+49 (0) 30 59008 3687
andersen in the open

End-to-End-IT-Sicherheitsmanagementdienste

gdpr hipaa

Unternehmenssicherheit und Netzwerkschutz gewährleisten die Vertraulichkeit und Integrität Ihrer Daten

BEEINDRUCKENDE ERFAHRUNG

Im Laufe von 13 Jahren setzen wir komplexe Leitungsschemas der Risiken für Finanz- und Technologieunternehmen, Führer des Einzelhandels, des Gesundheitswesens und der anderen Branchen ein.

50+
Erfolgreiche projekte

EXPERTENPERSONAL

Wir stellen hochqualifizierte Entwickler mit umfassendem Wissen über moderne Cybersicherheitstechnologien und tiefem Verständnis der OWASP-Penetrationstestmethode ein.

20+
Sicherheitsspezialisten

ALLGEMEINE KONTROLLE DER AUSGESETZTHEIT

Regelmäßige Netzwerküberprüfung, ständige Analyse der möglichen Innen- und Außengefahren können die Schwächen Ihrer Infrastruktur in wenigen Minuten beseitigen.

24/7
Sicherheitskontrolle

Unternehmensschutz beginnt mit Verständnis für Unternehmen

Durch die Entwicklung der zwischenmaschinellen Zusammenarbeit des BYOD-Konzepts und des Internets der Dinge ist die Datenleistung deutlich gestiegen. Trotzdem hat jede dieser Eigenschaften der digitalen Welt eine Reihe von Cyberverbrechern.

Wir setzen die Strategie des Risikomanagements um, indem wir das Gleichgewicht zwischen der Effizienz der Arbeit unseren Kunden und Ihrem Sicherheitsbedarf einhalten.

Testen der Perimeter von IT-Infrastruktur

  • Datensammlung über äußere Infrastruktur der Firma
  • Suche nach verwendeten Technologien und Prioritätensetzung der äußeren IT-Aktiven durch einen Hacker
  • Erkennung von Schwachstellen und Fehler der Konfiguration von wichtigsten Aktiven
  • Selektive Entwicklung von Schwachstellen und Konfigurationsfehler zur Kontrolle der Schwachstellen
  • Bewertung der Anstiegsmöglichkeit innerhalb des Firmennetzwerks auf der Grundlage der eingehackten Aktiven
  • Bewertung der Hackenmöglichkeit der geheimen Daten auf der Grundlage realisierter Angriffsvektoren
  • Entwicklung der Karte für die Umsetzung von Angriffsvektoren auf der Grundlage der Vektoren der erfolgreichen Eindringung
  • Planentwicklung für notwendige IS-Aktionen mit Rücksicht auf aufgedeckte Mängel
  • Berichtentwicklung und Formung der Empfehlungen zur Sicherheitsverbesserung

Erkennung von Risiken auf der Grundlage der offenen Information

  • Suche nach offenen Technologien und Softwareversionen
  • Identifizierung der öffentlichen Dienstleistungen und Bewertung ihres kritischen Niveaus
  • Erkennung von Schwachstellen in IS-Einstellungen in entdeckten Diensten sowie Präsenz von öffentlichen Schwachstellen im passiven Modus
  • Suche nach offenen Kontakten der Mitarbeiter und anderen Daten, die bei Phishing-Attacken eingesetzt werden können
  • Erkennung von Informationsverluste (inkl. Quellkode der entwickelten Produkte, interne Dokumente usw.)
  • Suche nach gehackten Accounts
  • Aktivitätsanalyse in sozialen Netzwerken
  • Darknet-Monitoring für vertrauliche Informationen
  • Berichtentwicklung und Formung der Empfehlungen zur Sicherheitsverbesserung

Sicherheitstest der Web-Apps

  • Datensammlung über App
  • Kontrolltest des Web-Zugangs und AAA-Mechanismen
  • Verarbeitungsfunktionen der Testparameter
  • Test der Unternehmenslogik der App im Sinne der Sicherheit
  • Sicherheitsanalyse der IT-Komponente des Web-Server und Einstellungsprüfung
  • Schwachstellenanalyse des Quellcodes
  • Berichtentwicklung und Formung der Empfehlungen zur Sicherheitsverbesserung von Web-App

Sicherheitsanalyse der Infrastruktur des Fernzugriffs

  • Sicherheitstest der Komponenten der IT-Infrastruktur
  • Sicherheitstest der Leitung
  • Sicherheitstest des Benutzergeräts / BYOD Sicherheitstest
  • Analyse der Gesamtarchitektur des Fernzugriffs
  • Test der Mitarbeiterinformiertheit durch Phishing

Methoden, die wir anwenden

Unsere Experten verwenden Black-Box-Tests, Gray-Box-Tests und White-Box-Tests, um ein System auf Sicherheit zu testen

Black Box Testing

Informationssystem- oder Infrastrukturtest vom Außenumfang mit minimal möglichen Anlageinformationen. Wir machen dem Hacker nach.

Black Box Testing scheme

Methodological stages:

  • Collection of additional information about the test object from open sources, such as search engines, whois services, as well as using DNS enumeration techniques
  • Using automated scanning tools (nmap, OpenVAS)
  • Search for open web services for internal use, administration systems
  • Analysis of interaction protocols of services published in the world, such as HTTP, collection of service banners, study of http headers
  • Analysis of available applications using the OWASP TOP-10 methodology
  • Disclosure of information about installed applications, CMS systems
  • Using phishing attacks to obtain additional information about the infrastructure, services, users, and accounts used
  • Verification of support for encryption methods and TLS / SSL settings
  • Checking available services for the possibility of exploiting vulnerabilities

Grey Box Testing

Informationssystem- oder Infrastrukturtest vom inneren Umfang oder mit Basis (Systemrollen / Hersteller, Benutzer, Partner, Kunde) Systemprivilegien.

Grey Box Testing scheme

White Box Testing

Informationssystemtest, der Schlüsselinformation über System und Infrastruktur hat, einschließlich Software-Quellcode. Analyse des Quellcodes auf Schwachstellen.

White Box Testing scheme

Methodological stages:

  • Infrastructure and integrations are analyzed for compliance with predefined standards and requirements, such as GDPR, PCI-DSS, HIPAA, ISO 27001
  • A threat model is being developed for the target system
  • Customizable metrics for monitoring and response
  • The operation of backup systems is analyzed
  • Solutions are being developed for mitigating risks by technical and organizational methods
  • Encryption of critical data is implemented if necessary
  • Additional authentication methods are introduced
  • Extends the settings of SIEM systems
  • Testing SAST / DAST code to identify possible problems
  • Problem solving and incident response profiles for SoC
  • Run scenarios in accordance with the Disaster Recovery Plan

Expertenfirma

Unsere Zertifikate