AppSecMon-Folder

Werbung
Mit Service-Level
DDoS
Application Security
Monitoring
„Die Umsetzung meiner Applikations-Security-Strategie
war nicht immer einfach. AppSecMon konnte mich in
wesentlichen Aufgaben entlasten.“
Kontakt zu SEC Consult
www.sec-consult.com
SEC Consult ist der führende Berater im Bereich Informations- und Applikationssicherheit. SEC Consult unterstützt
führende Unternehmen und Organisationen durch Beratung und spezifische High-end-Services wie Security Quality
Gates, Secure Software as a Services (SS aaS) oder Managed Vulnerability Information Services (MVIS). Mit Niederlassungen in Europa, Asien und Nordamerika zählt SEC Consult zu den Big Playern der Branche.
• Durchführung von 350+ Security Audits pro Jahr
• eigenes internes Security Labor zur Erforschung von Sicherheitsrisiken (SEC Consult Vulnerability Lab)
• laufende Identifizierung von „0-day“-Schwachstellen
• zertifiziert nach ISO 27001 für höchste Sicherheit und Vertraulichkeit
• Mitarbeit bei der Entwicklung bekannter Standards wie OWASP, ÖNORM A 7700 und BSI-Leitfäden
• Veröffentlichung von innovativen, prämierten Forschungspublikationen
• völlige Unabhängigkeit von Produktherstellern
Deutschland
Bockenheimer Landstraße 17-19
60325 Frankfurt am Main
Tel: +49 (0) 69 175 373 43
Fax: +49 (0) 69 175 373 44
Email: [email protected]
Österreich
Mooslackengasse 17
1190 Wien
Tel: +43 (0) 1 890 30 43 0
Fax: +43 (0) 1 890 30 43 15
Email: [email protected]
„Durch die Standardisierung der Überprüfung
muss ich mich nicht mehr um die Organisation
von Penetrationtests kümmern, sondern kann
mich auf meine Kernaufgaben konzentrieren.“
„Endlich kenne ich die Risiken, die in meinem Applikationsportfolio schlummern und kann meine
verfügbaren Ressourcen optimal einsetzen.“
Application Security Management
Unternehmen betreiben heute eine Vielzahl von IT-Systemen mit diversen Applikationen. Die vielfältigen Systeme
bergen dabei unterschiedliche Risiken und jede Applikation kann als Einfallstor für Angriffe auf das Unternehmensnetzwerk dienen. Die Bedrohungslage ist dynamisch und verändert sich ständig. Die verantwortlichen Personen
müssen sich mit einer Vielzahl von Problemen von der punktuellen SQL Injektion bis hin zum ausgewachsenen APT
(Advanced Persistent Threat) Angriff beschäftigen.
In einem derartigen Umfeld ist es für Verantwortliche entscheidend, Risiken und Chancen früh zu erkennen und ihre
Entwicklungen im Auge zu behalten. Um die richtige Applikations-Sicherheits-Strategie zu entwickeln, ist es essentiell,
sich Gedanken über folgende Fragen zu machen:
• Welche Applikationen habe ich im Einsatz?
• Welche Applikationen sind für mich geschäftskritisch und welche nicht?
• Welche Sicherheitsrisiken bergen diese Applikationen?
• Wer kann darauf zugreifen?
• Wie ist der aktuelle Sicherheitsstatus meiner IT?
Eine auf Basis dieser Informationen erstellte und an die eigenen Bedürfnisse und Risiken angepasste ApplikationsSicherheits-Strategie führt zu einer signifikanten Steigerung der unternehmensweiten Informations-Sicherheit und
zu einer deutlichen und messbaren Senkung des eigenen Risikos.
