Warten Sie nicht auf die Attacke, sondern antizipieren Sie diese

Unsere neue Abteilung für Offensive Sicherheit, die aus Sicherheitsexperten mit umfangreicher Erfahrung im Bereich Sicherheit besteht, kann Sie bei der Durchführung von Penetration-Tests für Ihre sensiblen Ressourcen unterstützen und die zu behebenden Schwachstellen ermitteln.

Wir haben unseren Ansatz auf verschiedene bekannte Vorgehensweisen gestützt:

OWASP - Open Web Application Security Project

Für alle Arten der Anwendungssicherheit ist das Open Web Application Security Project (OWASP) eines der anerkanntesten Frameworks. Diese von einer erfahrenen Gemeinschaft entwickelte Methodik hat vielen Organisationen geholfen, Schwachstellen in Anwendungen aufzudecken.

Dieses Framework bietet eine Methodik für den Pentest von Webanwendungen, die dabei hilft, häufige Schwachstellen in Web- und Mobilanwendungen, aber auch komplizierte Logikfehler, die aus unsicheren Entwicklungspraktiken resultieren, aufzudecken.

PTES     - Penetration Testing Execution Standards

PTES oder Penetration Testing Execution Standards ist ein Pentest-Framework, das von einem Team von Informations-Sicherheitsexperten entwickelt wurde. Es hebt die am häufigsten empfohlene Schritt-für-Schritt-Methodik zur Strukturierung einer Sicherheitsanalyse hervor

Um den Auftrag erfüllen zu können, wenden wir die folgende Methodik an, die auf jahrelanger Erfahrung und "try & fail" basiert. Einzelne Schritte sind:

• Kick-off Meeting
   
• Sammeln von qualifizierten Informationen
   
• Identifizierung möglicher Einstiegspunkte
   
• Manuelle und automatisierte Tests
   
• Einbruchsversuche
   
• Ausführen seitlicher Bewegungen
   
• Detaillierter Ergebnisbericht
   
• Fakultative Nachprüfung

Wir können die Tests auf drei verschiedenen Arten durchführen:

• Blackbox: Wir haben im Voraus keine Informationen über die Ziele, die in den Prüfbereich fallen, ausser beispielsweise die Adressen oder Domainnnamen der Ziele.
   
• Graue Box: Der Kunde liefert ein Minimum an Informationen, um den Auftrag zu beginnen. Dann kann er bei Bedarf weitere Informationen liefern, um tiefer zu gehen und nicht bei einem bestimmten Punkt stehen zu bleiben.
   
• White Box: der Quellcode, vollständige Konfigurationsinformationen, Architekturdokumente usw. sind verfügbar.

Die grösste Problem besteht darin, das richtige Gleichgewicht zwischen der zugewiesenen Zeit und der Verfügbarkeit von Informationen zu finden. Das Ziel besteht darin, einen realen Angriff  in einem begrenztem Zeitraum so weit wie möglich durchzuführen, im Wissen, dass ein echter Angreifer beispielsweise mehrere Monate für die Aufklärungsphase zur Verfügung hätte. Aus diesem Grund empfehlen wir einen Grey/White-Box-Ansatz, um den Nutzen der Investition für den Kunden zu verbessern.

Das Team ist bestrebt, dem Kunden gegenüber völlig transparent zu sein und einen qualitativ hochwertigen Bericht zu erstellen, der aus folgenden Elementen besteht:

Eine Zusammenfassung auf oberster Ebene, in der wir die Schwachstelle aus dem technischen in den geschäftlichen Kontext übertragen, um dem Management zu verdeutlichen, welche Folgen ein erfolgreicher Angriff haben kann.

Ein technischer Abschnitt, in dem die Schwachstellen pro Bereich in der Reihenfolge der Dringlichkeit ihrer Behebung aufgelistet sind. Für die Sortierung verwenden wir spezifische, leicht verständliche Kriterien an, die nicht nur den geschäftlichen. sondern auch den technischen Kontext berücksichtigen.

Alle Skripte, Befehlszeilen, Software usw., die zur Aufdeckung der Schwachstelle verwendet wurden, werden in dem Bericht detailliert beschrieben, damit der Kunde den Angriff selbst rekonstruieren kann.

Eine Zusammenfassung in der wir unsere Resultate für die Sicherheit der getesteten Ziele präsentieren.

Bei dieser Art von Engagement lassen sich mehrere Mehrwerte erkennen. Unter anderem :

• Geben Sie Ihre persönlichen Erfahrungen im Umgang mit einer Sicherheitsverletzung an
   
• Aufdecken von Sicherheitsaspekten, die aus technologischer oder verfahrenstechnischer Sicht unzureichend sind
   
• Aufdecken der am meisten gefährdeten Routen zu Ihren sensiblen Daten

Da Vertrauen und Nähe eng miteinander verbunden sind, kann unser Team Sie mit einer hohen Verfügbarkeit in der ganzen Schweiz unterstützen. Da ELCA Security eine unabhängige schweizer Firma ist, können wir auch die Nähe zum Management gewährleisten.

Cybersicherheit ist eine Investition mit langfristiger Perspektive, um künftige Probleme zu antizipieren und ihre Auswirkungen auf das Tagesgeschäft zu minimieren. Für die meisten Unternehmen ist es nicht möglich, grosse Summen in diesen Bereich zu investieren. Aus diesem Grund bietet ELCASecurity verschiedene Analysen an, um Ihnen einen ersten Schritt in die Welt der Cybersicherheit zu ermöglichen.