Penetration Testing

Bringen Sie Ihre IT-Sicherheit auf das nächste Level

Arbeiten Sie mit Atos Hackern zusammen, um die Sicherheit Ihres Unternehmens zu stärken

bluedash

Wir bewegen uns mit großen Schritten in die digitale Zukunft. Sensible Daten werden heute in der Cloud gespeichert, Arbeitsplätze sind über Active Directory miteinander verbunden, Gäste, die in Ihr Büro kommen, haben ihren eigenen Wi-Fi-Zugang. Vielleicht haben Sie sogar eine intelligente Kaffeemaschine an Ihr Netzwerk angeschlossen? Während die digitale Vernetzung uns zahlreiche Möglichkeiten eröffnet, flexibel und agil zu sein, entsteht mit ihr auch ein ganz neues Sicherheitsbedürfnis.

IT-Sicherheit bietet ein breites Spektrum an zahlreichen Produkten und Dienstleistungen, die schnell zu Verwirrung führen. Um hierbei Klarheit zu schaffen, ist es hilfreich, zwischen defensiver und offensiver IT-Sicherheit zu unterscheiden. Defensive Maßnahmen umfassen z.B. Ihr Virenschutzprogramm, Ihre Sicherheitsrichtlinien und vielleicht sogar ein internes Team, das sich dem Schutz Ihrer Daten und Mitarbeiter widmet. All das ist wichtig, deckt allerdings längst nicht die gesamte Bandbreite dessen ab, was für die Sicherheit Ihrer Daten und Ihres Unternehmens maßgebend ist.

Hier kommt die offensive IT-Sicherheit ins Spiel, insbesondere Penetration Tests, welche als Angriffs-Simulation zu verstehen sind. Das Atos Penetration Testing Team setzt sich aus Hackern zusammen, die ihr technisches Wissen und ihre Erfahrungen dazu nutzen, durch gezielte Angriffstechniken die Schwachstellen Ihrer Systeme zu identifizieren, bevor ein böswilliger Angreifer diese ausnutzen kann, um Ihrem Unternehmen Schaden zuzufügen. Unsere Kernkompetenzen als IT-Sicherheits-Experten ermöglichen es uns, aus Sicht der Angreifer zu denken und in verschiedenen Rollen zu agieren.

Dabei beschränken wir uns nicht nur auf digitale Lösungen, sondern beziehen auch Ihre Mitarbeiter ein. Social Engineering durch z.B. Phishing-Kampagnen, physische Sicherheitsüberprüfungen oder auch sogenannte “Red Team Exercises”, die Ihr Sicherheitslevel in seiner Gesamtheit überprüfen. Ein maßgeschneiderter Test mit Schwerpunkt auf das Hacken Ihrer Webseite ist nur eines von vielen Beispielen, wie Sie unseren unten aufgeführten Produkten entnehmen können. Kontaktieren Sie uns gerne, um den für Sie und Ihr Unternehmen passenden Penetration Test zu finden.

Bei allen angebotenen Penetration Test Modulen streben wir nach technischer Exzellenz und bleiben so nah wie möglich an einem realistischen Szenario eines böswilligen Angriffs. In diesem Prozess verwenden wir nur bis zu einem gewissen Grad automatisierte Tools. Ein tatsächlicher Angreifer wird sich von deren Scheitern nicht so leicht abschrecken lassen, also tun wir das auch nicht!

Übersicht unserer Leistungen

Web Applikationen

Web Applikationen sind als Aushängeschild Ihres Unternehmens zu verstehen und können eine große Gefahr für Integrität, Erreichbarkeit und Vertraulichkeit darstellen, wenn Schwachstellen bestehen. Die Applikationen werden aus der Benutzerperspektive auf ihre Sicherheit hin getestet. Hierbei wird, je nach Wunsch, sowohl die Blackbox-Sicht (Das Team gewinnt alle Informationen selbst) als auch die Whitebox-Sicht (der Auftraggeber stellt Informationen wie bspw. ein Login zur Verfügung) geprüft. Es werden Sicherheitslücken gesucht, die auf der eingesetzten Software, ihrer Konfiguration und der Applikationslogik beruhen. Hierbei können externe und interne Applikationen gleichermaßen geprüft werden, um alle möglichen Angriffsszenarien zu erfassen.

