Don’t wait for the strike, anticipate it

Angesichts zunehmender Cyberangriffe ist es wichtiger denn je, dass Ihre Dienste angemessen geschützt sind. Unsere neue Abteilung für Offensive Sicherheit, die aus Sicherheitsexperten mit umfangreicher Erfahrung im Bereich Sicherheit besteht, kann Sie bei der Durchführung von Penetration-Tests für Ihre sensiblen Ressourcen unterstützen und die zu behebenden Schwachstellen ermitteln.

Unser Ansatz

Agile Project.jpg

Wir haben unseren Ansatz auf verschiedene bekannte Vorgehensweisen gestützt:

OWASP - Open Web Application Security Project

Für alle Arten der Anwendungssicherheit ist das Open Web Application Security Project (OWASP) eines der anerkanntesten Frameworks. Diese von einer erfahrenen Gemeinschaft entwickelte Methodik hat vielen Organisationen geholfen, Schwachstellen in Anwendungen aufzudecken.

 

Dieses Framework bietet eine Methodik für den Pentest von Webanwendungen, die dabei hilft, häufige Schwachstellen in Web- und Mobilanwendungen, aber auch komplizierte Logikfehler, die aus unsicheren Entwicklungspraktiken resultieren, aufzudecken.

 

PTES     - Penetration Testing Execution Standards

PTES oder Penetration Testing Execution Standards ist ein Pentest-Framework, das von einem Team von Informations-Sicherheitsexperten entwickelt wurde. Es hebt die am häufigsten empfohlene Schritt-für-Schritt-Methodik zur Strukturierung einer Sicherheitsanalyse hervor

 

 

Agile Project.jpg
shutterstock_1627409101.jpg

Unsere Methodik

shutterstock_1627409101.jpg

Um den Auftrag erfüllen zu können, wenden wir die folgende Methodik an, die auf jahrelanger Erfahrung und "try & fail" basiert. Einzelne Schritte sind:

  • Kick-off Meeting
  • Sammeln von qualifizierten Informationen
  • Identifizierung möglicher Einstiegspunkte
  • Manuelle und automatisierte Tests
  • Einbruchsversuche
  • Ausführen seitlicher Bewegungen
  • Detaillierter Ergebnisbericht
  • Fakultative Nachprüfung

 

Unsere Art von Tests

shutterstock_540164989 (1).jpg

Wir können die Tests auf drei verschiedenen Arten durchführen:

  • Blackbox: Wir haben im Voraus keine Informationen über die Ziele, die in den Prüfbereich fallen, ausser beispielsweise die Adressen oder Domainnnamen der Ziele.
  • Graue Box: Der Kunde liefert ein Minimum an Informationen, um den Auftrag zu beginnen. Dann kann er bei Bedarf weitere Informationen liefern, um tiefer zu gehen und nicht bei einem bestimmten Punkt stehen zu bleiben.
  • White Box: der Quellcode, vollständige Konfigurationsinformationen, Architekturdokumente usw. sind verfügbar.

Die grösste Problem besteht darin, das richtige Gleichgewicht zwischen der zugewiesenen Zeit und der Verfügbarkeit von Informationen zu finden. Das Ziel besteht darin, einen realen Angriff  in einem begrenztem Zeitraum so weit wie möglich durchzuführen, im Wissen, dass ein echter Angreifer beispielsweise mehrere Monate für die Aufklärungsphase zur Verfügung hätte. Aus diesem Grund empfehlen wir einen Grey/White-Box-Ansatz, um den Nutzen der Investition für den Kunden zu verbessern.

shutterstock_540164989 (1).jpg
ELCA Way of Working.jpg

Unsere Philosophie

ELCA Way of Working.jpg

Das Team ist bestrebt, dem Kunden gegenüber völlig transparent zu sein und einen qualitativ hochwertigen Bericht zu erstellen, der aus folgenden Elementen besteht:

 

Eine Zusammenfassung auf oberster Ebene, in der wir die Schwachstelle aus dem technischen in den geschäftlichen Kontext übertragen, um dem Management zu verdeutlichen, welche Folgen ein erfolgreicher Angriff haben kann.

 

Ein technischer Abschnitt, in dem die Schwachstellen pro Bereich in der Reihenfolge der Dringlichkeit ihrer Behebung aufgelistet sind. Für die Sortierung verwenden wir spezifische, leicht verständliche Kriterien an, die nicht nur den geschäftlichen. sondern auch den technischen Kontext berücksichtigen.

 

Alle Skripte, Befehlszeilen, Software usw., die zur Aufdeckung der Schwachstelle verwendet wurden, werden in dem Bericht detailliert beschrieben, damit der Kunde den Angriff selbst rekonstruieren kann.

