Embed Size (px)
Citation preview
Team
Das Test and Integration Center von T-Systems Multimedia Solutions ist das einzige Softwareprüflabor der Internet- und Multimediabranche in Deutschland, das von der Deutschen Akkreditierungsstelle (DAkkS) anerkannt ist.
Mit über 175 ISTQB-zertifizierten Testexperten und 70 Spezialisten für IT-Security und Datenschutz prüfen wir die Qualität und Sicherheit von Web-Applikationen.
Infrastructure and Application Security
4 15.09.2015
Unser Team
30 Experten im Bereich Penetrationstest und IT – Forensik Berater, technische
Sicherheitsexperten, Penetrationtester, Projektmanager, Auditoren,
anerkannte Zertifizierungen z.B. als Certified Ethical Hacker (CEH) ISTQB Certified Tester GIAC Certified Forensic Analyst (GCFA) Certified Security Analyst (ECSA) Certified Information Systems Security
Professional (CISSP) TeleTrusT Information Security Professional
(T.I.S.P.)
Vorgehen
Penetrationstest und Forensik
6 15.09.2015
Herausforderung Aufspüren von Sicherheitslücken in Anwendungen
oder IT-Infrastrukturen, bevor andere sie zu Ihrem Schaden ausnutzen können
Bewertung des Sicherheitsniveaus von Anwendungen
Beschreibung der identifizierten Schwachstellen Erstellung eines detaillierten Maßnahmenkataloges
mit Empfehlungen
Ihr Nutzen Langjährige Erfahrung zu Testmethoden Aktuelles Know-how zu möglichen
Angriffsszenarien
Akkreditiertes Prüfschema Orientiert sich am Durchführungskonzept
für Penetrationstests des BSI
Penetrationstest und Forensik
7 15.09.2015
Vorgehen Pentest
8 15.09.2015
Gefahrenanalyse
Aggressivität
Ausgangspunkt
Informationsbasis
Sichtbarkeit
Testsystem
Notfallmaßnahmen
Rechtliche Fragen
Testmodule
Ausführung der Informations-Module
Beschaffung von Dokumentation
Definition der Testelemente
z.B. Port-/ Schwachstellen-scan, Antest der Applikation
Bewertung der Risiken
Auswahl der Eindring-Module
Aktive Eindringversuche unternehmen
Revisionssichere Dokumentation
z.B. Cross-Site-Scripting, Injection, Informations-preisgabe
Bewertung der Ergebnisse
Darstellung der Risiken
Definition von Maßnahmen
Vorbereitung Informations-beschaffung
Bewertung Aktive Eindring-versuche
Abschluss-analyse
Testschwerpunkte
Testschwerpunkte
10 15.09.2015
Physischer Schutz
Zugangs- und Zutrittsbeschränkungen zu Produktionsstätten und Field Stations
Zugriffsbeschränkungen auf Arbeitsplatzsysteme/Terminals
Schutz der IT-Systeme / Serverräume
Überwachungssysteme
Gebäudeschutz
Netzwerktopologie
Überprüfung der Gesamt-Netzwerktopologie
Authentifizierung der Clients/Produktionssysteme und Server untereinander
Separierung des Firmennetzwerks von SCADA-Netzwerk
Firewall, Router, IDS, IPS Konfigurationen
VLANs, DMZs
Remote Zugriffe
WAN-Verbindungen
Plattformtests Patch Management, Backup- und Logging-Strategien
Sichere Standardkonfiguration der eingesetzten Clients
Rollen- und Rechtevergabe
Einschränkung der Nutzerprivilegien auf den eingesetzten Systemen (HMIs, RTUs)
Passwortrichtlinien
Antivirus Lösungen
Redundanz der Systeme / Failover
Unnötige Services
Kontakt
11 15.09.2015
Thomas Haase T-Systems Multimedia Solutions GmbH
Riesaer Straße 5 D-01129 Dresden
Telefon: +49 351 2820 – 2206 E-Mail: [email protected] Internet: www.t-systems-mms.com
