Allianz für Cyber-Sicherheit

Atos analysiert Cyber-Bedrohungen für Web-Applikationen

Atos ist Partner in der Allianz für Cyber-Sicherheit und bietet den Teilnehmern der Allianz eine Analyse ihres Webauftrittes. Hierbei definiert Atos gemeinsam mit dem interessierten Teilnehmer der Allianz für Cyber-Sicherheit den Untersuchungsgegenstand.

 

Atos ist durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Sicherheitsdienstleister für IS-Revision und IS-Beratung zertifiziert und verfügt über große Kompetenzen im Bereich der Cyber-Sicherheit. Die Sicherheitsexperten von Atos wenden ihre weitreichenden Erfahrungen und Kenntnisse im Bereich der Security Assessments insbesondere bei Penetrationstests an. Die Atos-Experten haben diverse international anerkannte Zertifizierungen für IT-Sicherheit wie zum Beispiel Certified Ethical Hacker, CISSP, CISM, CISA oder ISMS Lead Auditor.

Vorgehensweise bei der Untersuchung einer Web-Applikation

In der Analyse wird eine Web-Applikation auf Schwachstellen in unterschiedlichen Angriffsszenarien untersucht. Ziel ist es, festzustellen, ob es externen Angreifern möglich ist, die Web-Applikation zu kompromittieren und unberechtigt auf Daten der Allianz-Teilnehmer zuzugreifen. Die Untersuchungen werden aus Black-Box-Sicht über das Internet durchgeführt. Für die Untersuchungen setzt Atos kommerzielle Web-Application-Security-Tools ein. Atos prüft die gefundenen Schwachstellen passiv bis abwägend, d.h. die Schwachstellen werden nur dann zur Demonstration gegenüber dem Teilnehmer ausgenutzt, wenn keine Beeinträchtigungen für die zu prüfenden Web-Applikation zu erwarten sind. Grundsätzlich gilt unabhängig von der Test-Aggressivität, dass der Teilnehmer das mögliche Risiko einer Beeinträchtigung der untersuchten Web-Applikation trägt. Atos haftet nicht für Beeinträchtigungen der untersuchten Zielsysteme und ggf. damit verbundener IT-Komponenten und IT-Verfahren. Die langjährigen Erfahrungen von Atos zeigen jedoch, dass dieses Risiko gering zu bewerten, jedoch nicht technisch auszuschließen ist.

 

Die Sicherheitsspezialisten richten sich hierbei nach anerkannten Standards, wie dem Open Web Application Security Project (OWASP). Dieses umfasst die Prüfung der folgenden Angriffe und Testfälle:

Information Gathering

  • Application Fingerprint
  • Application Discovery
  • Spidering and googling
  • Fehlercode-Analyse
  • SSL/TLS Testing
  • DB Listener Testing
  • File extensions handling
  • Backup-Dateien

Authentication Testing

  • Default-Accounts
  • Brute Forcing
  • Bypass authentication schema
  • Directory traversal/file include
  • Remember-Password und  Passwort-Reset-Funktionen
  • Logout and Browser Cache Management Testing

Session Management

  • Session Management Schema
  • Session Token Manipulation
  • Exposed Session Variablen
  • HTTP Exploits

 

 

Data Validation Testing

  • Cross site scripting
  • HTTP Methods
  • SQL Injection
  • LDAP Injection
  • XML Injection
  • XPath Injection
  • IMAP/SMTP Injection
  • Code Injection

Der Teilnehmer erhält im Anschluss an die Überprüfung einen Schwachstellenbericht mit Behebungsempfehlungen. Hieraus lassen sich für die Teilnehmer Sofortmaßnahmen und Handlungsfelder für ein angemessenes Cyber-Sicherheitsniveau ableiten. Im Bericht werden gefundene Schwachstellen nach der WASC Threat Classification bewertet und dokumentiert. Da es sich hierbei um eine beschränkte Kurzanalyse einer Web-Applikation handelt, ist im Prinzip bedingt möglich, dass weitere Schwachstellen existieren, die aufgrund der beschränkten Zeit oder dieser Testweise nicht gefunden werden können. Atos übernimmt keinen Gewährleistungsanspruch an die Vollständigkeit der Sicherheitsanalyse.

Voraussetzungen für die Prüfung der Web-Applikation

Für die Kurzanalyse eines Webauftrittes benötigt Atos eine vertragliche und rechtliche Grundlage, um die Untersuchungen durchführen zu können und dabei die Werkzeuge einsetzen zu dürfen. Atos definiert gemeinsam mit dem interessierten Teilnehmer der Allianz für Cyber-Sicherheit den Untersuchungsgegenstand, z.B. anhand von IP-Adressen oder einer begrenzten Anzahl von URLs. Gemeinsam wird der Zeitrahmen der Untersuchungen festgelegt. Der Kunde trägt dafür Sorge, dass eine Datensicherung der Web-Applikation vor den Untersuchungen erfolgt.

Umfang und Bedingungen des Partnerbeitrages von Atos im Rahmen der Allianz für Cyber-Sicherheit

Atos bietet Teilnehmern der Allianz für Cyber-Sicherheit sechs kostenfreie Untersuchungen im Jahr. Pro Teilnehmer soll nur eine Untersuchung kostenfrei erfolgen. Die Untersuchung beschränkt sich auf eine Web-Applikation mit einem Umfang von max. 50 URLs.

 

Eine Sicherheitsuntersuchung einer Web-Applikation umfasst mit Vorbereitung und Berichterstellung ca. drei Tage, für Planung und Berichtserstellung muss zusätzlich Zeit eingeplant werden. Gegebenenfalls ist hierfür der Zielbereich bzw. der Untersuchungsgegenstand entsprechend abzugrenzen, um eine Machbarkeit der Untersuchungen in diesem Rahmen zu gewährleisten.

 

Der unbefugte Einsatz der von Atos genutzten Angriffswerkzeuge ist in Deutschland nicht erlaubt, eine Genehmigung des Kunden ist nötig. Der Teilnehmer der Allianz für Cyber-Sicherheit, der das kostenfreie Angebot in Anspruch nehmen möchte, muss deshalb einen Vertrag mit Atos abschließen. Dieser gilt auch als Beauftragung und dokumentiert, dass der Einsatz dieser Tools ausdrücklich erwünscht ist und die Prüfer diese nutzen können. Der beschriebene Leistungsumfang ist kostenfrei, der Abschluss des Vertrags darüber ist mit keinen weiteren Kosten oder Preisen verbunden.

 

Für weitere Informationen, welche Angaben für eine Inanspruchnahme des kostenlosen Partnerbeitrages nötig sind, kontaktieren Sie bitte xin.jin@atos.net.

 

Übersteigt die Zahl der Anfragen das von Atos bereitgestellte Kontingent, kommen die ersten Interessenten zum Zuge.

Nehmen Sie mit uns Kontakt auf.

Atos Schweiz
Mehr Informationen
trans-1-px
Unser Internetauftritt nutzt cookies. Wenn Sie weiterhin auf dieser Website surfen sind Sie damit einverstanden, dass wir Cookies nutzen, um die Nutzung unserer
Internetseiten zu messen und Verbesserungsmöglichkeiten zu erkennen. Wenn Sie nicht einverstanden sind, können Sie die Cookies in Ihrem Webbrowser abschalten.
Erklärungen dazu finden Sie in unserer Privacy Policy
Ich stimme zu Mehr Informationen