Mit Service-Level DDoS Application Security Monitoring „Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten.“ Kontakt zu SEC Consult www.sec-consult.com SEC Consult ist der führende Berater im Bereich Informations- und Applikationssicherheit. SEC Consult unterstützt führende Unternehmen und Organisationen durch Beratung und spezifische High-end-Services wie Security Quality Gates, Secure Software as a Services (SS aaS) oder Managed Vulnerability Information Services (MVIS). Mit Niederlassungen in Europa, Asien und Nordamerika zählt SEC Consult zu den Big Playern der Branche. • Durchführung von 350+ Security Audits pro Jahr • eigenes internes Security Labor zur Erforschung von Sicherheitsrisiken (SEC Consult Vulnerability Lab) • laufende Identifizierung von „0-day“-Schwachstellen • zertifiziert nach ISO 27001 für höchste Sicherheit und Vertraulichkeit • Mitarbeit bei der Entwicklung bekannter Standards wie OWASP, ÖNORM A 7700 und BSI-Leitfäden • Veröffentlichung von innovativen, prämierten Forschungspublikationen • völlige Unabhängigkeit von Produktherstellern Deutschland Bockenheimer Landstraße 17-19 60325 Frankfurt am Main Tel: +49 (0) 69 175 373 43 Fax: +49 (0) 69 175 373 44 Email: [email protected] Österreich Mooslackengasse 17 1190 Wien Tel: +43 (0) 1 890 30 43 0 Fax: +43 (0) 1 890 30 43 15 Email: [email protected] „Durch die Standardisierung der Überprüfung muss ich mich nicht mehr um die Organisation von Penetrationtests kümmern, sondern kann mich auf meine Kernaufgaben konzentrieren.“ „Endlich kenne ich die Risiken, die in meinem Applikationsportfolio schlummern und kann meine verfügbaren Ressourcen optimal einsetzen.“ Application Security Management Unternehmen betreiben heute eine Vielzahl von IT-Systemen mit diversen Applikationen. Die vielfältigen Systeme bergen dabei unterschiedliche Risiken und jede Applikation kann als Einfallstor für Angriffe auf das Unternehmensnetzwerk dienen. Die Bedrohungslage ist dynamisch und verändert sich ständig. Die verantwortlichen Personen müssen sich mit einer Vielzahl von Problemen von der punktuellen SQL Injektion bis hin zum ausgewachsenen APT (Advanced Persistent Threat) Angriff beschäftigen. In einem derartigen Umfeld ist es für Verantwortliche entscheidend, Risiken und Chancen früh zu erkennen und ihre Entwicklungen im Auge zu behalten. Um die richtige Applikations-Sicherheits-Strategie zu entwickeln, ist es essentiell, sich Gedanken über folgende Fragen zu machen: • Welche Applikationen habe ich im Einsatz? • Welche Applikationen sind für mich geschäftskritisch und welche nicht? • Welche Sicherheitsrisiken bergen diese Applikationen? • Wer kann darauf zugreifen? • Wie ist der aktuelle Sicherheitsstatus meiner IT? Eine auf Basis dieser Informationen erstellte und an die eigenen Bedürfnisse und Risiken angepasste ApplikationsSicherheits-Strategie führt zu einer signifikanten Steigerung der unternehmensweiten Informations-Sicherheit und zu einer deutlichen und messbaren Senkung des eigenen Risikos. Application Security Monitoring Application Security Monitoring (AppSecMon) bietet Unternehmen und deren Applikations-Verantwortlichen das geeignete Werkzeug für die Umsetzung ihrer Vorgaben aus dem Application Security Management. AppSecMon verfolgt den Ansatz, durch regelmäßige und standardisierte Sicherheitsüberprüfungen die ständige Überwachung des Sicherheitszustandes einer Applikation zu gewährleisten. Im Gegensatz zu punktuell stattfindenden Penetrationstests erhalten Applikationsmanager keine Momentaufnahme, sondern eine ständig aktualisierte und an die Bedrohungslage angepasste Einschätzung ihrer Applikationsrisiken. Die regelmäßige Durchführung von Sicherheitsüberprüfungen im Rahmen von AppSecMon bietet eine Reihe von Vorteilen: • Kenntnis über bisher verborgene Risiken • Hohe