Wir unterstützen Sie bei der Analyse Ihrer Applikationen und IT-Systeme mit Fokussierung auf Schwachstellen in Architektur und Implementation. Wir kennen die aktuellsten Angriffsszenarien und sind daher in der Lage, Schwachstellen zu identifizieren, zu analysieren und Verbesserungsmöglichkeiten aufzuzeigen.
Gemäss Untersuchungen sind mehr als 50 Prozent der Schwachstellen auf der Applikationsebene zu finden. Die Tendenz ist klar steigend. Auch grössere Anwendungen sind davor nicht gefeit. Die Auswirkungen solcher Schwachstellen können vielfältig sein; Umsatzeinbussen, Verlust der Reputation und Abfluss von kritischen Firmen- oder Kundendaten um nur die wichtigsten zu nennen.
Unsere Dienstleistungen
Die ersten Schritte zum Erfolg mit wenig Aufwand
Ohne gleich einen vollwertigen Penetration Test mit individuell angepassten Angriffen durchführen zu müssen, kann ein Vulnerability Assessment bereits eine gute Aussage über die Sicherheit geben.
Um die Sicherheit von Applikationen beurteilen zu können, ist es von Vorteil, die darunterliegenden Systeme und Netze, sozusagen das Fundament, auf offensichtliche Schwachstellen zu untersuchen. Dazu gehört das Aufspüren von veralteten Versionen, die Verifikation, dass aktuelle Patches installiert sind und ob die gängigen Hardening-Massnahmen implementiert sind. Natürlich kann ein Vulnerability Assessment auch auf der Applikationsebene Sinn machen, insbesondere dann wenn viele Abhängigkeiten zu Standard-Modulen bestehen.
Auch wenn allfällige bei einem Vulnerability Assessment gefundene Schwachstellen nicht direkt im Internet exponiert sind, ist es denkbar, dass diese durch eine Fehlmanipulation plötzlich ausnutzbar sind.
Wir denken in Szenarien und liefern Ihnen dadurch die Grundlage, um die weiteren Schritte zu planen. Binden Sie die Ressourcen dort, wo das Risiko am grössten ist.
- Beurteilt die System-Sicherheit
- Automatisierte & manuelle Durchführung
- Einschätzung der Risiken auf Netzwerk, System, oder Applikations-Ebene
- Vorstufe für Application Penetration Test
Eine Schwachstellen-Analyse auf System-Ebene oder bei systemnahen Komponenten (bspw. Web-Server) liefert oft auch ein gutes Bild darüber, wie es um die Gesamt-Sicherheit ihrer Firma steht. Sie wird normalerweise als Vorstufe zu einem Web Application Penetration Test auf den betreffenden Systemen durchgeführt, kann aber auch isoliert durchgeführt werden.
Die Sicht eines Angreifers einnehmen
Bei einem Penetration Test wird ein realistischer Angriff eines Hackers auf ein lauffähiges System simuliert. Während der Durchführung werden Schwachstellen in Netz, Systemen und Applikationen gesucht und wenn möglich ausgenutzt.
Protect7 unterscheidet folgende Arten eines Penetration Tests:
Neben den verschiedenen Arten eines Penetration Tests wird auch unterschieden, welcher Informationsgehalt einem Penetration Tester zur Verfügung steht. Daraus ergeben sich folgende Verfahrensweisen:
Manuelles Penetration Testing
Der manuelle Applikations Penetration Test von Protect7 ist eine exakt auf Ihre Bedürfnisse abgestimmte Überprüfung. Wir setzen genau dort an, wo es weh tun kann: Auf der Applikationsebene. Wir überprüfen Ihre externen oder internen Applikationen genau so, wie ein Hacker versuchen würde, diese zu missbrauchen.
Die wichtigsten Punkte bei einem manuellen Test:
- Informationsbeschaffung durch provozierte Fehler, Fehlermeldungen oder ungehärtete Applikationen
- Unter falschen Berechtigungen Aktionen ausführen oder Daten lesen (Umgehen der Authentifizierung & Autorisierung, Privilege Escalation)
- Session-Management aushebeln durch Stehlen von Session Informationen oder selber erzeugten Session Informationen
- Injection Angriffe gegen Datenbanken, User Directories oder die Logik, um Daten auszulesen oder eigenen Code auszuführen (SQL Injection, Code Injection etc.)
