Cloud Security Assessment

Die Cloud - egal ob IaaS, PaaS oder SaaS - kann sicher sein, wenn Sie richtig geplant und konfiguriert ist. Wir helfen Ihnen, das sicherzustellen!

Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Einsatzbereich

Sie wollen Microsoft 365 nutzen, können aber die Risiken nicht einschätzen. Oder Sie möchten Teile Ihrer IT in die Cloud verlagern und benötigen eine Qualitätskontrolle vor der Migration.

Ziele

Wir ermitteln, ob Ihre Microsoft 365 Cloud nach Security Best Practices geplant und abgesichert ist oder ob es Designfehler und kritische Sicherheitslücken in Ihrer Cloud Infrastruktur gibt.

Ergebnis

Sie erhalten eine aussagekräftige Bewertung des Sicherheitsniveaus Ihrer Cloud Umgebungen mit einem ausführlichen Bericht zu Schwachstellen und Handlungsempfehlungen.

Cloud Security Assessment

Welches Sicherheitsniveau hat Ihre Microsoft 365, Azure oder auch AWS Cloud?

Ein Cloud Security Assessment ist ein strukturierter und fundierter Review Ihres Cloud-Designs und der Konfiguration, der in bestimmten Szenarien durch verschiedene technische Tests ergänzt wird.

In Interviews mit den verantwortlichen Personen lernen wir das gewünschte Schutzniveau und die dafür vorgesehenen Maßnahmen kennen und überprüfen dieses Design auf seine Tragfähigkeit. Alternativ reviewen unsere Experten eigenständig Ihre Cloud-Security-Einstellungen und ergänzen diesen technischen Review durch ausgewählte Pentest-Szenarien.

Als Ergebnis erhalten Sie einen detaillierten Testbericht, der alle identifizierten Risiken beschreibt und bewertet, sinnvolle Empfehlungen ausspricht und in einer Management-Summary zusammenfasst.

Warum können gerade wir Cloud Assessments?

Unser Assessment-Ansatz ist auf alle Cloud-Lösungen anwendbar: "Software as a Service" (SaaS), "Platform as a Service" (PaaS) oder "Infrastructure as a Service" (IaaS), für Microsoft Azure, Amazon Web Services oder die Google Cloud. Und wir haben durch unser Portfolio die richtigen Fähigkeiten:

Pentester

Wir beherrschen verschiedenste Arten von Penetrationstests und kennen die meisten Komponenten aus Cloud-Umgebungen. Wir wissen also, was und wie man testen muss.

Incident Responder

Durch unsere zahlreichen Incident-Response-Einsätze erfahren wir immer wieder hautnah, was häufig schief geht und wo die größten Risiken in der Cloud liegen.

Auditoren

Große Teile eines Cloud Assessments müssen nicht getestet, sondern nur reviewed werden. Das reduziert Probleme, falls Ihr Provider kein aktives Testen erlaubt und spart Geld.

Cloud-Assessment-Ausprägungen

Microsoft 365 / SaaS Security Assessments
IaaS/PaaS Security Assessments

Vorgehen

Bei der Prüfung von M365 oder anderen "Software as a Service" (SaaS) Lösungen stehen die Auswahl und Konfiguration der genutzten Funktionen im Vordergrund - also das, was Sie als Kunde in der Hand haben. Wir können gemeinsam mit Ihren Administratoren die Einstellungen reviewen und dabei auch noch Know-How vermitteln, oder wir prüfen diese selbstständig und führen technische Tests durch.

Vorbereitung

Abstimmung des Scopes und der Prüftiefe
Kick-Off-Meeting

Durchführung

Interviews mit Admins und/oder
Review der Security-Konfiguration und manuelle Tests

Auswertung

Erstellung eines detaillierten Berichts
Best-Practice-Workshop (optional)

Verwendete Methoden und Standards

Methodisch orientieren wir uns - soweit sinnvoll - an bewährten Leitfäden:

Open Source Security Testing Methodology Manual (OSSTMM)

Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:

Härtungsguides der Hersteller bzw. Anbieter
CIS Benchmarks (Review von Konfigurationen)
IT-Grundschutz (Review von Konfigurationen)
ISO/IEC 27001:2013 (für technische Audits)

Zusätzlich greifen wir auf unsere HvS-Schwachstellendatenbank zurück, die durch unsere Incident-Response- und Threat-Intelligence-Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.

Vorgehen

Basierend darauf, wie Sie IaaS/PaaS Clouddienste in Ihrem Unternehmen einsetzen, ergeben sich meist diese und weitere Fragestellungen:

Sind die öffentlich erreichbaren Dienste korrekt abgesichert oder ist vielleicht sogar zu viel aus dem Internet erreichbar?
Welche Schutzmaßnahmen sind für Anwendungen oder Infrastruktur in der Cloud umgesetzt - auch im Vergleich zu On-Premises?
Könnten Angreifer über die Cloud in Ihr On-Premises Netzwerk vordringen?

Vorbereitung

Abstimmung des Scopes und der Prüftiefe
Kick-Off-Meeting

Durchführung

Review der Security-Konfiguration
Automatische Scans nach Schwachstellen
Manuelle Analysen und Hacking
Bei Bedarf auch Interviews mit Administratoren

Auswertung

Erstellung eines detaillierten Berichts

Verwendete Methoden und Standards

Methodisch orientieren wir uns - soweit sinnvoll - an bewährten Leitfäden:

Open Source Security Testing Methodology Manual (OSSTMM)

Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:

Härtungsguides der Hersteller bzw. Anbieter
CIS Benchmarks (Review von Konfigurationen)
IT-Grundschutz (Review von Konfigurationen)
ISO/IEC 27001:2013 (für technische Audits)

Zusätzlich greifen wir auf unsere HvS Schwachstellendatenbank zurück, die durch unsere Incident Response- und Threat Intelligence Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.

Cloud geht auch sicher! Wollen Sie erfahren, wie?

Lassen Sie uns in einem Webmeeting kennenlernen und über Ihre Zielsetzungen und aktuellen Stand sprechen.

Ja, ich bin interessiert

Cloud Security Assessment

Die Cloud - egal ob IaaS, PaaS oder SaaS - kann sicher sein, wenn Sie richtig geplant und konfiguriert ist. Wir helfen Ihnen, das sicherzustellen!

Cloud Security Assessment

Warum können gerade wir Cloud Assessments?

Cloud-Assessment-Ausprägungen

Cloud geht auch sicher! Wollen Sie erfahren, wie?

Weitere HvS Security Assessments