Consulting umfasst alle Dienstleistungen konzeptioneller Natur, die nicht mit einer Lösung zu tun haben. Beratung beim Erstellen von Richtlinien oder Konzepten, IT-Security Überprüfungen, Analyse von IT-Architekturen usw. Auch bieten wir verschiedene Dienstleistungen für Security Awareness an, um die Softfaktoren mit einzubeziehen.


Security Assessment

Eine 100%ige Sicherheit gibt es nicht. Die Systeme und Netzwerke sind einem ständigen Wandel unterzogen und auch die Bedrohungen wechseln. Darum ist es essentiell, dass man die Systeme und die Netzwerke periodisch einem Security Assessement unterzieht. Wir arbeiten nach dem bekannten Open Source Standard OSSTMM (Open Source Testing Methodology Manual). So ist die Nachvollziehbarkeit und die Vergleichbarkeit der Ergebnisse über die Zeit möglich.

Folgende Assessments bieten wir an:

METHODIK, RISIKONEINSTUFUNG UND ZERTIFIZIERUNGEN

Methodik

Cybertech/bw digitronik erbringt den Sicherheitsrechnungsprüfungsdienst in voller Übereinstimmung mit den ethischen Standardregeln, die die ethischen Hacker, aus denen sich die Gruppe zusammensetzt, auszeichnen, wobei internationale Standards befolgt und die neuesten und konsolidierten Analysemethodiken wie OSSTMM, OWASP, NIST und PTES-Methoden verwendet werden. Darüber hinaus ist sich die Arbeitsgruppe der technischen und rechtlichen Aspekte des GDPR, des Datenschutzgesetzes und der nachfolgenden Bestimmungen bewusst und kann den Kunden bei der Bewältigung etwaiger Sicherheitsvorfälle unterstützen. Das Cybertech/bw digitronik Cyber Security Team verpflichtet sich, den Kunden umgehend zu benachrichtigen, wenn es während der Bereitstellung der vom Angebot abgedeckten Aktivitäten auf Verstöße aufmerksam wird, die rechtliche oder geschäftliche Auswirkungen auf das Unternehmen haben könnten.

 

Nachfolgend finden Sie eine kurze Beschreibung der wichtigsten angewandten Methoden:

m1.png

Die OSSTMM-Methodik regelt die Planung, Durchführung und Testberichterstattung.

m2.png OWASP ist die bewährteste Methodik zur Website-Überprüfung.
m3.png Die vom NIST herausgegebene SP800-115 ist ein Nachschlagewerk für die grundlegenden technischen Aspekte der Sicherheitsbewertung.
m4.png Die Richtlinien des Penetration Testing Execution Standard decken alle Phasen der Penetrationstest-Aktivität ab, in denen die sicherheitstechnische Erfahrung der Tester mit dem Verständnis des Geschäfts kombiniert wird, um einen maximalen Wert für den Kunden zu erzielen.
m5.png Das OWASP Mobile Security Project ist eine zentralisierte Ressource, die Entwicklern und Sicherheitsteams die Ressourcen zur Verfügung stellen soll, die sie für die Entwicklung und Wartung mobiler Anwendungen benötigen.
m6.jpg Das OWASP IOT-Projekt wurde entwickelt, um Herstellern, Entwicklern und Verbrauchern ein besseres Verständnis der mit IOT verbundenen Sicherheitsfragen zu vermitteln.

Bewertung und Risikoeinstufung

Die Bewertung des Risikoniveaus wird auf der Grundlage eines Index der kritischen Verwundbarkeit berechnet. Diese Berechnung erfolgt mit objektiven Parametern und unter Verwendung genau definierter Metriken. Das Endergebnis, das durch die Aggregation all dieser Werte erzielt wird, ergibt den tatsächlichen Schwachstellen-Risikoindex.

CVSS.png Ein bekannter Bewertungsstandard für Vulnerabilitäten besteht aus drei Faktoren: Basisbewertung, zeitbasierte Bewertung und kontextbasierte Bewertung, bei der Vulnerabilitäten erkannt werden.
CVE.png Ein bekannter Klassifizierungsstandard für Schwachstellen, der eine reibungslose Identifizierung dieser Schwachstellen in einem internationalen Kontext ermöglicht. Die von Cybertech erstellte Dokumentation enthält, soweit möglich, die CVE-Kennung für jede gefundene Schwachstelle.
CCWAPSS.png Ein sich entwickelnder Standard zur Erlangung eines Überblicks über den Sicherheitsstatus einer Website auf der Grundlage von 11 grundlegenden Kriterien, die der OWASP-Methodik entzogen wurden.
RAV2.png Die RAV-Metrik basiert auf der ausgewogenen Berechnung von Porosity (dem Grad der Exposition, der aufrechterhalten werden muss, um interaktive Dienste anzubieten), Controls (Gegenmaßnahmen, die das Sicherheitsniveau erhöhen, indem sie Schutz vor ungültigen oder unerwarteten Interaktionen bieten) und Limitations (Sicherheitskritikalitäten) . Nach der OSSTMM-Methodik ist es möglich, den Zustand der perfekten Sicherheit zu erreichen, d. h. das exakte Gleichgewicht von Trennung und Kontrollen mit Exposition und Kritikalitäten (RAV-Wert gleich 100).
 

