Die infra.run Security GmbH erbringt und vermittelt Dienstleistungen im Bereich der IT-Security. Dies beinhaltet Code-Audits, Penetrationstests, Architekturberatung, Hardwaretests, Schulungen (individuell oder Gruppen), Begutachtung kryptografischer Systeme und Notfallmaßnahmen bei Datenschutzvorfällen oder Hackerangriffen. Sie ist Teil der infra.run Genossenschaft e.G. i.G.
Unser übliches Vorgehen beinhaltet folgende Schritte:
1. Scoping
In der Scoping-Phase lernen wir Ihre Wünsche und Ziele kennen. Sie erfahren wie wir arbeiten und was wir können, aber auch, was wir nicht tun. Hier definieren wir gemeinsam den Umfang des Projektes, die Zielsysteme, das Vorgehen und ggf. die Grenzen der Beratung und Eingriffe. Wir klären die Vorbedingungen, Voraussetzungen, die Methodik des Vorgehens, klären ggf. ethische Fragen und geben eine erste grobe Schätzung über den Aufwand ab.
2. mögliche Leistungen
Pentesting
Ziel von Penetrationstests ist es, Schwachstellen in Ihren Systemen aufzudecken nicht erkannt worden sind.
- Whitebox testing
Unser Team erhält volle Unterstützung durch den Kunden und Zugang zu den Source Codes sowie zur Dokumentation und überprüfen diese auf Schwachstellen. Wir führen auf Wunsch Code Review für ein breites Spektrum an Programmiersprachen durch (z.B. JavaScript, Java, Python, C, Rust, Golang, PHP, .NET, etc.) durch. - Greybox testing
Wir erhalten Zugriff auf Anwendungen, Hardware und Systemen von “aussen”, ohne Source-Codes aber mit Dokumentation der Komponenten und versuchen uns Zugang zu verschaffen. - Blackbox testing
Das Team arbeitet ohne Unterstützung durch den Kunden und versucht sich Zugang zu dessen Systemen bzw. Daten zu verschaffen. Dieser Ansatz ist weniger effektiv, das Team ist so aber in der selben Situation und Kenntnisstand wie ein Angreifer. - Red-Teaming
Wir testen die Infrastruktur auch auf Widerstandsfähigkeit gegen unbefugten physischen Zugang bzw. mittels Social Engineering oder über Covert Channels. Ein Team versucht sich physisch Zugang an den Sicherheitsvorkehrungen des Kunden vorbei zu den zu testenden Systemen zu verschaffen und führt dann digitale Angriffe durch. - Purple-Teaming
Hier wird der Ansatz des Red-Teamings um ein zusätzliches Team-Mitglied ergänzt, um als Beobachter, Kontaktperson bzw. Coach durch Einblicke in die Aktivitäten der simulierten Angriffe die Leistung von Intrusion-Detection Systemen und Prozessen zu analysieren und zu bewerten oder auch um ein Blue-Team im Prozess coachen und trainieren zu können.
Tests und Beratung zu sicherem Design von Hardware und Infrastruktur
Wir erhalten Zugang zu der zu testenden Hardware, Netzen und Komponenten sowie zu den Planungs- und den Designunterlagen und prüfen diese auf Schwachstellen oder Sie binden unser Team frühzeitig in den Designprozess ein und wir unterstützen und coachen Ihre Entwickler:innen bis zum Test des finalen Produktes.
Training
Wir schulen Ihr Soft- oder Hardware Entwicklungsteam oder Einzelpersonen in Bezug auf Systemarchitektur, Netzwerkarchitektur, Softwarearchitektur, Hardwaredesign und Implementierungsdetails
Begutachtung kryptographischer Systeme
Wir unterstützen Sie in Bezug auf Design und Implementierung von kryptographischen Systemen bzw. überprüfen Ihre Designs und Implementierungen auf Schwachstellen.
Architekturberatung
Im Sinne der Vermeidung von Sicherheitsproblemen ist es sinnvoll unser Team schon frühzeitig in der Architektur-Phase einzubeziehen. Wir begleiten Sie gerne in Ihren Soft- und Hardwaredesignprozessen.
Modellierung von Bedrohungszenarien (Threat-Modeling)
Wir modellieren in Ihrem Auftrag und in Kooperation mit Ihnen die Bedrohungsszenarien, beraten Sie in Bezug auf die Szenarien die wir ggf. zusätzlich als relevant betrachten, bewerten die zu erwartenden Skillsets der potenziellen Angreifer und definieren die Aufgaben im Detail.
3. Erstellen des Angebotes
Anhand des Scopings stellen wir ein geeignetes Team zusammen, definieren die Ziele, projektieren den Aufwand und erstellen ein Angebot nach einem von drei möglichen Modellen:
- Zielbasiert:
Projektierung des Aufwandes zur Erreichung des definierten Ziels und Abrechnung nach Tagessätzen. - Budgetbasiert (time-boxed):
Sie definieren das Budget, wir schätzen die mit dem Budget erreichbaren Ergebnisse. - Kontingentbasiert:
In enger Abstimmung mit Ihnen definieren wir eine langfristige Zusammenarbeit mit einer kontingentbasierten Preisgestaltung zu günstigen Konditionen.
4. Durchführung
In der Durchführungsphase arbeiten wir anhand der Vorgaben aus dem Scoping und dem Threat Modeling alle definierten Aufgaben ab und dokumentieren die Ergebnisse im Prozess.
5. Deliverables
Die Arbeitsergebnisse werden in Form eines PDF-Reports zur Verfügung gestellt und in einer Onlinepräsentation erläutert. In komplexen Situationen bieten wir optional ausführliche Präsentationen gerne auch vor Ort an um die Ergebnisse zu diskutieren und genau zu erklären bzw. weitere Massnahmen daraus abzuleiten. Wir informieren Sie ausserdem über alle von uns verwendeten Tools, die ausschliesslich aus frei verfügbarer Open-Source-Software bestehen.
6. (optional) Retesting nach erfolgten Massnahmen
Nachdem die Funde durch ihr Team mitigiert wurden kann ein Retesting durchgeführt werden, um den Erfolg der Massnahmen zu überprüfen.
7. (optional) Assistenz bei der Mitigation der Funde
Unser Team unterstützt Sie gerne bei der Behebung der gefundenen Schwachstellen oder Probleme oder stellt alternative Vorgehensweisen vor. Über ein angeschlossenes Unternehmen der infra.run Genossenschaft können wir auch weitere Dienstleistungen wie Entwicklung von Lösungen oder Betrieb von Services anbieten.
Beratung und Bestellung: anfrage@infra.run
Disclaimer: Wir behandeln alle Funde in Ihren Systemen, Software oder Hardware selbstverständlich vertraulich, es sei denn es handelt sich um Schwachstellen in Tools, