Security Consulting
Als Ihr Security-Partner unterstützen wir Sie bei der Absicherung Ihrer Systeme und Produkte und gehen mit unserem „Security Testing Process“ mit 5 Methoden weit über klassisches Penetration Testing hinaus. Mit unserem Prozess helfen wir Ihnen bei der Absicherung Ihrer Systeme in allen Phasen der Entwicklung Ihrer Software.
Kern unseres Dienstleistungsangebotes ist ein toolgestützter, ganzheitlicher Security-Testing-Prozess für Soft- und Hardware, der den gesamten Entwicklungsprozess begleitet und Sicherheitsaspekte im Design, der Implementierung sowie dem Deployment prüft und analysiert. Der Prozess basiert dabei auf Industrie-Standards wie der ISO 27034, dem OWASP Software Assurance Maturity Model und dem Secure Software Development Life Cycle (S-SDLC, Microsoft) und besteht aus den folgenden fünf Methoden:
- Requirements Analysis: Entwicklung von Software mit angemessenem Sicherheitsniveau
- Threat Modeling: Modellierung potenzieller Bedrohungen anhand der Sicherheitsarchitektur
- Static Source Code Analysis: Detaillierte Prüfung des Source Codes
- Dynamic Source Code Analysis – Fuzzing: Identifizierung bislang nicht erkannter Sicherheitslücken
- Penetration Testing: kontrollierte Angriffe zur Identifikation von Sicherheitslücken; beinhaltet Vulnerability Assessment
In der Designphase wird mithilfe von Requirements Analysis und Threat Modeling die Sicherheitsarchitektur aus Angreifersicht betrachtet und Bedrohungen identifiziert. Der Quellcode wird mithilfe der Static Source Code Analysis auf Sicherheitslücken untersucht. Mit der Dynamic Analysis (Fuzzing) identifizieren wir halb-automatisiert und kostensparend bis dato nicht erkannte Fehler und Sicherheitslücken im Binärcode. Durch die statische und dynamische Analyse erhalten die Entwickler einen Überblick über Ihren Quellcode und können sicherstellen, dass dieser konform und frei von Sicherheitslücken ist. Als letzten Schritt des Security-Testing-Process werden mithilfe des Penetration Testing Sicherheitslücken aus Angreifersicht in Ihren Produkten und Systemen identifiziert.
Die 5 Methoden sollten außerdem mittels Conformity Testing in der Entwicklungsphase unterstützt werden. Ziel des Conformity Testing ist neben der Überprüfung des Produktes auf die Erfüllung aller Requirements auch eine Untersuchung der Security Dokumentation. Diese sollte vollständig, verständlich und übersichtlich sein.
Unser Ziel ist es, Unternehmen bestmöglich beim Schutz vor Cyberangriffen zu unterstützen und eine umfassende Sicherheitsstrategie zu entwickeln. Die systematische Prävention, Erkennung und Abwehr von Cyberangriffen mit zielorientierten, gerichtsfesten forensischen Analysen von Systemen und Netzwerken unter Verwendung von standardisierten Methoden gehört ebenso zum Portfolio von softScheck .
softScheck ist zudem Mitglied der Allianz für Cybersicherheit und bietet Schulungen und Workshops zu Themen wie Secure Development, Threat Modeling, Web Application Security und Mobile Security an. Darüber hinaus bieten wir Beratungsleistungen zu Zertifizierungen an und führen als Prüfungspartner des TÜV Saarland Security Testings in Rahmen von Zertifizierungen durch. Zudem bieten wir Ihnen nach einem umfassenden Audit mit unserem Prozess unser softScheck Cyber Security Seal an.
Unsere Mitarbeitenden verfügen über Expertise in den relevanten IT-Sicherheitsbereichen. Internationale Erfahrung und fachübergreifendes Know-how in praktisch allen Branchen sowie zahlreiche Veröffentlichungen, Vorträge und Medienauftritte machen softScheck zu Ihrem Partner der Wahl in allen Fragen der Sicherheit.
Wollen Sie Unterstützung bei der Absicherung Ihrer Systeme und Produkte, dann kontaktieren Sie uns!