| Security Audits
Security Audits lassen sich hinsichtlich Untersuchungsobjekt,
Fokus und angewandter Methodik unterscheiden.
Konzeptionell/organisatorische Security Audits
Bei
konzeptionell/organisatorischen Security Audits wird üblicherweise der
Checklisten- bzw. Fragebogen-basierte Ansatz verfolgt. Dabei werden
Sicherheitslücken und Schwachstellen mittels der Kombination von
Interviews, Dokumentenstudium, Workshops und Gap-Analysen erkannt. In
diese Kategorie fallen konzeptionell/organisatorische
Sicherheitsüberprüfungen nach BSI-Standard 100-1 bis 4 (Nachfolger des IT GSHB)
oder ISO/IEC 270xx und beispielsweise SOX- und Basel II-Compliance Tests.
Technische Security Audits
Bei technischen Security Audits kommen spezialisierte
Programme wie beispielsweise Port- und Security-Scanner, Test-Malware
und Debugger zum Einsatz. Weil unterschiedliche, manchmal auch irreführende
Bezeichnungen für technische Security Audits kursieren, verwenden
wir folgende Terminologie (für detaillierte Informationen
bitte in Grafik auf Testbezeichnung klicken und untenstehende Tabellen beachten):
|
|
|
|
|
| Suche nach Software (Betriebssystem und Applikationen)-basierten Sicherheitslücken (während zur Verfügung stehender Testzeit) |
• |
• |
• |
- |
| Suche nach Design-basierten Sicherheitslücken |
- |
- |
• |
• |
| Unprivilegierte Tests (ohne Kenntnis gültiger Zugriffsinformationen) |
• |
• |
• |
• |
| Privilegierte Tests (mit Kenntnis gültiger Zugriffsinformationen) |
- |
- |
• |
• |
| Automatisierte Suche nach Sicherheitslücken |
• |
• |
• |
• |
| Manuelle Suche nach Sicherheitslücken |
- |
• |
• |
• |
| Einsatz mehrerer Tools mit ähnlicher Funktionalität |
- |
• |
• |
• |
| Nicht-intrusive Verifikation von Sicherheitslücken |
• |
• |
• |
• |
| Intrusive Verifikation von Sicherheitslücken |
- |
• |
• |
• |
| Gezielte Modifikation des Untersuchungsobjektes (z.B. User Accounts, Datenbankinhalte, Dateisystem, etc.) |
- |
- |
- |
• |
| Technische Massnahmenvorschläge |
• |
• |
• |
• |
| Organisatorische Massnahmenvorschläge |
- |
• |
• |
- |
| Dokumentation |
• |
• |
• |
• |
Legende: '•' = erfüllt, '-' = nicht erfüllt
|
|
|
|
|
| OSSTMM-Konformität (Methode, Testdurchführung und Dokumentation) |
- |
o |
o |
o |
| Konzeptionelle Tests und Tätigkeiten |
- |
- |
o |
- |
| Footprinting (Internetrecherche) |
o |
o |
o |
o |
| Social Engineering |
- |
o |
o |
o |
| Entwicklung von Exploits |
- |
o |
o |
o |
| Post Exploitation |
- |
- |
- |
o |
| Denial-of-Service (DoS) Tests |
o |
o |
o |
o |
| VPN Deep Inspection |
o |
o |
o |
o |
| System Audit |
o |
o |
o |
- |
| Network Traffic Audit |
- |
o |
o |
- |
| Firewall Ruleset Audit |
o |
o |
o |
- |
| Wireless Network Audit (War Driving) |
o |
o |
o |
o |
| War Dialing |
o |
o |
o |
o |
| Protokoll-Tunneling-Test (Test-Trojaner-basiert) |
o |
o |
o |
- |
| Projektpräsentation (inkl. Diskussion Schlussbericht) |
o |
o |
o |
o |
| Diskussion Schlussbericht |
o |
o |
o |
o |
| Nachkontrolle |
o |
o |
o |
o |
Legende: 'o' = kostenpflichtige Option, '-' = nicht erhältlich
Unsere Experten bieten Security Audits für einzelne
Applikationen oder Systeme sowie kabelgebundene (z.B. Internet, DMZ
und LAN/WAN) und kabellose Netzwerke (z.B. WLAN, BlueTooth, GSM/UMTS
oder Infrarot) an.
Die OneConsult GmbH ist ISECOM Licensed Auditor (ILA), Platinum Level und ISECOM Partner
(akkreditierter Schulungsanbieter), was eine seriöse und fundierte
Durchführung der Tests und eine aussagekräftige und umfassende
Dokumentation der Ergebnisse garantiert.
Weitere wissenswerte Informationen zu technischen
Sicherheitsüberprüfungen finden sich hier.
Haben wir Ihr Interesse geweckt?
Gerne beantworten wir Ihre Fragen in einem unverbindlichen Gespräch
oder senden Ihnen weitere Informationen. Wie Sie uns erreichen können,
erfahren Sie hier.
Weiterführende Informationen
|
