Security Audit
 
Consulting
 
Emergency Response
 
Computer Forensics
 
Training & Coaching
 
Security as a Service
Home
|
Dienstleistungen
|
Security Audit
Training

TRAINING & COACHING

Profitieren Sie von unserem Know-how: ISECOM OPST, OPSA und OPSE-Zertifizierungskurse, Practical Security Scanning-Kurse, Security Awareness-Schulungen und zielgruppengerechtes Coaching. mehr

Security Audit

(Strukturierte) Sicherheitsüberprüfung des Untersuchungsobjekts mit dem Ziel, Schwachstellen aufzuspüren, das Sicherheitsniveau zu ermitteln und Gegenmassnahmen aufzuzeigen.

Security Audits lassen sich beispielsweise unterscheiden hinsichtlich:

  • Untersuchungsobjekt
  • Fokus
  • Methode
  • Angriffstechnik
  • Angriffsvektor
  • Testtiefe

Konzeptionelle Security Audits

Bei konzeptionellen Security Audits wird üblicherweise der Checklisten- bzw. Fragebogen-basierte Ansatz verfolgt. Dabei werden Sicherheitslücken und Schwachstellen mittels Interviews, Dokumentenstudium, Workshops und Gap-Analysen erkannt. In diese Kategorie fallen konzeptionelle Sicherheitsüberprüfungen nach BSI-Standard 100-1/4 (Nachfolger des IT GSHB) oder ISO/IEC 270XX und beispielsweise PCI DSS-, SOX- und Basel II-Compliance Tests.

Social Engineering

Ein Social Engineering Audit überprüft die Security Awareness der Mitarbeiter mittels Vortäuschen falscher Tatsachen oder Ausnutzen menschlicher Schwächen. Dabei werden nur legale Aktivitäten in Betracht gezogen und ethische Grundsätze berücksichtigt, um Sicherheitslücken aufzudecken. Am Ende des Projekts werden die erzielten Ergebnisse und empfohlene Gegenmassnahmen zur Schliessung aufgedeckter Lücken umfassend dokumentiert.

Technische Security Audits

Bei technischen Security Audits kommen spezialisierte Programme wie beispielsweise Port- und Security-Scanner, Test-Malware und Debugger zum Einsatz. Wir bieten folgende technischen Testtypen an:

  • Security Scan: Automatisierte Sicherheitsüberprüfung mit manueller Verifikation der Sicherheitslücken
  • Penetration Test: Gründliche Sicherheitsüberprüfung mit hohem manuellen Test- und Verifikationsanteil
  • (Web) Application Security Audit: Gründliche Sicherheitsüberprüfung einer Applikation und der zugehörigen Komponenten
  • Ethical Hacking: «Proof of Concept»-Auftragshacking

System Hardening

Selbstverständlich unterstützen wir unsere Kunden auf Wunsch auch kompetent bei der Systemhärtung (z.B. mittels Security Patches, Konfigurationsänderungen oder Kernel-Modifikationen).

Auswahlhilfen

Es folgen einige Hilfestellungen für die Auswahl des geeigneten Testtyps:

  • Vollständigkeit
    • Flächendeckende, systematische Suche nach allen technischen Sicherheitslücken: Security Scan, Penetration Test und Application Security Audit
    • Suche nach Sicherheitslücken bis eine gefunden wird, welche zur Zielerreichung ausgenutzt werden kann: Ethical Hacking
  • Fokus
    • Suche nach Software-basierten Sicherheitslücken: Security Scan, Penetration Test und Application Security Audit
    • Suche nach Design-basierten Sicherheitslücken: Application Security Audit und Ethical Hacking
  • Ansatz
    • Unprivilegierte Tests (ohne Kenntnis gültiger Zugriffsinformationen): Alle Testtypen
    • Privilegierte Tests (mit Kenntnis gültiger Zugriffsinformationen): Application Security Audit und Ethical Hacking
  • Automatisierungsgrad
    • Automatisierte Suche nach Sicherheitslücken: Alle Testtypen
    • Manuelle Suche nach Sicherheitslücken: Penetration Test, Application Security Audit und Ethical Hacking
  • Verifikationstiefe
    • Nicht-intrusive Verifikation von Sicherheitslücken: Alle Testtypen
    • Intrusive Verifikation von Sicherheitslücken: Penetration Test, Application Security Audit und Ethical Hacking
  • Gezielte (bleibende) Modifikation des Untersuchungsobjektes (z.B. User Accounts, Datenbankinhalte, Dateisystem etc.): Ethical Hacking

Budgetüberlegungen und Testzyklen

Wir werden immer wieder gefragt, wie bei begrenztem Projektbudget vorgegangen werden soll und in welchen Abständen Security Audits wiederholt werden sollten. Es folgen unsere Empfehlungen:

  • Für die erstmalige Untersuchung von Systemen, welche entweder exponiert sind (z.B. Systeme in der DMZ) und/oder Business-kritische Systeme wie Online-Shops empfehlen wir den Penetration Test bzw. den Application Security Audit.
  • Systeme im LAN können (sofern der Kunde eine Security Policy hat, in welcher der sichere Umgang mit Informatikmitteln restriktiv geregelt ist) auch flächendeckend mittels des günstigeren Security Scan überprüft werden. Wenn der Kunde eine zentrale Softwareverteilung im Einsatz hat, können als Alternative auch stellvertretend für alle gleich konfigurierten Systeme einzelne Systeme mittels Penetration Test überprüft werden.
  • Das Ethical Hacking ist ein Testtyp mit digitalem Testergebnis (erfolgreich oder nicht). Somit ist dieser Testtyp hauptsächlich als Ergänzung zu einem Penetration Test sinnvoll.
  • Falls eine grosse Anzahl von Systemen überprüft werden soll, aber das Projektbudget eine flächendeckende Überprüfung mittels Penetration Test nicht zulässt, kann nach dem «Trichterprinzip» vorgegangen werden: in der 1. Phase werden alle Systeme mittels Security Scan überprüft mit dem Ziel, herauszufinden, welche Systeme in der 2. Phase mittels Penetration Test oder Application Security Audit intensiver getestet werden sollen.
  • Systeme, welche zwar regelmässig gepatcht werden - aber sonst unverändert sind - sollten mindestens alle 1-2 Jahre mittels Security Scan erneut überprüft werden. Bei Konfigurationsänderungen gelten die gleichen Empfehlungen wie für die erstmalige Durchführung.

Security Audit Kompetenz

Unsere Mitarbeiter haben bisher mehr als 450 technische Security Audits und Dutzende konzeptionelle Security Audits durchgeführt - alle zur vollen Zufriedenheit unserer Kunden.