, Systemen und/oder Anwendungen Verifikation von gefundenen Schwachstellen durch Exploits (optional, nach Rücksprache mit dem Kunden) Bewertung der Kritikalität der gefundenen Schwachstellen ( technical risk ) nach CVSS (Common Vulnerability Scoring System) Bewertung des mit den Schwachstellen verbundenen Risikos ( business risk ) in Zusammenarbeit mit dem Kunden Gemeinsame Erarbeitung von Maßnahmen zur Beseitigung der Schwachstellen bzw. zur Risikobehandlung

6 IHR NUTZEN In unseren Penetrationstests arbeiten wir mit den Tools und Methoden echter Angreifer. Dadurch erhalten Sie eine unabhängige Prüfung der real existierenden Angriffsfläche Ihrer Systeme und eine realistische Bewertung der Kritikalität der gefundenen Schwachstellen. Auf der Basis dieser Erkenntnisse erarbeiten wir mit Ihnen zusammen Maßnahmen für die Beseitigung der Schwachstellen bzw. zur Minderung des Risikos, deren Umsetzung Sie anhand der im Projekt ermittelten Kritikalität priorisieren können. Mit unseren Penetrationstests können Sie nicht nur die Sicherheit Ihrer IT-Infrastruktur testen, sondern auch die Effizienz Ihrer Abwehrsysteme (Intrusion Detection Systems), des Security Monitorings und des Security-Incident-Managements prüfen. Sicherheitslücken, selbst wenn sie rein technischer Art sind, weisen oft auf Verbesserungspotenziale in Unternehmensprozessen hin beim Patch-Management, Incident-Management, Benutzermanagement sowie bei Tests und Verifikation in der Software- und Systementwicklung. Mit unserer langjährigen Erfahrung als Prozess- und Managementberater helfen wir Ihnen, die Sicherheit in Ihrem Unternehmen über die rein technischen Aspekte hinaus nachhaltig zu verbessern.

7 Wir führen Penetrationstests und technische Audits in den folgenden Bereichen durch: Analyse von Webportalen und Webservices OWASP TOP10 OWASP 4.0 SOAP/Rest Webservices Analysen von Einzelsystemen nach OSSTMM Terminalserver Applikationsserver Verzeichnisserver (AD/LDAP) Datenbank-Server (Oracle, MS SQL, mysql) Client-Analysen Windows, Linux, Mac,Mobilgeräte Analysen von VPN-Zugängen (IPSec/SSL-VPN) Softwareanalysen Sourcecode Reviews Reviews mobiler Apps (ios/android) Netzwerkanalysen Analysen LAN-/WAN-Netzwerke Vulnerability-Scans Zonierung (VLANs, ACLs etc.) Network Access Control (802.1x) Logische und architektonische Schwachstellen WLAN-Analysen Analysen VoIP-Systeme/-Netze Analysen GSM-/GPRS-Schnittstellen (IMSI Catcher) Analysen Industriesteueranlagen (ICS/SCADA/KRITIS) Test von Embedded Systems Test von Produktionsanlagen (u. a. Siemens) Zutrittskontrollanlagen Steuer- & Regeltechnik Automatisierte Schwachstellenscans Social Engineering Hausbesuche Gezielte Phishing-Aktionen Protokoll-Analysen (USB, Bluetooth, proprietäre Protokolle) Analysen Embedded Systems Analysen proprietäre Funkschnittstellen

8 Blackbox-, Greybox- oder Whitebox-Test Blackbox Realistisches Angriffsszenario Keine Kenntnisse über innere Funktionsweise der zu testenden Anwendungen/Systeme/Netze Informationsbeschaffung über die Systeme ist Teil des Tests Szenario wie bei einem Angreifer ohne interne Kenntnisse Penetrationstest Grey- und Whitebox Insider-Wissen (Volle) Kenntnis über und Zugriff auf das zu testende System Szenario wie bei einem Angreifer mit Insider-Wissen Whitebox entspricht gewöhnlich der Kenntnis des Sourcecodes und/oder Vorlage der Konfiguration

9 Externer oder interner Penetrationstest Penetrationstest Extern Intern Angriff aus dem Internet Angriff auf Systeme, die aus dem Internet erreichbar sind Angriff auf dahinterliegende Netze, falls in die erreichbaren Systeme eingedrungen werden konnte Gefundene Schwachstellen können grundsätzlich von jedem ausgenutzt werden Angriffe von innen Simulation einer erfolgreichen Überwindung der äußeren Firewall Simulation eines Angriffs durch einen Angreifer mit Zugang zu dem internen Netz oder Zugriff auf dieses Gefundene Schwachstellen können entweder von intern oder nach einem erfolgreichen Einbruch ausgenutzt werden

10 Über Sopra Steria Consulting Sopra Steria Consulting zählt heute zu den Top Business Transformation Partnern in Deutschland. Als ein führender europäischer Anbieter für digitale Transformation bietet Sopra Steria mit rund Mitarbeitern in über 20 Ländern eines der umfassendsten Angebotsportfolios für End-to-End-Services am Markt: Beratung, Systemintegration, Softwareentwicklung, Business Process Services. Unternehmen und Behörden vertrauen auf die Expertise von Sopra Steria, komplexe Transformations- vorhaben, die geschäftskritische Herausforderungen adressieren, erfolgreich umzusetzen. Im Zusammenspiel von Qualität, Leistung, Mehrwert und Innovation befähigt Sopra Steria seine Kunden, Informationstechnologien optimal zu nutzen. Sopra Steria Consulting Hans-Henny-Jahnn-Weg Sopra Steria Consulting Tel.: Hamburg