Value Page PROFI Security Checks

Value Page
PROFI Security Checks
Ihr Ansprechpartner
Marcus Hock
(Leiter Kompetenzteam Security)
mailto: [email protected]
Beschreibung
Die Security Checks der PROFI AG bieten die Möglichkeit, verschiedenste Aspekte der IT-Security zu analysieren, zu dokumentieren und zielgerichtete Aktionen daraus abzuleiten und zu
priorisieren.
Die Bandbreite der untersuchten Themenfelder reicht dabei von
externen und internen Schwachstellen an Servern und Webanwendungen über Datenverkehrs-Analysen bis hin zur übergreifenden
Analyse der gesamten Security-Infrastruktur und -Organisation.
Die Aufgabenstellung
In fast allen Unternehmen ist das Bewusstsein für die Wichtigkeit
von Datenschutz und Datensicherheit deutlich geschärft worden, nicht zuletzt durch das regelmäßige Bekanntwerden von
Sicherheitsvorfällen in Industrie, Wirtschaft und bei öffentlichen
Institutionen. Üblicherweise sind die technischen Grundlagen der
IT-Security auch bereits vorhanden, trotzdem bleiben Fragen,
denen sich Sicherheitsverantwortliche im Unternehmen dennoch
stellen müssen:
• Passen die Sicherheitsmaßnahmen zu meinem Unternehmen?
Genügen sie für unseren Schutzbedarf?
• Gibt es Verbesserungsmöglichkeiten in der Organisation der
Informationssicherheit?
• Welche Angriffsfläche bieten meine Systeme, zum Beispiel
durch veraltete Konfigurationen und Softwarestände?
• In welchen Themenfeldern besteht der dringendste Handlungsbedarf, und wo sind wir schon ausreichend gut aufgestellt?
Die Lösung
Die PROFI AG bietet die Durchführung von Security Checks an,
die mit Blick auf die wesentlichen und aktuellen Bedrohungsszenarien konzipiert wurden. Die Ergebnisse dieser Checks versetzen unsere Kunden in die Lage, Klarheit über den aktuellen
Stand der Informationssicherheit im Unternehmen zu erlangen,
bereits präventiv bestehende Lücken zu schließen und die
Entscheidungsgrundlage für strategische Investitionen in die
Informationssicherheit zu verbessern:
• Network Vulnerability Scan: Aufdecken fehlerhafter Policies,
veralteter Dienste, ‘vergessener Server‘ an externen und internen Systemen
• Web Application Security Scan: Finden von Schwachstellen
wie SQL-Injections, XSS usw. in Web- Anwendungen und
Apps, als Blackbox oder Sourcecode-Analyse
• Network Security Checkup: Scannt den tatsächlichen Internet-Traffic, findet Angriffe, Botnetze, besuchte URL-Kategorien
etc. und zeigt so Verbesserungspotenzial in Firewall, Proxy
und IPS auf.
• Penetration Test: Manuelle Versuche der System-Kompromittierung durch einen erfahrenen Penetration Tester, optional mit
realitätsnahem Social Engineering
• SAP Security: Überprüfung von Custom ABAP Code auf
Schwachstellen und Optimierungspotenzial; Aufdecken von
Fehlkonfigurationen.
• VdS 3473 Check: Analyse des InformationssicherheitsNiveaus in Bezug auf eine mögliche Zertifizierung gemäß
ISMS Standard VdS 3473.
Allen Checks liegen erprobte Strukturen und Vorgehensweisen
zugrunde, die auf die jeweilige Kunden- situation und den individuellen Bedarf angepasst und kombiniert werden können.
01
Value Page
PROFI Security Checks
Ihr Ansprechpartner
Marcus Hock
(Leiter Kompetenzteam Security)
mailto: [email protected]
Ihr Nutzen
• Gewinnen Sie die Kontrolle zurück - Sichern Sie Ihre Anwen
dungen und Apps gegen Eindringlinge ab und schützen Sie Ihr
vielleicht wichtigstes Gut: Ihre Daten.
• Sichern Sie sich die Möglichkeit zu agieren statt zu reagieren - Erhalten Sie einen Überblick über den aktuellen Stand der
Informationssicherheit in Ihrem Unternehmen und schließen Sie
Lücken, bevor Sie von Angreifern genutzt werden können.
• Erreichen Sie auch im komplexen Security-Umfeld die Möglichkeit, zielgerichtet statt ereignisgetrieben zu handeln - Treffen
Sie die richtigen Entscheidungen bezüglich zukünftiger Investitionen in die Informationssicherheit auf Basis fundierter und
umfassender Informationen.
Referenzen (Auszug)
Öffentliche Institution, ca. 350 Mitarbeiter:
Durch einen externen Scan wurden kritische Lücken in der externen Firewall festgestellt. Die weitere Analyse zeigte, dass ein DMZ
Server bereits kompromittiert war und die Fernsteuerung noch
aktiv genutzt wurde. Nach dem Abstellen dieser als Sofort-Reaktion wurde ein neues Perimeter-Design gemeinsam geplant und
umgesetzt.
Produzierendes Unternehmen aus der Automatisierungsbranche, ca. 4.500 Mitarbeiter:
Im Rahmen des IT Risk Compact Checks konnte dem Management ein Überblick über den Reifegrad der Informationssicherheit
gegeben werden. Auf Basis dieser Informationen und Empfehlun-
gen wurden Entscheidungen über kurz-, mittel- und langfristige
Investitionen und Aktionen getroffen.
Unternehmen aus der Branche Befestigungs- und Montagetechnik, ca. 2.600 Mitarbeiter:
Im Rahmen der Perimeter-Analyse wird ein fast vergessener Server zur Bewerbung über Webformulare als kritische Schwachstelle
ermittelt. Kompromittierung des Servers wäre trivial gewesen und
hätte das Eindringen in die gesamte DMZ bedeutet. Durch die Einführung turnusmäßiger Systemprüfungen wird dies künftig wirksam
unterbunden.
Preisbeispiele
• Network Vulnerability Scan auf 16 externe IP-Adressen,
mit Aufarbeitung der Funde
Ergebnis: Priorisierung und Handlungsempfehlung im Ergebnisdokument: EUR 2.500
• Web Application Scan als Blackbox-Scan auf OWASP Anfälligkeiten, Webanwendung mit Login-Bereich und Datenbankanbindung
Ergebnis: Darstellung von Schwachstellen innerhalb der Anwendungen mit Handlunsgempfehlungen im Ergebnisdokument: EUR 6.600
• Network Security Checkup als Mirrored Network Device am
WAN; Analyse-Zeitraum 2 Wochen, einschließlich Vor- und Nachbesprechung
Ergebnis: Analyse-Ergebnis mit Auswertung des realen Traffics in
Bezug auf Malware, Botnetze, IPS- Events und Top-Talkers
EUR 2.500
• VdS 3473 Check mit Dokumentensichtung, 2-3 Analyse-Tagen
vor Ort, Interviews
Ergebnis: Berichterstellung und Abschlusspräsentation
EUR 12.000
Gerne erstellen wir Ihnen auch ein individuelles Angebot unter Berücksichtigung Ihrer konkreten Ausgangssituation.
02

Download Report