| Security Audits
Security Audits lassen sich hinsichtlich Untersuchungsobjekt,
Fokus und angewandter Methodik unterscheiden.
Konzeptionell/organisatorische Security Audits
Bei konzeptionell/organisatorischen Security Audits
wird üblicherweise der Checklisten-basierte Ansatz verfolgt.
Dabei werden Sicherheitslücken und Schwachstellen mittels der
Kombination von Interviews, Dokumentenstudium, Workshops und Gap-Analysen
erkannt. In diese Kategorie fallen konzeptionell/organisatorische
Sicherheitsüberprüfungen nach IT GSHB
oder ISO/IEC 27001/17799.
Technische Security Audits
Bei technischen Security Audits kommen spezialisierte
Programme wie beispielsweise Port- und Security-Scanner, Test-Malware
und Debugger zum Einsatz. Weil unterschiedliche, manchmal auch irreführende
Bezeichnungen für technische Security Audits kursieren, verwenden
wir folgende Terminologie (für weitere Informationen
in Grafik auf Testbezeichnung klicken):
Unsere Experten bieten Security Audits für einzelne
Applikationen oder Systeme (als Ergänzung zum Application
Security Audit) sowie kabelgebundene (z.B. Internet, DMZ
und LAN/WAN) und kabellose Netzwerke (z.B. WLAN, BlueTooth, GPRS
oder Infrarot) an.
Wir empfehlen die Stärken
der verschiedenen Testtypen zu kombinieren, um das Kosten-/Nutzenverhältnis
zu optimieren. Die OneConsult GmbH ist ISECOM Licensed Auditor (ILA), Gold Level und ISECOM Partner (akkreditierter Schulungsanbieter), was eine seriöse und fundierte Durchführung der Tests und eine aussagekräftige und umfassende Dokumentation der Ergebnisse garantiert.
|
|
|
|
|
| Aufspüren von Sicherheitslücken |
Vollautomatisiert |
Vollautomatisiert |
Automatisiert & manuell |
Automatisiert & manuell |
| Einsatz mehrerer Tools mit ähnlicher Funktionalität |
Nein |
Nein |
Ja |
Ja |
| Manuelle Verifikation von vermeintlichen Sicherheislücken |
Nein |
Ja |
Ja |
Ja |
| Ausnützen von Sicherheitslücken |
Nein |
Nein |
Ja |
Ja |
| Modifikation des Untersuchungsobjekts |
Nein |
Nein |
Nein |
Ja |
| Ansatz |
Direkt |
Direkt |
Direkt |
Direkt & indirekt |
| Typ der empfohlenen Massnahmen |
Technisch |
Technisch |
Technisch & organisatorisch |
Technisch & organisatorisch |
Beim Application
Security Audit wird eine Applikation (z.B. eine
Branchenlösung oder eine Multi-Tier-Applikation auf verschiedenen
Ebenen (z.B. Design, Dokumentation und Technik: Betriebssystem,
Datenbank und eigentliche Applikation)) untersucht. Der genaue Umfang
der technischen und/oder konzeptionellen Testelemente und die jeweilige
Testtiefe hängen von den vom Auftraggeber vorgegebenen Rahmenbedingungen
ab.
Weitere wissenswerte Informationen zu technischen
Sicherheitsüberprüfungen finden sich hier.
Haben wir Ihr Interesse geweckt?
Gerne beantworten wir Ihre Fragen in einem unverbindlichen Gespräch
oder senden Ihnen weitere Informationen. Wie Sie uns erreichen können,
erfahren Sie hier.
Weiterführende Informationen
|
