infra.run Security
erbringt und vermittelt Code-Audits, Penetrationstests, Architekturberatung, Hardwaretests, Schulungen (individuell oder Gruppen), Begutachtung kryptografischer Systeme und Notfallmaßnahmen bei Datenschutzvorfällen oder Hackerangriffen. Demnächst Teil der infra.run Genossenschaft.
Whitebox
Unser Team erhält volle Unterstützung durch den Kunden und Zugang zu den Source-Codes sowie vollständige Dokumentation und überprüfen diese auf Schwachstellen. Wir führen auf Wunsch Code-Review für ein breites Spektrum an Programmiersprachen durch, wie z.B. JavaScript, Java, Python, C, Rust, Golang, PHP, .NET, etc.
Greybox
Wir erhalten Zugriff auf Anwendungen, Hardware und Systemen von “aussen”, ohne Source-Codes aber mit Dokumentation der Komponenten und versuchen uns Zugang zu verschaffen.
Blackbox
Das Team arbeitet ohne Unterstützung durch den Kunden. Dieser Ansatz ist weniger Effektiv, das Team ist so aber in der selben Situation und Kenntnisstand wie ein Angreifer.
Red-Teaming
Wir testen die Infrastruktur auch auf Widerstandsfähigkeit gegen unbefugten physischen Zugang bzw. mittels social-engeneering oder über covert-channels. Ein Team versucht sich physisch Zugang an den Sicherheitsvorkehrungen des Kunden vorbei zu den zu testenden Systemen zu verschaffen und führt dann digitale Angriffe durch.
Purple-Teaming
In einem Red-Teaming Ansatz stellen wir ein weiteres Team-Mitglied als Beobachter, Kontaktperson bzw. Coach des Blue-Teams ab, das durch Einblicke in die Aktivitäten der simulierten Angreifer die Leistung von Intrusion-Detection Systemen und Prozessen analysieren und bewerten bzw. das Blue-Team im Prozess coachen und trainieren kann.