Security Reviews

Security Reviews werden oftmals dort eingesetzt, wo neue Lösungen in Betrieb genommen und vor der produktiven Nutzung eine Gesamtaussage über die Verwundbarkeit gemacht werden soll. Reviews werden auch im Konzeptstadium eines Vorhabens angewandt, um allfällige technische Sicherheitsaspekte frühstmöglich einfliessen zu lassen. Die Resultate aus einem Security Review dienen häufig als Entscheidungsgrundlage bei der Freigabe (Go-Live).

Zieldefinition

Wir besprechen mit Ihnen Ihr Vorhaben und zeigen mögliche Vorgehens- und Herangehensweisen auf. Typische Security Reviews beinhalten folgende Tätigkeiten:

  • Analyse von Quellcode
  • Second Opinion zu Konzepten
  • Second Opinion zum Aufbau von neuen Diensten und Infrastruktur
  • Second Opinion zu neuen Produkten und Technologien
  • Konfigurationsprüfung von Sicherheitskomponenten
  • Härtungsprüfung von exponierten Systemen
  • Prüfung von Gesamtsystemen und Architekturen

Projektdurchführung

Bei der Durchführung eines Security Reviews arbeitet Compass Security eng mit Ihnen zusammen. Alle notwendigen Insiderdaten, Netzwerk-Konzepte, System-Einstellungen oder Quellcodes werden offengelegt, damit wir uns ein Bild über die Wirksamkeit von Schutzmassnahmen machen können.

Typischerweise wird mittels Dokumentstudium, Workshops und Interviews bzw. durch Analyse der Konfiguration oder des Quellcodes, die Gesamtsicherheit beurteilt. Dabei ziehen wir etablierte Sicherheitsstandards oder Branchen-Usanz als Massstab für die Bewertung bei.

Abschlussbericht

Das Resultat ist ein Bericht, der Aufschluss über die Gesamtsicherheit gibt, die Befunde darstellt und Verbesserungspotential aufzeigt. Es ist unser Anspruch, dass sowohl Techniker als auch Entscheider basierend auf dem Resultat weiterführende Entscheide treffen können.

De-Briefing

Bei einem Security Review werden die Erkenntnisse zusammen mit dem Kunden erarbeitet. Die wichtigsten Befunde sind den Teams daher meist schon bekannt. Compass Security empfiehlt aber trotzdem ein De-Briefing, um nochmals das gemeinsame Verständnis für die Gesamtsicherheit und für das weitere Vorgehen zu festigen. 

 

Gerne geben wir Ihnen persönlich Auskunft. Ihre Ansprechpartner

AGENDA

Beer-Talk #17 in Bern: Lazy ways to own networks

Not every attack technique has to be fancy. Often simple methods are successful too. We will show you some of them at our next Beer-Talk in Bern, on... Weiterlesen

Internet Security Days 2018

Am 20./21. September 2018 geht es mal wieder hoch hinauf. Im Phantasialand Brühl (bei Köln) findet die 8. Auflage der Internet Security Days (ISD)... Weiterlesen

Industrial Cyber Security Days 2018

IT-Security in industriellen Anlagen – sicher in die Zukunft starten! Weiterlesen

KOMPLETTE agenda

aktuelles

Schwachstelle in VMware AirWatch iOS Applikationen

Stephan Sekula hat eine Schwachstelle in den VMware AirWatch iOS Applikationen identifiziert. Weiterlesen

Cross-Site Scripting Schwachstelle in IBM Notes Traveler

Stephan Sekula hat eine Reflected Cross-Site Scripting Schwachstelle in IBM Notes Traveler identifiziert. Weiterlesen

Schwachstelle in Monstra CMS

Fabio Poloni hat eine Path Traversal Schwachstelle im Monstra Content Management System identifiziert. Weiterlesen

ArCHIV

Compass Security Blog

Hidden Inbox Rules in Microsoft Exchange

Contents Introduction Attack Overview Step-by-Step Detection Email Clients Administration Tools Exchange Compliance Features MAPI Editor Eradication Microsoft Security Response Center Swiss Cyber... mehr

Area41 2018 Wrap Up

Introduction Last Friday and Saturday (15./16. June 2018), the 6th edition of the security conference Area41 (formerly Hashdays, https://area41.io/) organized by DEFCON Switzerland... mehr

ZUM BLOG