Penetration Testing

Bei einem Penetrationstest (auch Pentest genannt) handelt es sich um eine aktive Prüfung der Sicherheit. Ein Sicherheitsexperte versucht, Schwachstellen in einem Computersystem zu finden und auszunutzen. Der Zweck dieses simulierten Angriffs besteht darin, Schwachstellen in der Verteidigung eines Systems zu ermitteln, die Cyberkriminelle ausnutzen könnten.

Ein Penetrationstest kann in unterschiedlichen Ausprägungen durchgeführt werden. Der Unterschied liegt in der Menge der Informationen zu den Zielsystemen, die der Kunde dem Pentester preisgibt. Die verschiedenen Varianten umfassen Black-Box (keine Informationen), Grey-Box (einige Informationen) oder White-Box (Weitergabe von relevanten Informationen wie Konfigurationen, Quellcode und Diagramme).

• White-Box = Ideal für initales Testing – Bestes Kosten/Nutzen Verhältnis
• Grey-Box = Ausgezeichnet für selektives Testen von einzelnen Aspekten
• Black-Box = Sehr realitätsnah, da der Pentester das selbe Szenario antrifft wie ein richtiger Angreifer

Generell empfehlen wir White-Box Penetrationstests. Dadurch kann sich der Pentester viel effizienter einen ganzheitlichen Überblick verschaffen, was zu einem besseren Kosten-Nutzen-Verhältnis für Sie führt.

Cloud Security

Mit dem Cloud-Zeitalter wurde auch die Modernisierung in der Software-Entwicklung eingeläutet. Software-Pakete kompilieren und manuell in einer Produktionsumgebung installieren gehört der Vergangenheit an. Heute wird Source Code automatisch kompiliert, getestet und orchestriert. Fehlerhafte Software-Komponenten werden zur Laufzeit automatisch durch neue ersetzt.

Dieses neue Oekosystem bietet viele Chancen und technische Möglichkeiten, welche moderne Software-Entwicklung tagtäglich unterstützt und verbessert. Die zunehmende Komplexität birgt jedoch auch neue, oft übersehene Gefahren.

cyllective hat top ausgebildete Fachleute, die Ihnen bei der sicheren Reise in die Cloud behilflich sind. Wir stehen Ihnen mit den folgenden Dienstleistungen zur Seite:

• Cloud Security Reviews & Testing (AWS, GPC, Azure, Kubernetes, OpenShift)
• Sichere CI/CD Pipeline (Consulting, Engineering, Training)
• Cloud-Orchestration Security Reviews (Kubernetes k8s, OpenShift)

Security Training

Security Training ist eine Strategie zur Vorbeugung und Abschwächung von Sicherheitsrisiken durch Mitarbeiter. Diese Trainings sollen Mitarbeitern helfen die mit ihrer täglichen Arbeit verbundenen Sicherheitsrisiken zu verstehen. Dies hilft eine angemessene Cyber-Hygiene aufrechtzuerhalten und Angriffe zu erkennen, denen sie täglich über E-Mail und Internet begegnen. Dies beugt erfolgreiche Cyber-Angriffe vor und reduziert das Risiko für Ihre gesamte Firma drastisch.

Die am häufigsten gebuchten Schulungsprogramme sind in den folgenden Paketen zusammengefasst.

• Security Awareness Training
• Phishing Kampagnen & Training
• Threat Modeling Training
• OWASP Top 10 - Theorie & Anwendung
• CI/CD Security
• Live Hacking-Events (CTF)

Es besteht auch die Möglichkeit, ein vollständig massgeschneidertes Training zu erstellen, das auf Ihre individuellen Cybersicherheits-Bedürfnisse zugeschnitten ist.

Security Consulting &
Threat Modeling

Wir bieten auf Ihre Bedürfnisse abgestimmte Consulting-Dienstleistungen an - auf das Management ausgerichtete Dienstleistungen und auf die technische Ebene ausgerichtete Services. Einige unserer Consulting-Spezialitäten (Liste nicht abschliessend) sind:

Management:

• CISO as a Service
• DevSecOps - Sicherheit im agilen Umfeld
• ISO27k Implementation & Coaching

Technical:

• Secure Code Reviews
• Security Architecture Reviews
• Cloud Security Reviews
• Secure CI/CD Pipelines
• viele weitere

In einem Threat Modeling geht es um die Identifizierung, Kommunikation und das Verständnis von Bedrohungen, sowie Gegenmassnahmen und Kontrollen in Zusammenhang mit dem Schutz eines Objektes. Ein Threat Model kann auf verschiedene Objekte und Ebenen angewendet werden, darunter Software, Services, (verteilte) Systeme, Netzwerke, IoT-Geräte (Internet of Things) und Geschäftsprozesse.

In einem Threat Modeling Workshop führen wir die Analyse gemeinsam mit Ihnen durch, wobei ein cyllective Sicherheitsexperte den Workshop leitet. Mindestens eine Person, die sich mit den technischen Details der betreffenden Infrastruktur des Kunden auskennt, z.B. ein Architekt, sollte anwesend sein. Wir empfehlen zudem, eine Person aus dem Business einzubeziehen, die sich mit den Anwendungsfällen und Prozessen auskennt. In dem interview-basierten Workshop werden wir gemeinsam potenzielle Bedrohungen und Schwachstellen aufdecken. Das Resultat eines Threat Modelings ist eine strukturierte Darstellung aller Informationen, welche die Sicherheit eines definierten Objektes beeinflussen.

cyllective verwendet STRIDE als Methodik für die Erstellung von Bedrohungsmodellen. Wir verfügen nicht nur über jahrelange Erfahrung, sondern auch einen eigenen Threat-Katalog, welcher zur schnellen identifizierung der Bedrohungen beiträgt und die Workshops äusserst effizient gestaltet.

Systems Engineering

Wir unterstützen Sie beim Erreichen ihrer Unternehmensziele in Übereinstimmung mit aktuellen Industriestandards und Regulationen.

Unser Angebot beinhaltet die Implementierung einer sicheren & effizienten Lösung gemäss Ihren Anforderungen. Unterstützt durch offene Standards, helfen Ihnen unsere Dienste, eine bestmögliche, nachhaltige und sichere IT-Infrastruktur zu gewährleisten.

• Bring Your Own Device Solution (ByoD)
• Network Access Control (IEEE 802.1X)
• Web Proxy Gateways & WAN Optimierung (e.g. Symantec ProxySG, Squid)
• Data Loss Prevention (e.g. Symantec DLP)
• Network Security Monitoring (NSM, bsp. Snort/Suricata)
• Threat Intelligence Collection (Massgeschneiderte Listen von Bedrohungsinformationen)
• Configuration Management & übliches Network Monitoring