Pentesting für mehr IT-Security

Mehr IT-Security dank Pentesting

Codesicherheit
Risikominimierung
Datenschutz

Als weltweites Onlineportal im KEP-Bereich verzeichnet die Webanwendung unseres Kunden täglich hohe Zugriffszahlen und verfügt über Schnittstellen zu anderen, auch externen IT-Systemen – etwa zu Bezahldienstleistern. Die Verarbeitung sensibler Nutzerdaten macht ein umfassendes Security-Konzept notwendig, um das System von Angriffen aus dem Netz zu schützen.

Aufgaben des Pentestings

Um das Risiko von Angriffen zu minimieren, nutzt der Kunde das Testing-Know-how von Micromata in folgendem Umfang:

  • Implementierung einer validen Testumgebung
  • Schnelles und gründliches Verständnis aller beteiligten Technologien, Prozesse und Funktionalitäten
  • Auswahl der richtigen und passgenauen Testverfahren
  • Zeitnahe Durchführung manueller Tests
  • Durchführung ergänzender automatisierter Tests
  • Ad-hoc-Reaktion auf neu bekannt gewordene Angriffsvektoren
  • Formulierung praktischer Handlungsempfehlungen zur schnellen Schließung von Sicherheitslücken

Lösung

Der ganzheitliche IT-Security-Ansatz von Micromata denkt die Sicherheit komplexer Softwaresysteme von Anfang an mit. Und unterstützt sie mithilfe professioneller Pentests. Für unseren Kunden haben wir eine maßgeschneiderte Lösung implementiert, die seine geschäftskritischen Plattformen optimal vor Angriffen aus dem Netz abschirmt, und zwar mithilfe

  • erfahrener Softwareentwickler,
  • einer hohen Testabdeckung für eine ganzheitlich hohe Softwaresicherheit,
  • schneller Reaktionen beim Bekanntwerden neuer Angriffsvektoren,
  • klarer Empfehlungen für wirkungsvolle Schutzmaßnahmen
  • zügiger Umsetzung definierter Maßnahmen
  • sorgfältiger Dokumentation aller getätigten Änderungen

Methoden-Set

  • Unabhängigkeit: Es werden nur Tester eingesetzt, die nicht selbst an der Entwicklung der Software beteiligt sind
  • Aktualität: Alle Tester sind über die neuesten Angriffsvektoren informiert (z. B. durch OWASP)
  • Exzellenz: Alle Tester verfügen über langjährige Erfahrung
  • Know-how-Transfer: Die Tester stehen in einem permanenten theoretischen und praktischen Wissensaustausch
  • Professionalität: Alle Tester sind durch zertifizierte Institute fachspezifisch geschult
  • Qualitätssicherung: Auf jeden Pentest folgt ein Lessons Learned inkl. Maßnahmen für künftige Pentests

Technologie-Stack

Die Toolsets sind auf das zu testende System zugeschnitten:

  • Black- und Whiteboxanalysen mit Burp Suite, OWASP ZAP und Arachni
  • Source-Code-Analysen mit Find Security Bugs und Code-Reviews
  • Abhängigkeitsprüfung mit OWASP Dependency Checks
  • Tools für spezifische Schwachstellen, Frameworks, Protokolle und Architekturen wie z. B. WsAttacker und sglmap
  • Mix aus manuellen und automatisierten Tests

 

Kundennutzen

  • Die IT Security der Anwendung wird deutlich erhöht.
  • Sicherheitslücken werden zügig erkannt und geschlossen.
  • Die Eintrittswahrscheinlichkeit von Angriffen wird substanziell gemindert.
  • Sollten Angriffe stattfinden, wird das Ausmaß des potenziellen Schadens erheblich reduziert.
Florian Heinecke