atsec

The information security provider.
StartseiteSitemapBlog
  • Dienstleistungen
  • Unternehmen
  • Aktuelles
  • Technische Informationen
  • Kontakt
English | 汉语

Testen und Bewerten
Common Criteria
FIPS 140-2
Cryptographic Algorithm Testing
 Sicherheits-Monitoring
Windows Security
Systemhärtung

Compliance und Audits
ISO/IEC 27001
SOX/ESOX
NASPO

Beraten und Ausbilden
Audits und Penetrationtests
Mainframe-Penetrationstests
Datenschutz
Physical Security Audits
Trainings und Weiterbildung

 zurück zur Liste der Services
 

Mainframe-Penetrationstests

atsecs Service

atsec und Mainframes - natürliche Verbündete. Wir sind die Prüfstelle, die z/OS und andere Mainframe Anwendungen nach Common Criteria der Prüfstufen EAL4 und EAL5 evaluiert hat. Diese Evaluationen beinhalten detaillierte Untersuchungen der Sicherheitsfuntkionalität. Die Untersuchungen reichen von der Analyse des Designs bis hin zu der des Quellcodes. Teil der Prüfung sind unabhängige Tests der Sicherheitsfunktionalität. Weiterhin wird eine strukturierte Schwachstellenanalyse durchgeführt.

Unser Ansatz ist, das für Ihr Unternehmen sinnvollste Angriffsprofil festzustellen und erst danach gegebenenfalls den Penetrationstest durchzuführen. Hierzu verwenden wir einen vierstufigen Ansatz:

  1. Organisationsanalyse – wir analysieren das organisatorische und operationale Umfeld des Mainframe im Hinblick auf angewandte oder fehlende Sicherheitsregularien. Weiterhin legen wir in dieser Stufe, basierend auf den erlangten Erkenntnissen, das weitere Vorgehen und detaillierte Ziele fest.
  2. Systemaudit – zum tieferen Verständnis der Installation. Hier werden Möglichkeiten zur Penetration als auch potentielle Schwachstellen identifiziert.
  3. Penetrationstest – das Durchführen von manuellen und automatisierten Penetrationstests basierend auf den in den vorigen Stufen erlangten Erkenntnissen.
  4. Bewertung und Empfehlungen – eine abschließende Dokumentation und Bewertung der in den vorigen Stufen erlangten Erkenntnisse. Hierzu gehören Vorschläge, wie eventuelle Schwachstellen zu beseitigen bzw. in Zukunft zu verhindern sind.

Unser Vorgehen beim Penetrationstest

Wir analysieren die gebräuchlichen Schnittstellen, die einen Übergang vom „user state“ in den „system state“ der Maschine ermöglichen. Sobald dieser Übergang unauthorisiert und unter Kontrolle eines Angreifers geschieht, hat dieser alle Möglichkeiten das System zu übernehmen. Das Ziel ist, Proof-of-Concept Exploits zu entwickeln, welche Schwächen in den vom System bereitgestellten SVCs und PCs ausnutzen.

Die zu analysierenden SVCs und PCs sind entweder von der Installation oder von Drittanbietern installiert und bereitgestellt. Die von IBM bereitgestellten SVCs und PCs sind im Rahmen der z/OS Common Criteria Evaluation bereits analysiert worden.

atsec verwendet automatisierte Mechanismen, um die definitve Liste der auf dem System vorhandenen PCs festzustellen. Von diesen PCs werden die ausgewählt, die von nicht privilegierten Benutzern (nicht „APF authorized“, nicht „supervisor state“, nicht „system key“) aufgerufen werden können.

atsec verwendet manuelle und automatische Mechanismen um die SVCs und PCs auf unsichere Aspekte hin zu untersuchen. Diese Aspekte beinhalten das Erlangen zusätzlicher Privilegien und das Umgehen von Sicherheitsmechanismen. Die Typen von Schwachstellen, die dies ermöglichen können, sind unter anderem: Fehler in der Parameter Validierung, Fehler im Parameterschutz, Time-of-Check / Time-of-Use Fehler.

Schließlich entwickelt atsec Methoden, um die entdeckten potentiellen Schwachstellen demonstrativ auszunutzen. Dies geschieht, um die Schwachstelle klar zu demonstrieren und um bei der Behebung derselben zu unterstützen. Die Exploits verwenden Assembler, REXX, CLIST und vorhandene Werkzeuge. Die Entwicklung der Exploits ist zeitaufwändig und geschieht nur nach vorheriger Absprache.

Warum dieser Service wichtig für Sie ist

Die größte Bedrohung bzw.das größte Angriffpotential geht, wie in vielen Bedrohungsmodellen angenommen, von einem Insider aus. Auf Mainframes bedeutet der Angriff eines Insiders ein ernstes Problem. Durch ihre hohe Leistungsfähigkeit und Komplexität können sich auf Mainframes ungewollt fehlerhafte Konfigurationen ergeben, die einem (internen) Angreifer als Sprungbrett dienen können.
Die externe Analyse eines zentralen Systems in Bezug auf Sicherheit kann Ihrem Unternehmen sowohl bei dem Erfüllen regulatorischer Auflagen, als auch bei der Erfüllung interner Auflagen dienlich sein.
Durch unsere Erfahrung bei der Analyse komplexer IT-Systeme können wir Ihnen ein aktuelles Abbild des Sicherheitsstands ihres Mainframes liefern.

Weitere Informationen

Bitte beachten Sie unsere IT-Security-Ressourcen.

 

(c) 2012 atsec information security. | Impressum | Datenschutzhinweis | Umweltleitlinien | Security Policy |  atsec IT Security Blog atsecs Facebook-Seiten atsecs Twitter atsec auf LinkedIn atsec auf digg.com