IT-Schwachstellenanalyse ohne False Positives
Wir erstellen softwaregestützt einen aussagekräftigen Bericht, der alle Schwachstellen und Problemzonen sowie Empfehlungen zur Behebung enthält.
Hierzu kombinieren unsere Experten öffentliche, kommerzielle und private Softwaretools, um eine maximale Abdeckung zu gewährleisten. Jeder Fund wird manuell überprüft, so dass wir sicherstellen können, dass der finale Bericht keine False Positives enthält.
Was macht DSecured besser als andere Anbieter?
Die meisten Anbieter lassen meist ein branchenübliches Softwaretool gegen einen bestimmten Scope laufen und präsentieren anschließend die Ergebnisse - wenn überhaupt. In unserer Praxis haben wir immer wieder Kunden, die uns Berichte zeigen, die sie aber selbst nicht interpretieren können. Das Problem an automatisierten Lösungen ist oft, dass man diese korrekt einstellen muss und dass sie trotzdem relativ viele false positives generieren.
Wir wollen einen anderen Weg in der IT-Sicherheitsanalyse gehen. Wir verwenden diverse bekannte Softwarelösungen und ergänzen diese durch Eigenentwicklungen sowie unsere External Attack Surface Monitoring-Tool Argos. Die Ergebnisse aller Tools werden von uns analysiert, eingeordnet und von False Positives befreit. Der Kunde bekommt einen von uns geschriebenen Bericht, der für die Entwickler einfach zu interpretieren ist.
Was ist IT-Schwachstellenanalyse?
Wir verstehen darunter einen mehrheitlich automatisierten Scan nach Softwarefehlern, Sicherheitslücken und Konfigurationsmängeln. Diese Art von Analyse ist als absolute "Baseline" in der IT-Sicherheit zu verstehen und sollte auf keinen Fall mit einem klassischen Penetrationstest verwechselt werden.
Mit Hilfe einer Schwachstellenanalyse kann ein Unternehmen für vergleichsweise wenig Geld ziemlich zügig erfahren, ob es offensichtliche Schwachstellen in der eigenen IT-Infrastruktur gibt. Die Schwachstellenanalyse ist also ein erster Schritt, um die eigene IT-Sicherheit zu verbessern. In der Regel agieren wir hier als externer Angreifer und scannen alle relevanten IP-Adressen und Applikationen. Ein Scan vom internen Netzwerk aus ist ebenfalls möglich. Im Vorfeld findet mit dem Kunden ein Kick-Off-Gespräch statt.
Wer sollte eine IT-Schwachstellenanalyse durchführen lassen?
Regelmäßige automatisierte IT-Schwachstellenanalyse sollte im Grunde jedes Unternehmen durchführen lassen. Es lassen sich einfach offensichtliche Fehler entdecken. Die verantwortlichen Entwickler-Teams können diese dann zeitnah beheben. Die Zielgruppe für IT-Schwachstellenanalysen sind alle Unternehmen, die digitale Systeme besitzen oder mit ihnen arbeiten. Teilweise schreiben Gesetze regelmäßige Schwachstellenscans und Penetrationstests vor.
"Eine IT-Schwachstellenanalyse lohnt sich eigentlich für jedes Unternehmen. "
Damian Strobel - Gründer von DSecured
Lassen Sie uns gemeinsam eine Schwachstellenanalyse Ihrer IT durchführen.
Was ist besser? Schwachstellenanalyse oder ein Pentest?
Besser wofür? Für eine grobe Einschätzung über eine große Anzahl an IT-Systemen (IPs, Dienste, Applikationen, API, CMS, ...) ist eine IT-Schwachstellenanalyse das Instrument der Wahl. Sie ist schnell, günstig und liefert in der Regel eine gute Übersicht über die Schwachstellen in der IT-Infrastruktur.
Ist die Anzahl der Systeme begrenzt oder der Schutzbedarf der Daten besonders hoch ist ein fokussierter Penetrationstest immer die bessere Wahl. Hier wird ganz gezielt ein bestimmtes System angegriffen, um möglichst viele Sicherheitslücken aufzudecken. Der Nachteil hier ist ganz klar Dauer und Kosten, diese sind in der Regel höher als bei einer Schwachstellenanalyse.
Automated Pentest als Zwischenlösung?
Eine automatisierte Penetrationstest-Lösung ist eine gute Zwischenlösung - wird aber nie einen echten Penetrationstester, der viel Erfahrung hat ersetzte können. Es gibt Sicherheitsprobleme, die automatisiert nur sehr schwer zu finden sind - Beispiele hierfür sind Probleme im Bereich Broken Access Control oder IDOR. Oft kann ein erfahrener Pentester kleine Softwarefehler so kombinieren, dass kritische Sicherheitslücken entstehen. Hierfür muss er sich mit der Software vertraut machen, er muss wissen, wie die Abläufe sind. So etwas kann bisher keine Lösung für "Automated Pentesting" anbieten - egal, was die Marketing-Abteilungen versprechen und wie viel KI drin sein soll.
Software, die wir für IT-Schwachstellenanalysen verwenden
DSecured verwendet neben OpenVAS und nmap (samt diverser Skripte) auch unsere eASM-Lösung Argos, um unbekannte Sicherheitslücken und Probleme zu finden. Letzteres bietet tiefe Einblicke in den Perimeter eines Unternehmens.
Als automatisierte Scanner-Lösungen verwenden wir primär Burp Suite sowie Nessus. Diese decken klassische Sicherheitslücken gut ab. Burp Suite wird außerdem zur Validierung von Funden verwendet. Innerhalb von Burp lassen wir außerdem eigene Plugins laufen.
DSecured entwickelt immer wieder spezielle Scanner mit primär Golang oder Python - diese werden auch verwendet, um ein noch besseres Bild der Lage zu bekommen. Beispiele sind hier unsere Tools für Path Traversals, SSRFs und XSS.
Wie viel kostet eine IT-Schwachstellenanalyse?
Es kommt drauf an, wie groß die IT-Infrastruktur ist, die geprüft werden soll. Weitere Faktoren sind die Komplexität des Netzwerks, die Branche bzw. spezielle gesetzliche Anforderungen an die Software. Oft wird eine maßgeschneiderte Lösung gefordert - hier lässt sich schwer etwas zu den Kosten sagen. Ein einfacher Scan einer Web-Applikation mit einem Bericht in PDF Form ohne False Positive bewegt sich im Bereich ab 400 Euro. Ein Scan einer kleinen IT-Infrastruktur (bis 10 IP Addressen) wird etwa 1.000 bis 5.000 Euro zu buche schlagen. Größere Infrastrukturen kosten entsprechend mehr.
IT-Schwachstellenanalyse: Und was kommt danach?
Einige Unternehmen, denen wir bisher helfen konnten
IT-Schwachstellenanalyse anfordern