Loading
StartseiteNews und VeranstaltungenExpertenberichteWarten Sie nicht auf die Attacke, sondern antizipieren Sie diese
Warten Sie nicht auf die Attacke, sondern antizipieren Sie diese
Angesichts zunehmender Cyberangriffe ist es wichtiger denn je, dass Ihre Dienste angemessen geschützt sind.
Unsere neue Abteilung für Offensive Sicherheit, die aus Sicherheitsexperten mit umfangreicher Erfahrung im Bereich Sicherheit besteht, kann Sie bei der Durchführung von Penetration-Tests für Ihre sensiblen Ressourcen unterstützen und die zu behebenden Schwachstellen ermitteln.
Unser Ansatz
Wir haben unseren Ansatz auf verschiedene bekannte Vorgehensweisen gestützt:
OWASP - Open Web Application Security Project
Für alle Arten der Anwendungssicherheit ist das Open Web Application Security Project (OWASP) eines der anerkanntesten Frameworks. Diese von einer erfahrenen Gemeinschaft entwickelte Methodik hat vielen Organisationen geholfen, Schwachstellen in Anwendungen aufzudecken.
Dieses Framework bietet eine Methodik für den Pentest von Webanwendungen, die dabei hilft, häufige Schwachstellen in Web- und Mobilanwendungen, aber auch komplizierte Logikfehler, die aus unsicheren Entwicklungspraktiken resultieren, aufzudecken.
PTES - Penetration Testing Execution Standards
PTES oder Penetration Testing Execution Standards ist ein Pentest-Framework, das von einem Team von Informations-Sicherheitsexperten entwickelt wurde. Es hebt die am häufigsten empfohlene Schritt-für-Schritt-Methodik zur Strukturierung einer Sicherheitsanalyse hervor
Unsere Methodik
Um den Auftrag erfüllen zu können, wenden wir die folgende Methodik an, die auf jahrelanger Erfahrung und "try & fail" basiert. Einzelne Schritte sind:
- Kick-off Meeting
- Sammeln von qualifizierten Informationen
- Identifizierung möglicher Einstiegspunkte
- Manuelle und automatisierte Tests
- Einbruchsversuche
- Ausführen seitlicher Bewegungen
- Detaillierter Ergebnisbericht
- Fakultative Nachprüfung
Unsere Art von Tests
Wir können die Tests auf drei verschiedenen Arten durchführen:
- Blackbox: Wir haben im Voraus keine Informationen über die Ziele, die in den Prüfbereich fallen, ausser beispielsweise die Adressen oder Domainnnamen der Ziele.
- Graue Box: Der Kunde liefert ein Minimum an Informationen, um den Auftrag zu beginnen. Dann kann er bei Bedarf weitere Informationen liefern, um tiefer zu gehen und nicht bei einem bestimmten Punkt stehen zu bleiben.
- White Box: der Quellcode, vollständige Konfigurationsinformationen, Architekturdokumente usw. sind verfügbar.
Die grösste Problem besteht darin, das richtige Gleichgewicht zwischen der zugewiesenen Zeit und der Verfügbarkeit von Informationen zu finden. Das Ziel besteht darin, einen realen Angriff in einem begrenztem Zeitraum so weit wie möglich durchzuführen, im Wissen, dass ein echter Angreifer beispielsweise mehrere Monate für die Aufklärungsphase zur Verfügung hätte. Aus diesem Grund empfehlen wir einen Grey/White-Box-Ansatz, um den Nutzen der Investition für den Kunden zu verbessern.
Unsere Philosophie
Das Team ist bestrebt, dem Kunden gegenüber völlig transparent zu sein und einen qualitativ hochwertigen Bericht zu erstellen, der aus folgenden Elementen besteht:
Eine Zusammenfassung auf oberster Ebene, in der wir die Schwachstelle aus dem technischen in den geschäftlichen Kontext übertragen, um dem Management zu verdeutlichen, welche Folgen ein erfolgreicher Angriff haben kann.
Ein technischer Abschnitt, in dem die Schwachstellen pro Bereich in der Reihenfolge der Dringlichkeit ihrer Behebung aufgelistet sind. Für die Sortierung verwenden wir spezifische, leicht verständliche Kriterien an, die nicht nur den geschäftlichen. sondern auch den technischen Kontext berücksichtigen.
Alle Skripte, Befehlszeilen, Software usw., die zur Aufdeckung der Schwachstelle verwendet wurden, werden in dem Bericht detailliert beschrieben, damit der Kunde den Angriff selbst rekonstruieren kann.
Eine Zusammenfassung in der wir unsere Resultate für die Sicherheit der getesteten Ziele präsentieren.
Unser Mehrwert
Bei dieser Art von Engagement lassen sich mehrere Mehrwerte erkennen. Unter anderem :
- Geben Sie Ihre persönlichen Erfahrungen im Umgang mit einer Sicherheitsverletzung an
- Aufdecken von Sicherheitsaspekten, die aus technologischer oder verfahrenstechnischer Sicht unzureichend sind
- Aufdecken der am meisten gefährdeten Routen zu Ihren sensiblen Daten
Vertrauen bedeutet Nähe
Da Vertrauen und Nähe eng miteinander verbunden sind, kann unser Team Sie mit einer hohen Verfügbarkeit in der ganzen Schweiz unterstützen. Da ELCA Security eine unabhängige schweizer Firma ist, können wir auch die Nähe zum Management gewährleisten.
Starten Sie Ihre Reise in die Cybersicherheit
Cybersicherheit ist eine Investition mit langfristiger Perspektive, um künftige Probleme zu antizipieren und ihre Auswirkungen auf das Tagesgeschäft zu minimieren. Für die meisten Unternehmen ist es nicht möglich, grosse Summen in diesen Bereich zu investieren. Aus diesem Grund bietet ELCASecurity verschiedene Analysen an, um Ihnen einen ersten Schritt in die Welt der Cybersicherheit zu ermöglichen.
Dieses Vorgehen ist auf KMUs ausgerichtet, da ihnen in diesem Bereich meistens Ressourcen fehlen. Wir können mehrere Beratungsdienstleistungen anbieten, die diese entsprechend abdecken:
Kontakt zu unserem Experten
Fabrice GUYE
Vizepräsident ELCASecurity
Lernen Sie Fabrice GUYE kennen, unseren Vizepräsident bei ELCA Security. Kontaktieren Sie Fabrice, um zu besprechen, wie er Ihre Cybersicherheitsinitiativen vorantreiben kann.