In der Welt von heute, die sich in ständigem Wandel befindet, sind Sicherheit und Datenschutz zu einer der größten Herausforderungen für Unternehmen weltweit geworden. Fast jedes Unternehmen hat schon einmal einen Sicherheitsvorfall erlebt, der häufig zu unkalkulierbaren Schäden an Einnahmen, Ansehen und geistigem Eigentum führte.
Bei einem Penetrationstest (manchmal auch einfach Pentest genannt) versuchen wir mit Ihrer Zustimmung tatsächlich in Ihre Systeme einzudringen. Da das Vorgehen stark dem eines echten Angreifers ähnelt, ist dies eine relativ realistische Simulation und ermöglicht eine gute und pragmatische Einschätzung der Sicherheit der geprüften Umgebung. Die durch so ein Vorgehen gewonnenen Erkenntnisse helfen uns, Ihnen Empfehlungen zu geben wie Sie das Sicherheitsniveau erhöhen und Angreifer abwehren können.
Unterschiede bei Penetrationstests
Bei echten Penetrationstests kommen zwar auch Tools zum Einsatz, jedoch liegt unser Schwerpunkt auf dem manuellen Ausnutzen der Schwachstellen durch den Pentester. Leider wird dies oft mit Vulnerability Scans verwechselt bei welchen automatisiert nach möglichen Schwachstellen gesucht wird, diese aber weder verifiziert noch tatsächlich ausgenutzt werden. Auch berücksichtigt die Bewertung hier nicht die realen Umstände, so dass sie eine deutlich geringere Aussagekraft haben.
Unterschiede zu anderen Anbietern
Im Unterschied zu manchen Mitbewerbern sind wir uns dessen bewusst, dass der zentrale Qualitätsfaktor unserer Arbeit der Analyst ist. Weder Checklisten noch Methodiken oder Prozesse können Erfahrung und Motivation ausgleichen. Unser Ansatz, in die Tiefe zu gehen, offenbart uns zum einen die tieferliegenden Probleme (oftmals muss nicht nur ein fehlendes Sicherheitsupdate eingespielt werden, sondern generell darauf geachtet werden auch zukünftig Sicherheitsupdates zu berücksichtigen) und verbessert zum anderen auch die Motivation (wir sprechen manchmal von "Jagdfieber") der Analysten.
Durch den manuellen Fokus unserer Arbeit können sich unsere Analysten besser Ihren Bedürfnissen anpassen und beispielsweise mit risikoreichen Systemen (etwa SCADA-Systemen) als auch proprietären Protokollen, Software und Hardware besonders behutsam umgehen.
Auch die Bewertung der Sicherheitsrisiken wird von unseren Analysten an Ihre Bedürfnisse angepasst und ist nicht durch statische Prozesse vorgegeben.
Penetrationstests mit bestimmten Schwerpunkten
Netzwerkinfrastruktur
Diese Penetrationstests fokussieren sich auf die Netzwerke Ihres Unternehmens und deren Gesamtsicherheit.
Oftmals wird zwischen einem internen und externen Infrastrukturtest unterschieden, je nachdem welches Netzwerk uns als Ziel gegeben wird. Bei externen Tests wird die Perspektive eines Angreifers geprüft, welcher von außerhalb versucht einen initialen Zugriff auf Ihre Umgebung zu erlangen. Interne Tests werden üblicherweise vor Ort durchgeführt und simulieren einen Angreifer der bereits Zugriff auf das interne Netz hat, einen böswilligen Mitarbeiter mit bestimmten Zugriffsrechten oder eine Person, die sich physischen Zugang zu Ihren Räumlichkeiten verschafft hat. Durch die speziell von BFS entwickelte Intrabox sind wir natürlich auch in der Lage, jederzeit beliebig (hoch-)komplexe interne Infrastrukturen aus unserem Labor zu testen. Für mehr Informationen zum Einsatz dieser Box kontaktieren Sie uns gern.
Viele Angreifer, denen es gelingt, aus der Ferne auf Ihre Server zuzugreifen, können möglicherweise durch geeignete Sicherheitsmaßnahmen gestoppt werden, die in Ihren internen Netzwerken implementiert sind. Interne Netzwerktests erlauben es uns, tiefer in Ihre Systeme einzudringen und Sicherheitslücken aufzudecken, die es Angreifern ermöglichen könnten, sich in ihrem Netzwerk weiter auszubreiten.
Webanwendungen
Webanwendungen - von der Internetpräsenz des Unternehmens bis hin zu komplexen Anwendungen, wie etwa dem Onlinebanking - bieten Hackern viel Angriffsfläche und reichlich Möglichkeiten, unbefugten Zugriff auf Ihre Systeme zu erhalten. Ein Webserver mit einer unsicheren Webanwendung kann Angreifern Zugriff auf Datenbanken mit Kundendaten oder sogar erhöhten Zugriff auf interne Unternehmensnetzwerke gewähren.
Darüber hinaus können Webanwendungen von Angreifern genutzt werden, um die Vertrauensbeziehung zu Benutzern auszunutzen und diese selbst anzugreifen.
Webservices
Da das Hauptaugenmerk vieler Unternehmen auf dem Testen von Webanwendungen liegt und diese als primäre Angriffsvektoren betrachten werden, ist die Sicherheit von Webservices sekundär geworden und wird zumeist nicht mehr getestet. Daher ist häufig festzustellen, dass die Sicherheit von Webservices der Sicherheit von Webanwendungen unterlegen ist. Dies macht Webservices zu einem interessanten Angriffsvektor und zu einem leichten Ziel für potenzielle Angreifer.