- Mittels Cross Site Scripting (XSS) versuchen, eigenen Code auf der Web-Applikation einzuschleusen, mit welchem Ihre Benutzer zu Opfern werden können
- u.v.m
Das Hauptziel der Überprüfung besteht darin, herauszufinden ob Ihre Applikationen in Bezug auf bekannte Typen von Schwachstellen anfällig sind oder die Logik versagt. Nur ein manueller Test ermöglicht das Erkennen von allgemein unbekannten Schwachstellen oder Fehlern im Prozess. Damit können die für Sie spezifisch vorhandenen Risiken aufgezeigt werden sowie geeignete Massnahmen eingeleitet werden.
Beachten Sie auch unsere Broschüre zum Thema: Manuelles Web Application Penetration Testing
Um sich ein Bild zu machen, wie das Resultat eines Penetration Tests aussehen kann, können Sie hier einen Penetration Testing Demo Report herunterladen. Auf Anfrage stellen wir Ihnen auch gerne die komplette Version zu.
Teilautomatisiertes Penetration Testing
Diese Test-Variante überprüft grösstenteils toolbasiert Ihre externen und internen Web-Applikationen auf bekannte Schwachstellen. Protect7 überprüft gefundene Schwachstellen auf False-Positives und bewertet die Risiken im Kontext Ihrer Unternehmung.
Die eingesetzte Software untersucht automatisch Ihre Web-Applikation und versucht, die gängigsten Angriffsszenarien durchzuführen. Neben Schwachstellen in Ihrer Applikation findet es auch typische Konfigurationsfehler des Webservers und des Applikationsservers.
Die wichtigsten Punkte bei einem teilautomatisierten Test:
- Informationsbeschaffung durch erzeugte Fehlermeldungen oder ungehärtete Applikationen
- Umgehen der Authentifizierung & Autorisierung
- Analyse des Session-Management und Möglichkeiten zum Aushebeln
- Ausprobieren von Injection Angriffen gegen Datenbanken, User Directories oder ähnlichem, um direkt von Eingabefeldern aus auf eigentlich versteckte Daten zuzugreifen (SQL Injection, Code injection etc.)
- Analysieren, ob Cross Site Scripting (XSS) möglich ist, wodurch fremder Code auf Ihrer Web-Applikation eingeschleust werden und Ihre Kunden schädigen könnte
- Überprüfung der Resultate, sowie spezifische manuelle Tests durch einen unserer Security Engineers
- Manuell erstellte Risikoeinschätzung und Management Summary
Das Hauptziel der teilautomatisierten Überprüfung besteht darin, herauszufinden ob Ihre Applikationen in Bezug auf die bekanntesten Angriffsszenarien anfällig sind. Aktuell vorhandene Risiken werden im Kontext Ihrer Unternehmung aufgezeigt, sowie automatisch rapportiert.
Beachten Sie auch unsere Broschüre zum Thema: Teilautomatisiertes Web Application Penetration Testing
Black Box
Der Tester erhält vorweg keine Informationen über Netzwerke, Systeme und Applikationen. Er versucht, wie ein aussenstehender Angreifer sich die Informationen zu beschaffen und mögliche Ziele für einen Angriff zu identifizieren und die Angriffe auszuführen. Ziel ist es, mögliche Sicherheitslücken aufzuspüren und auszunutzen.
Grey Box
Im Gegensatz zum Black Box Ansatz werden hier dem Tester einige relevante Informationen gegeben, damit er schneller die relevanten Systeme und Applikationen untersuchen kann und keine Zeit für ein Information Gathering verliert.
White Box
Bei diesem Ansatz werden dem Tester alle relevanten Informationen über die zu prüfenden Systeme mitgeteilt. So ist es möglich, einen Angriff zu simulieren, der eine längere Zeit in Anspruch nehmen würde oder von einem Insider ausgeht.
Um sich ein Bild zu machen, wie das Resultat eines Penetration Tests aussehen kann, können Sie hier einen Penetration Testing Demo Report herunterladen. Auf Anfrage stellen wir Ihnen auch gerne die komplette Version zu.
Sichere Applikationen basieren auf sicherem Code
Die Berücksichtigung der Sicherheit von Applikationen ist ein wichtiges Element während der Design- und Implementierungs-Phase. Sicherheit zu einem späteren Zeitpunkt einzubauen, kostet deutlich mehr und ist teilweise unmöglich.