 

Zertifizierungen

Im Folgenden finden Sie eine Liste der vom Cybertech Cyber Security Team erreichten Zertifizierungen. Diese Zertifizierungen sind nicht nur die am meisten nachgefragten auf dem Markt, sondern garantieren auch ein hohes Niveau an technischen und methodischen Fähigkeiten.

oscp-certs-300x196.png Es ist das erste vollständige, praktische und offensive Informationssicherheitszertifikat der Welt und garantiert ein klares und konkretes Verständnis des gesamten Lebenszyklus von Penetrationstests.
ososwe.jpg

Es bewertet die Fähigkeit des Kandidaten, Code-Review Aktivitäten von Webanwendungen, die in verschiedenen Programmiersprachen entwickelt wurden, ohne Hilfe automatischer Tools durchzuführen und die gefundenen Kritialitäten zu verknüpfen, um den Exploitation-Prozess zu automatisieren.

OSWP.png Diese Zertifizierung bescheinigt dem Inhaber,  bestehende Verschlüsselungen und Schwachstellen in 802.11-Netzwerken identifizieren zu können. Sie können Netzwerksicherheitsbeschränkungen umgehen und verwendete Verschlüsselungsschlüssel bei Schwachstellen wiederherstellen.
c2.jpg Sie garantiert den Einfallsreichtum, die wissenschaftlich-wissenschaftliche Methode und die korrekte Umsetzung der OSSTMM-Methodik auf der Grundlage von Best Practices mit dem Ziel, die Arbeit von Fachleuten im Bereich der Informationssicherheit zu verbessern.
c3.jpg Es bietet eine analytische Spezialisierung auf mehreren Ebenen. Der im Bereich der IT-Sicherheit tätige Fachmann kann das erworbene Wissen bei der Analyse der Ergebnisse, der Leitung der Roten Teams und der Auswahl von Lieferanten im Rahmen von Sicherheitskontrollen anwenden.
c4.png Erforschung und Verständnis von Schwachstellen in Zielsystemen durch den Einsatz der gleichen Werkzeuge, die auch von willigen Hackern ausgenutzt werden, jedoch in einem rechtlichen Kontext und unter Einhaltung ethischer Regeln.
eCPPT.png Bewertet auf praktische Weise das Verständnis der verschiedenen Angriffsphasen und Techniken, die zur Durchführung von Penetrationstests eines Netzwerks verwendet werden.
c5.png Bewertet Penetrationstest-Fähigkeiten bei Webanwendungen und die Fähigkeit, Angriffstechniken auf Websites, Portale usw. auszunutzen.
c6.png Sie konzentriert sich auf die Erkennung, Reaktion und Lösung von Computersicherheitsvorfällen, einschließlich gängiger Angriffstechniken, -vektoren und -werkzeuge, sowie auf die Abwehr und/oder Reaktion auf solche Angriffe, wenn sie auftreten.
chfi.jpg Es deckt den Prozess der Erkennung von Hacking-Angriffen und die ordnungsgemäße Gewinnung von Beweisen ab, um das Verbrechen zu melden und Audits durchzuführen, um zukünftige Angriffe zu verhindern.
kcst.png Es werden praktische Aspekte des Labors auf Windows-Systemen angesprochen, um valide digitale Beweise zu gewinnen, Artefakte mit geeigneten Werkzeugen zu analysieren und das Unfallszenario zu rekonstruieren.
c7.png Die Norm ISO/IEC 27001 definiert international anerkannte Best Practices für ein Informationssicherheits-Managementsystem (ISMS).
c8.jpg Sie bringt die Informationssicherheit mit der vom Unternehmen erwarteten Sicherheit in Einklang und stellt sicher, dass die Informationssicherheit bei allen Aktivitäten der Bereitstellung und Verwaltung von Dienstleistungen wirksam gehandhabt wird.
c9.jpg Diese Zertifizierung belegt, dass der Kandidat über gute Kenntnisse der SAP-Sicherheitskonzepte verfügt und diese Kenntnisse als Mitglied eines Projektteams in die Praxis umsetzen kann.