Die Nutzung von Webservices hat vor allem aufgrund des Wachstums mobiler Anwendungen und der Tatsache, dass die meisten dieser Anwendungen Webservices verwenden, rapide zugenommen. Darüber hinaus werden Webservices von Unternehmenssoftware sowie von benutzerdefinierten Webanwendungen auf verschiedenen Plattformen verwendet, um Daten zu übertragen. Webservices speichern und übertragen im Allgemeinen vertrauliche Daten, was sie zu einem attraktiven Ziel für potenzielle Angreifer macht. Wir bieten einen umfassenden Ansatz zum Testen dieser Dienste, da es uns wichtig ist nicht nur Ihre Webanwendungen, sondern auch Ihre Webservices gründlich zu prüfen.
Mobile Anwendungen
Die stetige Verbreitung und Zunahme an mobilen Geräten erfordert einen schnellen Ansatz für die Entwicklung von Anwendungen. Dieser Ansatz führt dazu, dass Entwickler Sicherheitspraktiken übersehen und eine wachsende Anzahl von Sicherheitsvorfällen und Sicherheitslücken generieren.
Unabhängig von der mobilen Plattform (iOS, Androids) umfasst unser Ansatz zur Bewertung der Sicherheit mobiler Anwendungen sowohl die server- als auch die clientseitige Analyse, einschließlich, aber nicht beschränkt auf die Schwachstellenklassen von OWASP Mobile Top 10. Gemäß unserer Testmethode werden alle Bereiche der Anwendung, wie z. B. die Handhabung von Benutzereingaben, Kryptografie und sichere lokale Speicherung, gründlich analysiert.
ICS / SCADA
Da industrielle Steuerungssysteme mit Netzwerken und dem Internet verbunden sind, werden sie zu einem sehr attraktiven Ziel für potenzielle Angreifer. Die Ergebnisse solcher Angriffe können katastrophal für die Produktion sein und irreparable Schäden an der Ausrüstung verursachen.
Darüber hinaus kann dies in einigen Fällen eine ernsthafte Bedrohung nicht nur für Unternehmen, sondern auch für die nationale Sicherheit darstellen. Aktuelle Statistiken zeigen einen stetigen Anstieg der Anzahl offiziell registrierter und offengelegter Sicherheitsvorfälle bei ICS / SCADA, von denen einige katastrophale Folgen haben. Dies ist jedoch nicht das vollständige Bild und nur die Spitze des Eisbergs, da die meisten Vorfälle wahrscheinlich nicht einmal gemeldet werden.
Da viele SCADA-Geräte über proprietäre Protokolle verfügen und diese mit TCP / IP verbunden werden, können viele Sicherheitsexperten keine sicheren Angriffe gegen diese Geräte ausführen. Das Testen von ICS / SCADA-Geräten wird häufig zu einer großen Herausforderung, da sie in Produktionsumgebungen verwendet werden und nicht zum Testen entfernt werden können. Darüber hinaus ist die Verwendung von Standard-Penetrationstest-Tools auf ICS / SCADA-Geräten riskant, da diese zum Absturz Ihrer ICS / SCADA-Systeme führen können.
Von der Verwendung spezifischer Tools für ICS / SCADA-Umgebungen bis hin zu Fuzzing- und Proprietären Protokollen für Reverse Engineering können wir einen umfassenden forschungsbasierten Ansatz für das Testen dieser Geräte bereitstellen, um sicherzustellen, dass sie sicher funktionieren und die Angriffsfläche potenzieller Eindringlinge verringern.
Embedded Devices / Internet of Things
Viele eingebettete Geräte sind bereits heute miteinander verbunden und gelangen schnell in unser tägliches Leben. Dieser Trend ist in allen wichtigen Branchen wie Gebäude- und Haustechnik, Transport und Produktion zu beobachten.
Neben den vielen Vorteilen, die dieser Trend bietet, bestehen auch massive Sicherheitsrisiken, die hauptsächlich auf die Vergrößerung der Angriffsfläche zurückzuführen sind. Mit dem Internet verbundene IoT-Geräte stellen ein auftauchendes Sicherheitsrisiko dar. Darüber hinaus könnte die starke Vernetzung zwischen diesen Geräten und der Infrastruktur, die zuvor streng vom Internet getrennt war, nun Ziel eines Angriffs werden.
Bei Blue Frost Security führen wir eine Vielzahl fortschrittlicher Sicherheitsanalysen von eingebetteten Geräten durch, um Sicherheitslücken oder sogar Hintertüren in Geräten zu identifizieren, von denen Ihre Gesamtsicherheit abhängt.
Eine typische Analyse beginnt mit der Identifizierung der physischen Angriffsfläche, einschließlich der Identifizierung möglicher offener Debug-Schnittstellen wie UARTs oder ungeschützter JTAG-Schnittstellen. Auf der Platine zugängliche Busse und Schnittstellen (Pins) werden auf Möglichkeiten überprüft Zugriff auf die auf dem Gerät ausgeführte Firmware und / oder das Betriebssystem zu erhalten. In der nächsten Stufe wird die Firmware des eingebetteten Geräts beschafft. Dies kann einerseits so einfach sein wie das Aufspüren des Firmware-Aktualisierungsprozesses oder aber andererseits das Auslesen von Flash-Chips auf der Platine erfordern. Nachdem wir die Firmware aufgespürt und entschlüsselt haben, beginnen wir mit der Analyse des Betriebssystems.
Wir überprüfen alle bereitgestellten Funktionen und verwendeten Protokolle des eingebetteten Geräts auf potenzielle Sicherheitslücken. Diese Analyse basiert auf dem Reverse Engineering der Firmware.