Möchten Sie den Code Ihrer Applikation oder von kritischen Elementen wie Authentisierung & Autorisierung, Session Management, Daten-Validierung etc. zusätzlich zu Ihren eigenen Massnahmen überprüfen, dann bieten wir mit unserem Code Review genau das Richtige für Sie an.
Zu einem Code Review gehören folgende Analysen:
- Software Architektur und Design
- Schnittstellenspezifikation
- Sicherheitsanalyse der kritischten Elemente
- Fehlerverhalten der Applikation
- uvm.
Wir zeigen Ihnen die gefundenen Stärken und Schwächen auf und erstellen einen Massnahmenkatalog, mit dem Sie die Sicherheit und die Wartbarkeit Ihrer Applikation erhöhen können.
Umfassende Sicherheit in komplexen Systemen
Sie planen den Aufbau einer neuen System- und Software-Architektur oder haben eine bestehende, welche Sie im Zusammenhang mit dem Fokus auf Sicherheit und Funktionalität von einer aussenstehenden neutralen Sicht analysiert lassen wollen?
Dann können wir Ihnen Folgendes anbieten:
- Review der Gesamtlösung
- Review der Software-Architektur und Schnittstellen
- Review der vorhandenen Konzepte wie bspw. User Account Management, Security Monitoring, Sicherheitskonzepte etc.
- Review der vorgesehenen resp. tatsächlichen Prozesse
- Überprüfung auf kundenspezifische Anforderungen resp. Einhaltung von technischen oder kaufmännischen Vorgaben
OWASP Application Security Verification Standard
Sie möchten Ihren Kunden eine Möglichkeit geben, um das Sicherheitsniveau ihrer Applikationen nachvollziehbar einschätzen zu lassen?
Dann könnte der OWASP Application Security Verification Standard das Richtige für Sie sein. Da ASVS ein transparentes, öffentliches Projekt ist und durch die Community kontinuierlich weiterentwickelt wird, kann Ihr Kunde und auch Sie selber durch einen von uns erstellten ASVS-Report das Sicherheitsniveau ihrer Lösung optimal einschätzen.
Highlights:
- Umfassender Katalog von Sicherheits-Anforderungen an Ihre Gesamtlösung
- Verifikation der Einhaltung mit verschiedenen Analyse-Methoden (von Konzepten über Scanning bis hin zur Source Code Analyse)
- Durchführung und Ausweisung des Sicherheits-Niveaus auf drei Levels möglich
- Rapportierung der Compliance einzelner Anforderungen
- Übersichtliche Zusammenfassung für Ihre Kunden oder das Management
Im Unterschied zu anderen Analysen ist für die seriöse Durchführung bei einer ASVS-basierten Analyse zwingend die Verwendung mehrerer Methoden nötig. Viele der über 200 Anforderungen gehen deutlich weiter, als deren Verifikation mit einer einzelnen Analyse-Methode möglich ist. Da keine offizielle ASVS-Zertifizierung möglich ist, handelt es sich um eine Selbstdeklaration, welche wir als neutraler Anbieter für Sie erstellen können.
Überprüfung der Security-Awareness Ihrer Mitarbeiter
Sind Ihre Mitarbeitenden auf Phishing- und USB-Drop Scams vorbereitet? Möchten Sie die Security-Awareness Ihrer Mitarbeiter überprüfen?
Dann könnten unsere Phishing- und USB-Drop Kampagnen das Richtige für Sie sein. Professionell und effizient überprüfen wir die Security-Awareness Ihrer Mitarbeitenden
Highlights:
- Auf den Kunden bzw. dessen Mitarbeitenden abgestimmte Phishing- und USB-Drop "Angriffe"
- Verfolgen Sie live in unserem Dashboard, wie und vor allem ob Ihre Mitarbeitenden korrekt auf Phishing-Mails reagieren
- Erkennen Sie frühzeitig Sicherheitsrisiken und leiten entsprechende Gegenmassnahmen ein
- Lassen sie Ihre Mitarbeitenden zur Sicherheit im gesamten Unternehmen ihren Beitrag leisten
- Weitere Informationen finden Sie in unserer Broschüre
Haben wir Ihre Mitarbeiter oder Sie selbst beim Aufruf eines "maliziösen" Links oder gar der Eingabe von Benutzerdaten ertappt? Auch hierbei können wir Sie unterstützen und die Security-Awareness durch unser einstündiges Phishing-Awareness-Training steigern.
