IT VULNERABILITY ASSESSMENT
Transcription
IT VULNERABILITY ASSESSMENT
IT VULNERABILITY ASSESSMENT WORUM GEHT‘S? In den letzten Jahren sind die Anforderungen an ITSicherheit von Unternehmen und Institutionen stark gewachsen. Zunehmend wichtiger wird, dass die ITBetreiber den Status der IT-Security im Unternehmen kennen und sicherstellen, dass die Anforderungen an die IT-Sicherheit tatsächlich umgesetzt werden. Diese Aufgabe wird durch ein IT Vulnerability Assessment (deutsch: Schwachstellenanalyse) gelöst, das häufig auch als „Penetration Test“ bezeichnet wird. IT-Netzwerke sind gewachsene, heterogene Umgebungen, die immer wieder an neue Gegebenheiten angepasst und mit der Zeit immer komplexer werden. Die eingesetzte Technik bietet eine Angriffsfläche für externe und interne Angreifer. So sorgfältig die präventiven Bausteine einer Sicherheitsinfrastruktur auch ausgewählt und implementiert werden - ein Nachweis über die Wirksamkeit der Maßnahmen und das erreichte Schutzniveau bietet nur deren Überprüfung. Darüber hinaus haben Unternehmen und öffentliche Einrichtungen Gesetze, Standards und Verordnungen zu beachten (Compliance-Anforderungen). Werden diese nicht ernst genommen, so ist eine persönliche Haftung der Verantwortlichen nicht auszuschließen. Eine ITSchwachstellenanalyse trägt dazu bei, dass Maßnahmen zur Erfüllung gesetzlicher Anforderungen definiert und zeitnah umgesetzt werden. 3 Abgleichen von Schwachstellen mit Schwachstellendatenbanken 3 Klassifizieren und Einstufen der Risiken 3 Verifizieren der umgesetzten Maßnahmen IHR MEHRWERT Eine IT-Schwachstellenanalyse ist ein wesentlicher Baustein eines funktionsfähigen Sicherheitsprozesses, der aufzeigt, dass die IT-Infrastruktur gesichert ist und den Compliance-Vorgaben entspricht. Sie bietet einen Mehrwert durch das Erkennen operativer Risiken und liefert die Entscheidungskriterien für effektive, effiziente und proaktive Schutzmaßnahmen. Dadurch werden Unternehmen bzw. Institutionen in die Lage versetzt, ein existierendes und wirksames Management der operativen IT-Risiken nachzuweisen. ZIELGRUPPE Das SVA-Angebot richtet sich insbesondere an mittelständische Unternehmen und öffentliche Einrichtungen, die 3 eine IT-Schwachstellenanalyse benötigen. 3 Webanwendungen für ihr Business einsetzen oder entwickeln. 3 einen Nachweis ihrer Sicherheit erbringen müssen. 3 über die Einführung eines Schwachstellenmanagements (Vulnerability Management) nachdenken. 3 den effektiven und effizienten Einsatz von Ressourcen für die IT-Sicherheit planen wollen. Ein IT Vulnerability Assessment ist ein Prozess, bei dem Software- und Konfigurationsfehler ermittelt werden. LÖSUNGSANSATZ VON SVA Dieser ist Bestandteil im Schwachstellenmanagement-Workflow und besteht aus: 3 Inventarisieren und kategorisieren von IT-Assets 3S cannen der IT-Assets und Ermitteln von Schwachstellen Der Fokus IT-Schwachstellenanalyse von SVA konzentriert sich auf IT-Systeme im Netzwerk und Webanwendungen. Die Durchführung der Prüfungen unterliegt einer nachvollziehbaren Methodik. Wir ermitteln typische Schwachstellen über das Internet, vor Ort bei Ihnen im lokalen Netzwerk oder direkt auf Ihren IT-Systemen. Unsere Analysen sind so angelegt, dass sie in verhältnismäßig kurzer Zeit einen guten Überblick über das aktuelle Sicherheitsniveau liefern, ohne Geschäftsabläufe zu stören. Je nach Schwerpunkt und Umfang bieten wir modulare Prüfungen an, die durch optionale Zusatzleistungen an Ihre Bedürfnisse angepasst werden können. MODULARE PRÜFUNGEN: Network Security Scan (NSS) Bei einem extern oder intern durchgeführten Netzwerksicherheits-Prüflauf simulieren wir den Angriff eines Außen- oder Innentäters über das Netzwerk. Ziele sind alle erreichbaren IT-Systeme und Dienste aus einem vorher vereinbarten IP-Adressbereich. Die Testergebnisse des Netzwerksicherheits-Prüflaufs werden durch eine manuelle Verifikation von Fehlalarmen (false positives) bereinigt, klassifiziert und priorisiert. Unsere Prüfer liefern Ihnen konkrete Vorschläge zur Beseitigung von Schwachstellen. Dynamic Application Security Testing (DAST) Wir analysieren die Webanwendungen auf typische Schwachstellen und logische Fehler. Dabei deckt das DAST sowohl Standardsoftware ab als auch selbstentwickelte Webanwendungen. Bei der Untersuchung werden statische und dynamische Prüfmethoden angewendet. Wir berücksichtigen in unseren Prüfungen unter anderem die zehn häufigsten Sicherheitsrisiken für Webanwendungen gemäß des Open Web Application Security Project (OWASP). UNSERE PRÜFER SVA setzt erfahrene und qualifizierte Experten mit mehrjähriger Berufserfahrung im Bereich IT Security Assessment ein. Auf Wunsch erhalten Sie vor Auftragserteilung das Mitarbeiterprofil Ihres Prüfers. Unser Mitarbeiter wird auf Anforderung außerdem vor der Durchführung der ersten Prüfung eine Datenschutzerklärung und eine Vertraulichkeitsvereinbarung unterschreiben. ABSCHLUSSBERICHT Sie erhalten für den Prüfnachweis einen qualifizierten und durch die SVA selbst erstellten Abschlussbericht. Dieser wird vollständig, sachlich korrekt, für sachverständige Dritte verständlich und nachvollziehbar sein. Auf Wunsch kann auch eine sogenannte Management Summary erstellt werden. HABEN SIE WEITERE FRAGEN? Wir freuen uns über Ihre Kontaktaufnahme! Gerne informieren wir Sie auch über unsere weiteren Beratungsdienstleistungen zur IT- bzw. Informationssicherheit sowie zum Datenschutz und IT-GRC. KONTAKT System Security Check (SSC) Bei der IT-System-Sicherheitsprüfung erfolgt die Überprüfung über den direkten Zugriff auf einen Server, Switch oder Router mit privilegierten Zugriffsrechten. Auf diese Weise können Schwachstellen aufgedeckt werden, die vielleicht bei einer externen Überprüfung unbemerkt bleiben. Der direkte Zugriff ist dann sinnvoll, wenn es sich um Systeme handelt, die einen hohen Schutzbedarf haben oder bestimmten Compliance-Anforderungen bei der Konfiguration entsprechen müssen. Mark Sobol Fachbereichsleiter IT Security Tel.: +49 221 499 372-58 security@sva.de www.sva.de © SVA GmbH Alle Marken- und Produktnamen sind Warenzeichen und werden als solche anerkannt. SVA System Vertrieb Alexander GmbH | Borsigstr. 14 | 65205 Wiesbaden | +49 6122 536-0 | mail@sva.de | www.sva.de