 

Eine Zusammenfassung in der wir unsere Resultate für die Sicherheit der getesteten Ziele präsentieren.

Unser Mehrwert

shutterstock_1985502533.jpg

Bei dieser Art von Engagement lassen sich mehrere Mehrwerte erkennen. Unter anderem :

  • Geben Sie Ihre persönlichen Erfahrungen im Umgang mit einer Sicherheitsverletzung an
  • Aufdecken von Sicherheitsaspekten, die aus technologischer oder verfahrenstechnischer Sicht unzureichend sind
  • Aufdecken der am meisten gefährdeten Routen zu Ihren sensiblen Daten
shutterstock_1985502533.jpg
shutterstock_667819222.jpg

Vertrauen bedeutet Nähe

shutterstock_667819222.jpg

Da Vertrauen und Nähe eng miteinander verbunden sind, kann unser Team Sie mit einer hohen Verfügbarkeit in der ganzen Schweiz unterstützen. Da ELCA Security eine unabhängige schweizer Firma ist, können wir auch die Nähe zum Management gewährleisten.

Starten Sie Ihre Reise in die Cybersicherheit

shutterstock_1902760141.jpg

Cybersicherheit ist eine Investition mit langfristiger Perspektive, um künftige Probleme zu antizipieren und ihre Auswirkungen auf das Tagesgeschäft zu minimieren. Für die meisten Unternehmen ist es nicht möglich, grosse Summen in diesen Bereich zu investieren. Aus diesem Grund bietet ELCASecurity verschiedene Analysen an, um Ihnen einen ersten Schritt in die Welt der Cybersicherheit zu ermöglichen.

 

Dieses Vorgehen ist auf KMUs ausgerichtet, da ihnen in diesem Bereich meistens Ressourcen fehlen. Wir können mehrere Beratungsdienstleistungen anbieten, die diese entsprechend abdecken.

shutterstock_1902760141.jpg
Binoculars_128x128.png

Flash Risk Assessment

Hier verschaffen wir uns einen erster Überblick über den Stand Ihrer Cybersicherheit und geben erste strategische Empfehlungen ab.

Legal 128x128_0.png

Flash Compliance Assessment

Überprüfung der Einhaltung von nLPD, GDPR, ISO27K.

Shield 128x128.png

Flash Data Protection

Hier Prüfen wir, ob die verarbeiteten Daten mit den in der Schweiz geltenden Datenschutzgesetzen in Einklang stehen.

Flash 128x128.png

Flash Cyberdefense readiness

Vergewissern Sie sich, dass Ihre Defense-in-Depth-Strategie korrekt eingerichtet ist und fortgeschrittene Cyber-Angriffe erkennen und abwehren kann.

Search 128x128.png

Flash Discovery Pentest

Aufdecken von Schwachstellen in Ihrer Infrastruktur, die Ihr Unternehmen potentiell gefährden könnten.

 

Kontakt: Fabrice Guye
ELCAs Datenschutzerklärung.

Wenn Sie auf dieser Website weitersurfen, akzeptieren Sie die Nutzung von Cookies oder ähnlichen Technologien, welche die Erstellung von Zugriffstatistiken für unsere Website bezwecken (Tests und Messungen von Zielgruppen, Besuchen, Surfverhalten und Performance), die Ihnen aber auch gezielt auf Ihre Interessen abgestimmte Inhalte und Inserate anbieten.

Wir haben unsere Cookies aktualisiert. Bitte zögern Sie nicht, Ihre Präferenzen ebenfalls zu aktualisieren.

OK, alles annehmen Alles deaktivieren Konfigurieren
schließen
save

Ihre Cookie-Präferenzen setzen

Ihre Cookie-Präferenzen aktualisieren

Sie können sich über die Art der hinterlegten Cookies informieren, sie akzeptieren oder ablehnen, sei es für die gesamte Website und alle Services oder einzeln für jeden Service.

OK, alles annehmen

Alles deaktivieren

Besucherfluss

Diese cookies verschaffen uns Einblick in Traffic-Quellen und ermöglichen uns ein besseres, anonymisiertes Verständnis unserer Besucher.

(Google Analytics und CrazyEgg).

Neu

Freigabetools

Cookies von sozialen Medien erlauben ein Teilen von Inhalten in Ihren bevorzugten Netzen.

(ShareThis)

Neu

Verständnis der Besucher

Diese cookies werden verwendet, um Besucher über verschiedene Websites hinaus zu verfolgen.

Dadurch wollen wir relevantere, zielgerichtete Inhalte für bestehende Kontakte anbieten (ClickDimensions) und Inserate anzeigen können, die für die Benutzer nützlich und ansprechend sind (Facebook Pixels).

 

Neu
Weitere Angaben zu diesen Cookies und unserer Cookie-Richtlinie finden Sie hier.