Security-Audit des Herzstücks Ihrer IT-Umgebung
Das Active-Directory als zentrales Bestandteil der meisten Unternehmens-Infrastrukturen, ist eine kritische Komponente, wenn es um die Sicherheit und um den Schutz vor möglichen Angriffen geht.
Das primäre Ziel eines Active-Directory Security Audits ist es, mögliche Schwachstellen in Konfigurationen, verwendeten Protokollen und bereitgestellten Admin-Rechten zu identifizieren.
Um mögliche Auswirkungen im Falle eines Angriffes zu erkennen, wird ein Angriff simuliert und ein oder mehrere mögliche Angriffspfade aufgezeigt. Dabei wird versucht, wie ein Angreifer vorzugehen, mit dem Ziel das Active-Directory zu übernehmen.
Vorgehen:
- Bei einem ersten Assessment werden die wichtigsten Security-Aspekte mittels Interview und Config-Review verifiziert und notwendige Empfehlungen ausgeprochen
- Im nächsten Schritt wird versucht so viele Informationen wie möglich über das Active Directory, verwendeter Protokolle und User in Erfahrung zu bringen
- Es wird versucht, eine Map der User, Gruppen, Gruppenzugehörigkeit und möglicher Rechte zu konstruieren. So kann ein Angriffspfad identifiziert werden.
- Hat man sich mittels einem weniger privilegierten User Zutritt zu einem System verschafft, wo auch User mit höheren Rechten aktiv sind, wendet man dort weitere Angriffstechniken an um gültige Anmeldeinformationen des Domain-Admins zu erhalten.
- Der letzte Schritt eines Angreifers ist es, sich auf dem AD so einzurichten, so dass er jederzeit, auch wenn die aktive Session abbricht, rasch den Zugang wiederherstellen kann um weiterführende Angriffe auszuführen. Diesen Schritt führen wir in unserem Test allerdings nicht weiter mehr aus.
Weitere Details zur Vorgehensweise sowie benötigte Informationen und Rahmenbedingungen variieren von Kunde zu Kunde. Für die Erstellung eines an Ihre Anforderungen angepasstes Offert, stehen wir gerne jederzeit zur Verfügung.
Security Assessment
Sie möchten auf effiziente Weise identifizieren, wo Sie im Bereich IT-Sicherheit stehen? Unser Security Assessment ist darauf ausgerichtet, die Sicherheitslage Ihrer IT-Infrastruktur auf eine umfassende und strukturierte Weise zu analysieren. Wir verwenden einen umfangreichen Katalog sicherheitsrelevanter Fragen, der hunderte von Aspekten abdeckt, um Ihnen eine genaue Bewertung Ihrer aktuellen Sicherheitssituation zu ermöglichen.
Highlights:
- Scope-Definition: Wir beginnen mit einem gemeinsamen Meeting und, sofern vorhanden/möglich, vorgängigem Dokumentenstudium, um Ihre Infrastruktur, Architektur und Service-Landschaft zu verstehen. Gemeinsam erörtern wir Verständnis-Fragen und erarbeiten einen sinnvollen Detail-Scope.
- Erstellung eines Fragekatalogs: Basierend auf den Erkenntnissen aus dem Meeting erstellen wir einen massgeschneiderten Fragekatalog, der die wichtigsten sicherheitsrelevanten Fragestellungen Ihrer IT-Landschaft abdeckt.
- Analyse mittels Dokumentation und Interviews: Wir analysieren vorhandene Dokumentationen und führen gegebenenfalls Interviews mit Schlüsselpersonen durch, um ein umfassendes Bild Ihrer Sicherheitsmassnahmen und -prozesse zu erhalten.
- Vergleich mit Best Practices: Wir vergleichen Ihre Sicherheitsmassnahmen mit Branchenstandards sowie spezifischen internen und regulatorischen Anforderungen, um Ihnen fundierte Empfehlungen zur Verbesserung Ihrer Sicherheitslage zu geben.
Unser Security Assessment lässt sich an Ihre Bedürfnisse anpassen. Wir können alle oder nur die für Sie relevanten Sicherheitsbereiche abdecken. Gerne unterstützen wir Sie bei der Abgrenzung, um effizient das bestmögliche Ergebnis für Sie zu erzielen.
Erfahren Sie mehr über unsere Methodik und wie unsere Sicherheitsexperten Ihnen helfen können, Ihre Sicherheitslage zu verbessern. Vereinbaren Sie noch heute einen Termin über unser Kontaktformular oder kontaktieren sie uns direkt für eine persönliche Beratung.