Mobile Applikationen

Mobile Applikationen werden auf ihre Sicherheit getestet um Schwachstellen, die die Integrität, Vertraulichkeit und Verfügbarkeit verletzen können, aufzudecken. Hierbei wird die Mobile App selbst, inklusive der klassischen Backend-Kommunikation getestet. Die manuellen Tests werden durch den Einsatz von automatisierten Tools unterstützt. Hauptaugenmerk, neben der Überprüfung der OWASP Top 10 Mobile Schwachstellen, liegt im umgesetzten Rollen- und Rechtemodell.

Produktsicherheitsaudits

Im Rahmen eines SDLC (Secure Software Development Livecycle) führt Atos zusammen mit dem Projektteam Assessment Meetings durch, um den Reifegrad der Anwendung bzw. der Systeme zu ermitteln. Hierfür werden State of the Art-Standards auf Basis von OWASP und dem BSI Grundschutz verwendet. Darauf aufgesetzte Check­listen, welche die Anwendung bzw. das System hinsichtlich Sicherheitskomponenten und darin enthaltenen Sicherheitsfunktionen (z.B. eines Kryptomodul, der sicheren Kommunikation, der Ein‑ / Ausgabevalidierung, der Authentisierung, …) zeiteffizient bewerten und einstufen.

Anhand dieses Vorgehens lassen sich potentielle Schwachstellen in Anwendungen bzw. Systemen frühzeitig finden und durch entsprechende Maßnahmen beheben. Der Kunde muss dazu weder Zugangsdaten zum System noch den oft gehüteten SourceCode an Atos geben und kann individuell anhand seiner Präferenzen und gesetzten Schwerpunkte zum Thema IT-Security selbst die für ihn passenden Sicherheitskomponenten als Gegenstand für Assessments wählen.

Weitere Kompetenzen

Unser Team verfügt über Kompetenzen, die es ermöglichen, jegliche Art von Applikation zu testen, sodass die oben genannten Module nur ein Beispiel unseres Produktkataloges sind. Kontaktieren Sie uns gerne, wenn Sie mehr über weitere Möglichkeiten und Optionen von Penetration Tests erhalten möchten oder sich für ein genaues Angebot interessieren.

LAN/Active Directory

Ein Hacker hat viele Möglichkeiten, Zugriff zu Ihrem internen Netzwerk zu erhalten; diese können z.B. über Social Engineering Attacken auf Ihre Mitarbeiter oder durch interne Angreifer initiiert werden (beachten Sie für weitere Informationen dazu unsere Perimeter Module). Es ist demnach wichtig, Systeme in lokalen Netzen auf konkrete Sicherheitsschwächen hin zu prüfen und die von ihnen ausgehenden Risiken zu identifizieren, um einem böswilligen Angreifer nicht die Möglichkeit zu geben, sich innerhalb des Netzwerkes weiter zu bewegen. Dieses beinhaltet zum Beispiel einen Penetration Test Ihrer Active Directory Landschaft.

SAP Systeme

Atos testet komplexe SAP-Systeme auf ihre IT-Sicherheit. Über einen teilautomatisierten Ansatz prüfen wir mit bewährten Tools Ihre Stacks (z.B. ABAP, HANA, JAVA, …). Es können z.B. Schwachstellen hinsichtlich Berechtigungsmanagement, OS-Sicherheit, Logging und Analyse, sicherer Programmierung, Patch Management, Datenbanken, Schnittstellen und Systemhärtung aufgedeckt werden.

Cloud

Cloud-gehostete Umgebungen werden auf ihre Konfiguration geprüft. Das geschieht anhand zur Verfügung gestellter Accounts bei einem Cloud Provider. Es wird nach Schwachstellen in der Konfiguration von Nutzern und Services/Applikationen gesucht. Hierbei sind jedoch nicht die Applikationen oder die Services selber Untersuchungsgegenstand. Je nach Wunsch kann ein solcher Test mit verschiedenen Nutzern und Rollen ausgeweitet werden.

Weitere Kompetenzen

Die oben genannten Module sind nur eine Auswahl unserer beliebtesten Produkte, wir haben weitere Kompetenzen in den folgenden Bereichen: Citrix Systeme, Firewall, WLAN, Office 365, SMGW, VoIP, OS und Container Images. Sprechen Sie uns gerne an, um weitere Informationen zu diesen Modulen zu erhalten.

