Dies können Sie typischerweise erwarten bei unseren IT-Security-Audits, zum Beispiel bei einer Webanwendung:
- Analyse der derzeitigen technischen Schwachstellen
- Aufdecken konzeptioneller und administrativer Schwachpunkte
- Ggf. Eindringen (Penetration) bzw. Beweisen von Datenverlusten
Die Untersuchungen sollte am besten aus zwei Perspektiven stattfinden:
- von Außen, aus Sicht eines externen Angreifers vom Internet
- von Innen (aus der DMZ oder vom Rechner aus); Innentäterszenario oder um hinter die erste Verteidigungslinie zu schauen
Sie bekommen einen umfassenden, klar strukturierten und individuellen Report (/Vortrag) mit den
- aufgedeckten technischen, konzeptionellen u.a. Schwachstellen
- (ohne falsch-positiven Befunde, da sorgsam überprüft und ausgesiebt)
- eindeutigen Klassifizierungen der Schwachstellen
- Beurteilungen und Priorisierungen der daraus resultierenden Risiken
- Lösungsvorschläge zur Beseitigung identifizierter Sicherheitsprobleme
Der Security-Auditreport ist zweiteilig und wendet sich sowohl ans Management (
Executive Summary: Risiken fürs Geschäft) und natürlich an den technischen Experten (
Technical Summary, technische Details mit Erklärung des jeweiligen Problems und dessen Nachvollziehbarkeit).
Wir arbeiten mit einer Mischung von im Laufe der Zeit eigenentwickelter Werkzeuge,
unter Zuhilfenahme simpler bis komplexerer freier (OSS-) Tools sowie auch kommerzieller Programme.
Insbesondere ist derzeit für ein möglichst vollständiges Aufdecken von Eingabevalidierungsproblemen einer Webapplikation
der Einsatz kommerzieller Spezialwerkzeuge unvermeidbar.
Aus dem Vorgesagten ergibt sich zwangsläufigerweise schon, dass der Report manuell angefertigt wird
und zeitaufwändig ist. Dies ist notwendig, damit Sie optimale Voraussetzungen haben, um etwaige
nötige Schritte zur Verbesserung einzuleiten. (Ein bloßer Ausdruck eines Vulnerability-Scanners ist
wenig effektiv für Sie nutzbar, erfodert keinen Sicherheitsexperten und ist keine
Beratungsleistung.)
Weiterhin stehen wir Ihnen zur Verfügung:
- Beratung/Hilfe bei Beseitigung von Schwachpunkten
- Systemhärtung (z.B. Linux-, Solaris-Kernel, System-Dämonen, Permissions, Windows-Dienste usw.)
- Härtung involvierter Serveranwendungen (Apache, DB, DNS, ...)
- Einfache Webapplikationshärtungen (php.ini, webconfig, DB Connector, mod_security2, ...)
- Infrastrukturelle Maßnahmen (zentrales System-Logging, Systemzeit), ...
