Compass Security [The ICT-Security Experts]
Penetrationstests – Welchen Wert haben simulierte Angriffe [it-sa 2016, Nürnberg – 20.10.2016] Jan-Tilo Kirchhoff
Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin
Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69
[email protected] www.csnc.de
Darf ich mich vorstellen? Jan-Tilo Kirchhoff
Country Manager Compass Security Deutschland GmbH verheiratet, zwei Kinder Werdegang: Von der TK-Security zur IT-Security Kompetenzen Netzwerk Sicherheitsprüfungen ICT- Security (VoIP, PSTN, GSM …) IT-Forensik
Hobbys
Meine Familie Musik (Trompete und Chor) Electronic Jazz, Jazz Funk Laufsport ICT-Security
© Compass Security Deutschland GmbH
www.csnc.de
Slide 2
Herkunft
© Compass Security Deutschland GmbH
www.csnc.de
Slide 3
Compass Security
Probieren geht über Studieren …
© Compass Security Deutschland GmbH
www.csnc.de
Slide 4
Definitionen (1) Risiko = Schwachstelle x Bedrohung x Kosten Schwachstelle (Vulnerability) Meist Konfigurations- oder Softwarefehler, die einen möglichen Angriffspunkt darstellen. Bedrohung (Threat) Hier geht es um die tatsächliche bzw. anzunehmende Gefährdung. Wie wahrscheinlich ist es das eine Schwachstelle genutzt wird? Risiko (Risk) Die wirtschaftliche Bewertung der Sicherheit
© Compass Security Deutschland GmbH
www.csnc.de
Slide 5
Definitionen (2) Penetrationstest / Penetrationtest / Pentest
© Compass Security Deutschland GmbH
www.csnc.de
Slide 6
Verteidigungslinien
© Compass Security Deutschland GmbH
www.csnc.de
Slide 7
Definitionen (1) Penetrationstest / Penetrationtest / Pentest Eindringversuch
Vulnerability Assessment (Umfassende) Suche nach Angriffpunkten Security Assessment (Ganzheitliche) Bewertung der Sicherheit Red Team Angriffssimulation (ursprünglich Querdenker/2.Meinung)
Weitere Arten von Sicherheitsprüfungen Vulnerability Scans (automatisierte Prüfungen) Security Audit (ISO 27000, PCI)
© Compass Security Deutschland GmbH
www.csnc.de
Slide 8
Der erste Schritt
Threat Modelling
Trustboundaries
Spoofing Tampering
Browser
Repudiation Information
Disclosure Denial of Service Elevation of Privileges
© Compass Security Deutschland GmbH
Webservic e
www.csnc.de
Slide 9
Vorgehen
Umfang (scope) Wege (Channel: Communication Security, Spectrum Security, Physical Security) Index (quantity) Vektoren (vector - perspective) Ziele (targets - what you know is there)
© Compass Security Deutschland GmbH
www.csnc.de
Slide 10
Testing Standards PTES – Penetration Test Execution Standard
BSI – Studie „Durchführungskonzept für Penetrationstests“
© Compass Security Deutschland GmbH
www.csnc.de
Slide 11
Ergebnis
Erwartungen an den Bericht
Strukturiert Übersichtlich Nachvollziehbar Qualifiziert Umsetzbar (actionable)
© Compass Security Deutschland GmbH
www.csnc.de
Slide 12
© Compass Security Deutschland GmbH
www.csnc.de
Slide 13
Die Welt ändert sich
© Compass Security Deutschland GmbH
www.csnc.de
Slide 14
Neue Angriffsmethoden
© Compass Security Deutschland GmbH
www.csnc.de
Slide 15
Was macht Compass? seit 1999 Penetration Tests Als Angreifer untersuchen wir Geräte, Netze, Dienste und Anwendungen auf Schwachstellen. Mittels Social Engineering und Red Teaming testen wir das Verhalten der gesamten Organisation.
Digital Forensics Unsere Forensik-Experten helfen bei der Koordination von Vorfällen und Sofortmassnahmen sowie bei der gerichtsfesten Bearbeitung von Daten. Zudem bieten wir eine unkomplizierte und schnelle Ursachenforschung.
Security Reviews Erfahrene IT Analysten unterstützen Sie mit Zweitmeinungen zu SecurityKonzepten und prüfen nach Wunsch den Aufbau, die Konfiguration und den Quellcode Ihrer Lösung.
Security Trainings Profitieren auch Sie vom Wissen unserer Analysten zu Penetration Testing, Netzwerkanalyse, sichere Apps und Anwendungen, Digitale Forensik und trainieren Sie in einem eigens dafür erstellten Labor. © Compass Security Deutschland GmbH
www.csnc.de
Slide 16
Pentesting Know-How Compass Security Kurse in Berlin 15.+16.11.2016 Network & Penetrationtesting 17.+18.11.2016 Secure Mobile Apps
Weitere Kurse in 2017 Web Application Security Basic Web Application Security Advanced NEU!!! IOT Security
Holen Sie sich Ihr Compass bIOTech Device am Messestand.
© Compass Security Deutschland GmbH
www.csnc.de
Slide 17
Vielen Dank!
Vielen Dank für Ihre Aufmerksamkeit!
© Compass Security Deutschland GmbH
www.csnc.de
Slide 18
Besuchen Sie uns!
Auf der it-sa 2016 am Stand der
Halle 12, Stand 226 © Compass Security Deutschland GmbH
www.csnc.de
Slide 19
Zeit für Ihre Fragen
© Compass Security Deutschland GmbH
www.csnc.de
Slide 20
Kontakt Compass Security Deutschland GmbH Tauentzienstr. 18 10789 Berlin Germany
[email protected] | www.csnc.de | +49 30 21 00 253-0 Secure File Exchange: www.filebox-solution.com PGP-Fingerprint:
© Compass Security Deutschland GmbH
www.csnc.de
Slide 21