SICHERHEITSANALYSEN UND PENETRATIONSTESTS
Schützen Sie Ihre Produkte und Ihr Unternehmen
Basierend auf internationalen Standards führen wir seit 2018 professionelle Penetrationstests und Sicherheitsanalysen durch und unterstützen unsere Kunden ihr Risikomanagement auf ein stabiles Fundament zu stellen.
Im Verlauf unserer Tätigkeit haben wir uns insbesondere auf netzwerkfähige Produkte, sowohl Hard- als auch Software, spezialisiert. Egal ob ein Produkt bereits am Markt oder noch in der Entwicklung ist, unterstützen wir den Entwicklungs- und Weiterentwicklungsprozess mit unserer Expertise.
Als Entwickler eigener Sicherheitssoftware wissen wir, wo die Probleme im Detail liegen und können gerade im Bereich kryptographischer Systeme unsere Kompetenz zur Verfügung stellen.
Sicherheit als Teil des Entwicklungs- und Produktmanagementprozesses umzusetzen, ist in der immer vernetzteren Welt ein wichtiger Punkt anpassungsfähige Produkte zu schaffen, um so auch auf die Herausforderungen von morgen dynamisch reagieren zu können.
Die Durchführung einer Sicherheitsanalyse ist ein sehr auf die speziellen Anforderungen des einzelnen Kunden angepasster Prozess. Grundlage aller Analysen ist ein strukturiertes Vorgehen, wobei Umfang und Grenzen der Untersuchung zu Beginn jeden Projektes mit dem Kunden individuell festgelegt werden.
Dabei gehen unsere Sicherheitsüberprüfungen weit über die Durchführung automatisierter Schwachstellenscans hinaus: Individuelle Protokollanalyse, Erstellung spezieller Werkzeuge für passive und aktive Eingriffe in Datenstrukturen, aber auch Quellcode-Analyse von Softwarekomponenten und vieles weitere sind Teil dieses Prozesses.
Verschiedene Angriffsszenarien werden hierbei durchgespielt und auch die Betrachtung von Risiken, die von wissend oder unwissend agierenden Innentätern ausgehen, werden berücksichtigt.
Im ersten Schritt wird Art und Umfang der Analyse definiert. Ebenso werden Grenzen und No-Go-Bereiche festgelegt.
Die Untersuchung kann als Whitebox-, Greybox- oder Blackbox-Test durchgeführt werden, die sich im Wesentlichen darin unterscheiden, wie viele Informationen vor dem Test über das zu testende System ausgetauscht werden.
In diesem Schritt werden Informationen über die Funktionsweise und integrierten Prozesse des zu testenden Systems gesammelt.
Je nach Art und Weise des Tests (Whitebox, Greybox oder Blackbox) werden im Lauf dieser Phase weitere Informationen abgefragt.
Hier werden auf Basis der erarbeiteten Informationen Bedrohungsszenarien formuliert.
Sowohl aktive als auch passive Angriffsmöglichkeiten und Verwundbarkeiten werden in Betracht gezogen.
Auf Basis der bisher erarbeiteten Daten werden die Bedrohungsszenarien auf Validität geprüft, konkrete Angriffsvektoren formuliert und vorbereitet. Zum Beispiel durch die Erstellung individueller Werkzeuge.
In diesem Schritt werden die bis zu diesem Zeitpunkt erarbeiteten Informationen und Werkzeuge dazu eingesetzt konkrete Schwachstellen auszunutzen.
Angriffe auf Sicherheitssysteme beschränken sich meist nicht auf die Ausnutzung einzelner Schwachstellen. Oft werden mehrere Verwundbarkeiten in Kombination oder in Serie genutzt, um Systeme zu kompromittieren.
Das Ziel dieses Schrittes ist es die Auswirkungen der gefundenen Schwachstellen zu analysieren und Eskalationspotentiale zu finden, die von Angreifern in ihrem weiteren Vorgehen genutzt werden können.
Abschließend werden die erarbeiteten Kenntnisse über Schwachstellen, den daraus resultierenden Risiken und potentielle Auswirkungen in einem Bericht zusammengefasst und gemeinsam besprochen.
Teil des Berichts sind auch Vorschläge, wie die gefundenen Schwachstellen beseitigt werden können.
Gerne unterstützen wir Sie auch mit einer Nachüberprüfung sobald Änderungen durchgeführt wurden.
Immer mehr Sicherheitsvorfälle haben ihren Ursprung im Inneren der betroffenen Unternehmen. Um sich gegen diese Bedrohungen zu schützen, die auch von unwissend agierenden Akteuren ausgehen können, ist es unabdinglich Systeme entsprechend zu gestalten. Als ein Beispiel sei hier das Einhalten des „Prinzips der minimalen Privilegien“ genannt.
Sicherheitsüberprüfungen, die lediglich externe Sicherheit im Fokus haben, sind hier nicht ausreichend. Gerade die oft angebotenen Schwachstellenscans erfüllen diese Anforderungen meist nicht.
Die SDT-Solutions GmbH hat sich unter anderem auf die Risikoanalyse dieser internen Gefahren spezialisiert, die durch Personen entstehen, die legitim Zugriff auf entsprechende Prozesse besitzen und betrachtet bei Sicherheitsanalysen nicht nur den „Perimeterschutz“ von Systemen.
Überprüfung möglicher Privilegieneskalation, Übertragbarkeit von Sicherheitsmerkmalen, Autorisierungssysteme, Implementierung einer Ende-zu-Ende-Verschlüsselung sind nur einige der wichtigen Punkte, die von uns in einem modellierten Angriff berücksichtigt werden.
Sicherheit als Prozess zu betrachten ist ein wichtiger Aspekt bei der Entwicklung von Produkten. So können diese bei sich ändernden Anforderungen einfacher angepasst und weiterentwickelt oder auch gegen neu auftretende Risiken gehärtet werden.
Zu späterem Zeitpunkt hinzugefügte Sicherheitsmechanismen führen im Gegensatz dazu, dass es bei der Weiterentwicklung oder Anpassung von Produkten zu ungewollten Wechselwirkungen zwischen den unterschiedlichen Systematiken kommen kann. Es besteht so die Gefahr unflexible und nur schwer wartbare Software zu entwickeln.
Um das Ziel „Sicherheit als Prozess“ umzusetzen und somit zukunftsfähige Software zu entwickeln, ist der Einsatz kryptographischer Systeme ein notwendiges Werkzeug. Dies erfordert entsprechendes Spezialwissen, da vermeintliche Kleinigkeiten große Auswirkungen haben können.
Ein Beispiel: Ein Initialisierungsvektor, der beim Verschlüsseln von Daten in einer AES-CBC-Chiffre eingesetzt wird, kann öffentlich und im Klartext übetragen werden, ohne dass dies Auswirkungen auf die Sicherheit des Verschlüsselungssystems hat.
Sollte er allerdings für einen Angreifer vorhersehbar sein, ist die Integrität der benutzten Chiffre kompromittiert und es können mit Hilfe eines sogenannten Chosen-Plaintext Angriffs Rückschlüsse auf zuvor oder zukünftig verschlüsselte Daten gezogen werden.
Aus diesem Grund ist es wichtig einen Partner zu haben, der die Kompetenz besitzt die fachgerechte Implementierung kryptographischer Systeme zu bewerten und Risiken zu analysieren. Die SDT-Solutions GmbH ist in diesem Feld mit Mathematikern und Informatikern im Team gut aufgestellt.