Budgetsicherheit • Leichte und schnelle Planung der Überprüfungen durch standardisierte Schnittstellen • Sicherheitsüberprüfung als Bestandteil des Software-Wartungsprozesses • Laufende Aussage über den Sicherheitszustand einer Applikation • Zeitnahe Reaktion auf neue Bedrohungen und Angriffstechniken • Berücksichtigung von Software Updates/Releases bei der Risikoanalyse • Grundlage für die sicherheitstechnische Evolution eines Systems im Rahmen eines kontinuierlichen Verbesserungsprozesses (KVP) • Effizienzsteigerung durch Standardisierung Passend zum unterschiedlichen Schutzbedarf wird das Application Security Monitoring Service in unterschiedlichen Levels angeboten. Die einzelnen Servicelevels werden in folgende fünf Dimensionen unterteilt: • Untersuchungstiefe • Abdeckung • Fehlerklassen • Methodologie • Dokumentation SERVICE LEVELS Stichprobe • • • • Stichprobenartige Sicherheitsüberprüfung In kurzer Zeit können grobe Mängel identifiziert werden Anwendung nur in Kombination mit höheren Levels empfohlen Für kleine Applikationen mit niedrigem Schutzbedarf geeignet Healthcheck • • • • Quickcheck mit Blackbox-Ansatz Sicherheitstechnischer Gesundheitszustand wird festgestellt Fokus liegt auf häufig auftretenden Schwachstellen Für kleine bis mittlere Applikationen mit niedrigem bis mittlerem Schutzbedarf geeignet Baseline • • • • Basis-Sicherheitsüberprüfung mit hoher Abdeckung Rollenbasierte Tests aus unterschiedlichen Benutzerperspektiven Breites Spektrum an Schwachstellen kann identifiziert werden Für mittlere bis große Applikationen mit erhöhtem Schutzbedarf geeignet Premium • Detaillierte Sicherheitsprüfung mit hoher Untersuchungstiefe und großer Abdeckung • Methoden: Input-Fuzzing, Business Logic, Source-Codes-Überprüfungen • Für geschäftskritische Applikationen mit hohem Schutzbedarf empfohlen DDoS • • • • Überprüfung der Widerstandsfähigkeit gegen DDoS-Angriffe Identifikation von Resistance-Thresholds im Angriffsfall Aufzeigen von Maßnahmen zur Erhöhung der DDoS-Resistance Testdurchführung mit einer Vielzahl an in der Praxis angetroffenen Angriffspattern Die Vorgehensweise Beim Application Security Monitoring kommt eine spezielle von SEC Consult entwickelte und seit zehn Jahren gereifte Vorgehensweise zur Anwendung. Das Verfahren orientiert sich dabei an international anerkannte Standards und Best-Practice-Richtlinien wie zum Beispiel OWASP ASVS und OSSTMM. Begleitend zu State-of-the-Art-Schwachstellenscans kommen manuelle und interaktive Überprüfungsmethoden zum Einsatz. Durch diese manuellen Techniken ist es möglich, komplexere Testfolgen durchzuführen sowie bisher unbekannte „0-day“-Schwachstellen zu identifizieren. Die Untersuchung erfolgt in fünf Phasen Informationsbeschaffung Evaluierung Exploiting RisikoBewertung Empfehlungen Die Ergebnisse Die Ergebnisse der Untersuchung werden zeitnah in Form von zwei Dokumenten an den Auftraggeber übergeben: Schwachstellen-Alarm Hierbei handelt es sich um ein kompaktes Dokument, das neben einer detaillierten Problembeschreibung auch ein Proof of Concept und Lösungsvorschläge enthält. Das Dokument kann direkt und unkompliziert an die zuständigen Techniker weitergegeben werden. Der Schwachstellen-Alarm wird sofort nach Untersuchung und Identifikation einer Schwachstelle an den Kunden geliefert (z.B. PDF, XML). Report Nach Abschluss einer jeden Überprüfung wird ein Reporting an den Kunden übermittelt. Neben einer Executive Summary enthält das Dokument eine Auflistung aller identifizierten Schwachstellen und deren Status (z.B. fixed, risk accepted etc.). Je nach Servicelevel enthält das Dokument verschiedene Auswertungen und Trendanalysen als Grundlage eines effizienten Security Reportings. Infrastruktur Vienna – Frankfurt/Main – Montreal – Singapore – Vilnius [email protected] www.sec-consult.com