Compass Security [The ICT-Security Experts]

Transkript

1 Compass Security [The ICT-Security Experts] Penetrationstests Welchen Wert haben simulierte Angriffe [it-sa 2016, Nürnberg ] Jan-Tilo Kirchhoff Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax

2 Darf ich mich vorstellen? Jan-Tilo Kirchhoff Country Manager Compass Security Deutschland GmbH verheiratet, zwei Kinder Werdegang: Von der TK-Security zur IT-Security Kompetenzen Netzwerk Sicherheitsprüfungen ICT- Security (VoIP, PSTN, GSM ) IT-Forensik Hobbys Meine Familie Musik (Trompete und Chor) Electronic Jazz, Jazz Funk Laufsport ICT-Security Slide 2

3 Herkunft Slide 3

4 Compass Security Probieren geht über Studieren Slide 4

5 Definitionen (1) Risiko = Schwachstelle x Bedrohung x Kosten Schwachstelle (Vulnerability) Meist Konfigurations- oder Softwarefehler, die einen möglichen Angriffspunkt darstellen. Bedrohung (Threat) Hier geht es um die tatsächliche bzw. anzunehmende Gefährdung. Wie wahrscheinlich ist es das eine Schwachstelle genutzt wird? Risiko (Risk) Die wirtschaftliche Bewertung der Sicherheit Slide 5

6 Definitionen (2) Penetrationstest / Penetrationtest / Pentest Slide 6

7 Verteidigungslinien Slide 7

8 Definitionen (1) Penetrationstest / Penetrationtest / Pentest Eindringversuch Vulnerability Assessment (Umfassende) Suche nach Angriffpunkten Security Assessment (Ganzheitliche) Bewertung der Sicherheit Red Team Angriffssimulation (ursprünglich Querdenker/2.Meinung) Weitere Arten von Sicherheitsprüfungen Vulnerability Scans (automatisierte Prüfungen) Security Audit (ISO 27000, PCI) Slide 8

9 Der erste Schritt Threat Modelling Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privileges Trustboundaries Browser Webservic e Slide 9

10 Vorgehen Umfang (scope) Wege (Channel: Communication Security, Spectrum Security, Physical Security) Index (quantity) Vektoren (vector - perspective) Ziele (targets - what you know is there) Slide 10

11 Testing Standards PTES Penetration Test Execution Standard BSI Studie Durchführungskonzept für Penetrationstests Slide 11

12 Ergebnis Erwartungen an den Bericht Strukturiert Übersichtlich Nachvollziehbar Qualifiziert Umsetzbar (actionable) Slide 12

13 Slide 13

14 Die Welt ändert sich Slide 14

15 Neue Angriffsmethoden Slide 15

16 Was macht Compass? seit 1999 Penetration Tests Als Angreifer untersuchen wir Geräte, Netze, Dienste und Anwendungen auf Schwachstellen. Mittels Social Engineering und Red Teaming testen wir das Verhalten der gesamten Organisation. Digital Forensics Unsere Forensik-Experten helfen bei der Koordination von Vorfällen und Sofortmassnahmen sowie bei der gerichtsfesten Bearbeitung von Daten. Zudem bieten wir eine unkomplizierte und schnelle Ursachenforschung. Security Reviews Erfahrene IT Analysten unterstützen Sie mit Zweitmeinungen zu Security- Konzepten und prüfen nach Wunsch den Aufbau, die Konfiguration und den Quellcode Ihrer Lösung. Security Trainings Profitieren auch Sie vom Wissen unserer Analysten zu Penetration Testing, Netzwerkanalyse, sichere Apps und Anwendungen, Digitale Forensik und trainieren Sie in einem eigens dafür erstellten Labor. Slide 16

17 Pentesting Know-How Compass Security Kurse in Berlin Network & Penetrationtesting Secure Mobile Apps Weitere Kurse in 2017 Web Application Security Basic Web Application Security Advanced NEU!!! IOT Security Holen Sie sich Ihr Compass biotech Device am Messestand. Slide 17

18 Vielen Dank! Vielen Dank für Ihre Aufmerksamkeit! Slide 18

19 Besuchen Sie uns! Auf der it-sa 2016 am Stand der Halle 12, Stand 226 Slide 19

20 Zeit für Ihre Fragen Slide 20

21 Kontakt Compass Security Deutschland GmbH Tauentzienstr Berlin Germany Secure File Exchange: PGP-Fingerprint: Slide 21