Application Security Monitoring
Application Security Monitoring (AppSecMon) bietet Unternehmen und deren Applikations-Verantwortlichen das
geeignete Werkzeug für die Umsetzung ihrer Vorgaben aus dem Application Security Management. AppSecMon
verfolgt den Ansatz, durch regelmäßige und standardisierte Sicherheitsüberprüfungen die ständige Überwachung des Sicherheitszustandes einer Applikation zu gewährleisten. Im Gegensatz zu punktuell stattfindenden
Penetrationstests erhalten Applikationsmanager keine Momentaufnahme, sondern eine ständig aktualisierte und
an die Bedrohungslage angepasste Einschätzung ihrer Applikationsrisiken. Die regelmäßige Durchführung von
Sicherheitsüberprüfungen im Rahmen von AppSecMon bietet eine Reihe von Vorteilen:
• Kenntnis über bisher verborgene Risiken
• Hohe Budgetsicherheit
• Leichte und schnelle Planung der Überprüfungen durch standardisierte Schnittstellen
• Sicherheitsüberprüfung als Bestandteil des Software-Wartungsprozesses
• Laufende Aussage über den Sicherheitszustand einer Applikation
• Zeitnahe Reaktion auf neue Bedrohungen und Angriffstechniken
• Berücksichtigung von Software Updates/Releases bei der Risikoanalyse
• Grundlage für die sicherheitstechnische Evolution eines Systems im Rahmen eines kontinuierlichen Verbesserungsprozesses (KVP)
• Effizienzsteigerung durch Standardisierung
Passend zum unterschiedlichen Schutzbedarf wird das Application Security Monitoring Service in unterschiedlichen Levels angeboten. Die einzelnen Servicelevels werden in folgende fünf Dimensionen unterteilt:
• Untersuchungstiefe
• Abdeckung
• Fehlerklassen
• Methodologie
• Dokumentation
SERVICE LEVELS
Stichprobe
•
•
•
•
Stichprobenartige Sicherheitsüberprüfung
In kurzer Zeit können grobe Mängel identifiziert werden
Anwendung nur in Kombination mit höheren Levels empfohlen
Für kleine Applikationen mit niedrigem Schutzbedarf geeignet
Healthcheck
•
•
•
•
Quickcheck mit Blackbox-Ansatz
Sicherheitstechnischer Gesundheitszustand wird festgestellt
Fokus liegt auf häufig auftretenden Schwachstellen
Für kleine bis mittlere Applikationen mit niedrigem bis mittlerem Schutzbedarf geeignet
Baseline
•
•
•
•
Basis-Sicherheitsüberprüfung mit hoher Abdeckung
Rollenbasierte Tests aus unterschiedlichen Benutzerperspektiven
Breites Spektrum an Schwachstellen kann identifiziert werden
Für mittlere bis große Applikationen mit erhöhtem Schutzbedarf geeignet
Premium
• Detaillierte Sicherheitsprüfung mit hoher Untersuchungstiefe und großer Abdeckung
• Methoden: Input-Fuzzing, Business Logic, Source-Codes-Überprüfungen
• Für geschäftskritische Applikationen mit hohem Schutzbedarf empfohlen
DDoS
•
•
•
•
Überprüfung der Widerstandsfähigkeit gegen DDoS-Angriffe
Identifikation von Resistance-Thresholds im Angriffsfall
Aufzeigen von Maßnahmen zur Erhöhung der DDoS-Resistance
Testdurchführung mit einer Vielzahl an in der Praxis angetroffenen Angriffspattern
Die Vorgehensweise
Beim Application Security Monitoring kommt eine spezielle von SEC Consult entwickelte und seit zehn Jahren gereifte Vorgehensweise zur Anwendung. Das Verfahren orientiert sich dabei an international anerkannte Standards und
Best-Practice-Richtlinien wie zum Beispiel OWASP ASVS und OSSTMM. Begleitend zu State-of-the-Art-Schwachstellenscans kommen manuelle und interaktive Überprüfungsmethoden zum Einsatz. Durch diese manuellen
Techniken ist es möglich, komplexere Testfolgen durchzuführen sowie bisher unbekannte „0-day“-Schwachstellen
zu identifizieren.
Die Untersuchung erfolgt in fünf Phasen
Informationsbeschaffung
Evaluierung
Exploiting
RisikoBewertung
Empfehlungen
Die Ergebnisse
Die Ergebnisse der Untersuchung werden zeitnah in Form von zwei Dokumenten an den Auftraggeber übergeben:
Schwachstellen-Alarm
Hierbei handelt es sich um ein kompaktes Dokument, das neben einer detaillierten Problembeschreibung auch ein
Proof of Concept und Lösungsvorschläge enthält. Das Dokument kann direkt und unkompliziert an die zuständigen
Techniker weitergegeben werden. Der Schwachstellen-Alarm wird sofort nach Untersuchung und Identifikation
einer Schwachstelle an den Kunden geliefert (z.B. PDF, XML).
Report
Nach Abschluss einer jeden Überprüfung wird ein Reporting an den Kunden übermittelt. Neben einer Executive Summary
enthält das Dokument eine Auflistung aller identifizierten Schwachstellen und deren Status (z.B. fixed, risk accepted etc.).
Je nach Servicelevel enthält das Dokument verschiedene Auswertungen und Trendanalysen als Grundlage eines effizienten
Security Reportings.
Infrastruktur
Vienna – Frankfurt/Main – Montreal – Singapore – Vilnius
[email protected]
www.sec-consult.com
Herunterladen