atsec

The information security provider.
StartseiteSitemap
  • Dienstleistungen
  • Unternehmen
  • Aktuelles
  • Technische Informationen
  • Kontakt
English | 汉语

Compliance und Audits
ISO/IEC 27001
SOX/ESOX

Testen und Bewerten
Common Criteria
FIPS 140-2
Cryptographic Algorithm Testing
PCI QSA
PCI ASV
PCI PA-QSA
Sicherheits-Monitoring
Windows Security
Systemhärtung

Beraten und Ausbilden
Audits und Penetrationtests
Mainframe-Penetrationstests
Physical Security Audits
Datenschutz
Trainings und Weiterbildung

 zurück zur Liste der Services
 

Audits und Penetrationstests

atsecs Service

Auf Grund unserer langjährigen Erfahrung – insbesondere im Umgang mit internationalen Standards und anerkannten Testmethoden wie PCI DSS, ISO 27001, OSSTMM – haben unsere Sicherheitsexperten tiefgehende Kenntnisse in der Analyse und Bewertung des Sicherheitsniveaus von Systemen und Umgebungen. Dies ermöglicht es uns, nahezu jede Art von IT-System effizient zu analysieren und umfassend zu bewerten. In unserem Testansatz können individuell zusammengestellte Angriffsszenarien simuliert werden, die alle in der Praxis relevanten Angriffsmodelle nachbilden.

Sicherheitsaudits

  • Wir führen interne Prüfungen Ihrer Server, Applikationen, Netzwerk-/ Sicherheitskomponenten (Firewall, VPN, AAA, IDS/IPS, Switch, Router, …) und Arbeitsplatzrechner durch.
  • Unsere hervorragend ausgebildeten und zertifizierten Prüfer auditieren gegen Best-Practices, relevante Sicherheitsstandards (z.B. ISO 2700x, Grundschutzhandbuch, PCI DSS) und Ihre internen Richtlinien.
  • Im Rahmen von Desktop Audits prüfen wir Ihre Unterlagen auf Korrektheit und Vollständigkeit. Bei Bedarf werden fehlende Informationen durch Mitarbeiterinterviews erhoben und eventuelle Fragen geklärt.
  • In einem anschließenden System-Audit werden betroffene Systeme und Netzwerke durch technische Tests untersucht, um die Ergebnisse des Desktop-Audits zu verifizieren und weitergehende Informationen zu erlangen.
  • Für diese Tests nutzen wir spezielle und z.T. selbstentwickelte Sicherheitswerkzeuge.

Anwendungstests

  • Zusätzlich führen wir auf CC 3.1 VA (AVA_VAN.2) basierende Sicherheitstests von beliebigen Anwendungen innerhalb Ihrer IT-Infrastruktur durch.
  • Zur Identifizierung von möglichen Schwachstellen werden öffentlich verfügbare Informationsquellen und Designdokumentationen geprüft.
  • In einem ausführlichen Bericht werden die durchgeführten Tests und die jeweiligen Testergebnisse dokumentiert.

Web-Anwendungstests

  • Ähnlich wie bei den Anwendungstests führen wir Penetrationstests gegen Web-Anwendungen durch, um Schwachstellen, Konfigurationsfehler und Implementierungs­probleme aufzudecken.
  • Zur Reduzierung der Gesamtkosten können – sofern die Anwendung von außen zugreifbar ist – alle Tests auch remote durchgeführt werden.
  • Zusätzlich zu grundlegenden und mit Hilfe automatisierter Werkzeuge durchgeführter Tests führen wir manuelle Untersuchungen durch, die anwendungsspezifische Schwachstellen aufdecken.
  • Optional sind auch Quellcodeanalysen (für PCI DSS Anforderungen 6.6) und eine Bewertung der verwendeten Architektur und des Designs möglich.
  • Für ausgewählte Szenarien werden PoC Exploits entwickelt, um Entscheidungsträgern zu demonstrieren, dass Handlungsbedarf besteht.

Mainframe Penetration Testing

  • Mainframe Sicherheitsexperten sind extrem selten.
  • Unser CC Testlabor evaluierte z/OS mit RACF, z/VM und PR/SM seit V1R6.
  • Normalerweise beinhaltet ein Mainframe-Test ausschließlich das Scannen der IP-Schnittstellen.
  • Wir testen die Mainframe-Sicherheit direkt auf dem Host (z/OS und z/VM).
  • Zusätzlich testen wir alle Sicherheitskomponenten, OS Steuerelemente, Konfigurationen und Schnittstellen, die für die allgemeine Sicherheit der Systeme relevant sind.
  • Weitere Informationen zu Mainframe-Penetrationstests finden Sie hier.

Bericht und Schadensbegrenzungsplan

  • Nach Durchführung der Tests erhalten Sie von uns einen detaillierten Bericht, inklusive Management-Zusammenfassung, einer Liste aller Findings mit Risikoabschätzungen basierend auf einer herstellerunabhängigen Metrik (CVSS, Common Vulnerability Scoring System) und Vorschlägen zur Risikoverminderung.
  • Optional verwenden wir Ihre Firmenvorlage für den Bericht und präsentieren die Test­ergebnisse vor Ort.

Vor- und Nachbereitung

  • Auf Wunsch bieten wir Ihnen Betreuung bei der Vor- und Nachbereitung der Audits an.
  • Vorbereitende Maßnahmen können eine Bewertung Ihrer individuellen Anforderungen und die Identifizierung geeigneter Prüfmethoden und Zielsysteme umfassen.
  • Nachdem Sie Maßnahmen zur Reduzierung der Schwachstellen implementiert haben, werden wir gezielt verifizieren, dass die im zugrunde liegenden Audit identifizierten Schwachstellen nicht mehr vorhanden sind.

Pentester / Auditor Training

  • Wir bieten Workshops und Hands-On Trainings im Umfang von 1-3 Tagen an. Sie können zwischen einem all-round oder auf spezielle Themen ausgerichteten Training wählen.
  • Sie benötigen lediglich Laptops und einen Trainingsraum für die Teilnehmer. Unsere Trainer stellen Zielsysteme und -anwendungen, Linux-Images (vmware) mit Tools, Windows Toolset und Powerpoint Folien zur Verfügung.
  • Für kleine Arbeitsgruppen können wir Ihnen auch Trainingsräume in München und Köln zur Verfügung stellen.
  • Damit der Lerneffekt maximiert wird, vermittelt der Trainer ein Verständnis für die verwendeten Methoden und Techniken, die im Penetration Testing verwendet werden.

Warum dieser Service wichtig für Sie ist

Die externe Analyse eines Systems im Bezug auf Sicherheit kann Ihrem Unternehmen sowohl bei dem Erfüllen regulatorischer Auflagen, als auch bei der Erfüllung interner Auflagen dienlich sein. Durch unsere Erfahrung bei der Analyse komplexer IT-Systeme können wir Ihnen ein aktuelles Abbild des Sicherheitsstands ihres Systems liefern.

Weitere Informationen

Bitte beachten Sie unsere IT-Security-Ressourcen.

 

(c) 2010 atsec information security. | Impressum | Security Policy