IT VULNERABILITY ASSESSMENT

Transcription

IT VULNERABILITY ASSESSMENT
IT VULNERABILITY ASSESSMENT
WORUM GEHT‘S?
In den letzten Jahren sind die Anforderungen an ITSicherheit von Unternehmen und Institutionen stark
gewachsen. Zunehmend wichtiger wird, dass die ITBetreiber den Status der IT-Security im Unternehmen
kennen und sicherstellen, dass die Anforderungen an
die IT-Sicherheit tatsächlich umgesetzt werden.
Diese Aufgabe wird durch ein IT Vulnerability Assessment
(deutsch: Schwachstellenanalyse) gelöst, das häufig auch
als „Penetration Test“ bezeichnet wird.
IT-Netzwerke sind gewachsene, heterogene Umgebungen,
die immer wieder an neue Gegebenheiten angepasst und
mit der Zeit immer komplexer werden. Die eingesetzte
Technik bietet eine Angriffsfläche für externe und interne
Angreifer. So sorgfältig die präventiven Bausteine einer
Sicherheitsinfrastruktur auch ausgewählt und implementiert werden - ein Nachweis über die Wirksamkeit der
Maßnahmen und das erreichte Schutzniveau bietet nur
deren Überprüfung.
Darüber hinaus haben Unternehmen und öffentliche
Einrichtungen Gesetze, Standards und Verordnungen
zu beachten (Compliance-Anforderungen). Werden diese
nicht ernst genommen, so ist eine persönliche Haftung
der Verantwortlichen nicht auszuschließen. Eine ITSchwachstellenanalyse trägt dazu bei, dass Maßnahmen
zur Erfüllung gesetzlicher Anforderungen definiert und
zeitnah umgesetzt werden.
3 Abgleichen von Schwachstellen mit
Schwachstellendatenbanken
3 Klassifizieren und Einstufen der Risiken
3 Verifizieren der umgesetzten Maßnahmen
IHR MEHRWERT
Eine IT-Schwachstellenanalyse ist ein wesentlicher
Baustein eines funktionsfähigen Sicherheitsprozesses,
der aufzeigt, dass die IT-Infrastruktur gesichert ist und
den Compliance-Vorgaben entspricht. Sie bietet einen
Mehrwert durch das Erkennen operativer Risiken und
liefert die Entscheidungskriterien für effektive, effiziente
und proaktive Schutzmaßnahmen.
Dadurch werden Unternehmen bzw. Institutionen in die
Lage versetzt, ein existierendes und wirksames Management der operativen IT-Risiken nachzuweisen.
ZIELGRUPPE
Das SVA-Angebot richtet sich insbesondere an mittelständische Unternehmen und öffentliche Einrichtungen,
die
3 eine IT-Schwachstellenanalyse benötigen.
3 Webanwendungen für ihr Business einsetzen
oder entwickeln.
3 einen Nachweis ihrer Sicherheit erbringen müssen.
3 über die Einführung eines Schwachstellenmanagements
(Vulnerability Management) nachdenken.
3 den effektiven und effizienten Einsatz von Ressourcen
für die IT-Sicherheit planen wollen.
Ein IT Vulnerability Assessment ist ein Prozess, bei
dem Software- und Konfigurationsfehler ermittelt werden.
LÖSUNGSANSATZ VON SVA
Dieser ist Bestandteil im Schwachstellenmanagement-Workflow und besteht aus:
3 Inventarisieren und kategorisieren von IT-Assets
3S
cannen der IT-Assets und Ermitteln von
Schwachstellen
Der Fokus IT-Schwachstellenanalyse von SVA konzentriert
sich auf IT-Systeme im Netzwerk und Webanwendungen.
Die Durchführung der Prüfungen unterliegt einer nachvollziehbaren Methodik. Wir ermitteln typische Schwachstellen über das Internet, vor Ort bei Ihnen im lokalen Netzwerk oder direkt auf Ihren IT-Systemen. Unsere Analysen
sind so angelegt, dass sie in verhältnismäßig kurzer Zeit
einen guten Überblick über das aktuelle Sicherheitsniveau liefern, ohne Geschäftsabläufe zu stören. Je nach
Schwerpunkt und Umfang bieten wir modulare Prüfungen
an, die durch optionale Zusatzleistungen an Ihre Bedürfnisse angepasst werden können.
MODULARE PRÜFUNGEN:
Network Security Scan (NSS)
Bei einem extern oder intern durchgeführten Netzwerksicherheits-Prüflauf simulieren wir den Angriff eines Außen- oder Innentäters über das Netzwerk. Ziele sind alle
erreichbaren IT-Systeme und Dienste aus einem vorher
vereinbarten IP-Adressbereich. Die Testergebnisse des
Netzwerksicherheits-Prüflaufs werden durch eine manuelle Verifikation von Fehlalarmen (false positives) bereinigt,
klassifiziert und priorisiert. Unsere Prüfer liefern Ihnen
konkrete Vorschläge zur Beseitigung von Schwachstellen.
Dynamic Application Security Testing (DAST)
Wir analysieren die Webanwendungen auf typische
Schwachstellen und logische Fehler. Dabei deckt das
DAST sowohl Standardsoftware ab als auch selbstentwickelte Webanwendungen. Bei der Untersuchung werden
statische und dynamische Prüfmethoden angewendet.
Wir berücksichtigen in unseren Prüfungen unter anderem
die zehn häufigsten Sicherheitsrisiken für Webanwendungen gemäß des Open Web Application Security
Project (OWASP).
UNSERE PRÜFER
SVA setzt erfahrene und qualifizierte Experten mit mehrjähriger Berufserfahrung im Bereich IT Security Assessment ein. Auf Wunsch erhalten Sie vor Auftragserteilung
das Mitarbeiterprofil Ihres Prüfers. Unser Mitarbeiter
wird auf Anforderung außerdem vor der Durchführung
der ersten Prüfung eine Datenschutzerklärung und eine
Vertraulichkeitsvereinbarung unterschreiben.
ABSCHLUSSBERICHT
Sie erhalten für den Prüfnachweis einen qualifizierten und
durch die SVA selbst erstellten Abschlussbericht. Dieser
wird vollständig, sachlich korrekt, für sachverständige
Dritte verständlich und nachvollziehbar sein. Auf Wunsch
kann auch eine sogenannte Management Summary
erstellt werden.
HABEN SIE WEITERE FRAGEN?
Wir freuen uns über Ihre Kontaktaufnahme! Gerne informieren wir Sie auch über unsere weiteren Beratungsdienstleistungen zur IT- bzw. Informationssicherheit
sowie zum Datenschutz und IT-GRC.
KONTAKT
System Security Check (SSC)
Bei der IT-System-Sicherheitsprüfung erfolgt die Überprüfung über den direkten Zugriff auf einen Server, Switch
oder Router mit privilegierten Zugriffsrechten. Auf diese
Weise können Schwachstellen aufgedeckt werden, die
vielleicht bei einer externen Überprüfung unbemerkt
bleiben. Der direkte Zugriff ist dann sinnvoll, wenn es
sich um Systeme handelt, die einen hohen Schutzbedarf
haben oder bestimmten Compliance-Anforderungen
bei der Konfiguration entsprechen müssen.
Mark Sobol
Fachbereichsleiter IT Security
Tel.: +49 221 499 372-58
security@sva.de
www.sva.de
© SVA GmbH
Alle Marken- und Produktnamen sind Warenzeichen
und werden als solche anerkannt.
SVA System Vertrieb Alexander GmbH | Borsigstr. 14 | 65205 Wiesbaden | +49 6122 536-0 | mail@sva.de | www.sva.de