Internet

Systeme des Unternehmens im Internet werden auf konkrete Sicherheitsschwächen hin geprüft und die daraus hervorgehenden Risiken bewertet. Das Team untersucht über Portscans und Fingerprinting-Methoden die Betriebssysteme und erreichbaren Dienste. Zu Beginn werden automatisierte Tests auf vorhandene Schwachstellen durchgeführt. Die Ergebnisse dieser Tests werden dann darauffolgend manuell überprüft, um Sicherheitslücken zu identifizieren und zu verifizieren.

Information Gathering

Als Perimeter wird die Gesamtheit aller ITK-Netze und ITK-Systeme eines Unternehmens bezeichnet, die vom Internet aus erreichbar sind. Ziel dieses Moduls ist es, eine Übersicht all dieser Informationen zu erhalten und einzuschätzen, wie diese in einem Angriff verwendet werden könnten. Hierbei wird eine Liste von Netzen und Netzzugangsadressen erstellt, die dem Unternehmen zuzuordnen sind. Dabei sollen zusätzlich eventuelle Fehler in der Zuordnung aufgedeckt werden. Zudem umfasst das Information Gathering Modul jegliche Art von Information die über Ihr Unternehmen via OSINT (open-source intelligence) gesammelt und für einen böswilligen Angriff genutzt werden können – z.B. vertrauliche Dokumente, die öffentlich erreichbar sind.

Social Engineering

Social Engineering beschreibt den Angriff auf eine der wichtigsten und größten Schwachstellen jedes Unternehmens: die Mitarbeiter. Durch verschiedene Angriffsszenarien wird hierbei das Sicherheitsbewusstsein dieser auf die Probe gestellt. Dieses kann z.B. über sogenannte Phishing Kampagnen getestet werden. Ein Beispiel für einen solchen Angriff ist die sogenannte „Credential harvest spear-phishing attack”, eine Ausprägung eines Phishing-Angriffs, die eine vorab definierte Zielgruppe mit dem Ziel der Erbeutung von Nutzer-Zugangsdaten attackiert.

Weitere Kompetenzen

Unter das Modul Perimeter fällt all das, was von außen angegriffen werden kann. Hierbei kann außer Applikationen, Systemen und Ihren Mitarbeitern sogar die Sicherheit Ihres Gebäudes überprüft werden. Kontaktieren Sie uns gerne, um über die vielen Möglichkeiten von Perimeter Penetration Tests zu sprechen.

Die oben aufgeführten Module sind eine Auswahl unseres Produktkataloges. Hierbei ist zu beachten, dass häufig ein auf Sie und Ihr Unternehmen maßgeschneiderter Test die bestmöglichen Resultate liefert. Da, so wie jedes Unternehmen, auch jede IT-Landschaft unterschiedlich ist und verschiedenste Komponenten im Fokus stehen, werden hierbei oft mehrere Module miteinander kombiniert. Gerne schauen wir uns gemeinsam mit Ihnen alle Möglichkeiten an, definieren die kritischen Systeme und Schnittstellen, um sicherzustellen, dass unsere Unterstützung die bestmöglichen Ergebnisse liefert und wir Ihre IT-Sicherheit gemeinsam auf ein höheres Level bringen können.

Darüber hinaus gibt es die Möglichkeit, durch eine sogenannte „Red Team Exercise“ alle für Ihr Unternehmen relevanten Punkte dynamisch zu kombinieren. Dieses beginnt immer mit Modulen aus der Perimeter Kategorie, wie z.B. einer Social Engineering Attacke auf einer Ihrer Mitarbeiter oder dem Versuch, unerlaubten Zugriff zu Ihrem Gebäude und somit einem Rechner im internen Netzwerk zu erhalten. Hierbei ergibt sich die größte Nähe zu einem tatsächlichen Angreifer. Kontaktieren Sie uns gerne, um mit uns über diese Art der Angriffssimulation zu sprechen.

Atos in Cyber Security

Atos‘ Digital Vision for Cyber Security

14

Security Operations Centers worldwide

125 million

Security events managed every hour
Atos- Unify Circuit

5000 +

Security professionals in Atos globally

Haben wir Ihr Interesse geweckt?

Schreiben Sie uns gerne, um individuelle Beratung und ein für Sie und Ihr Unternehmen passendes Angebot zu erhalten.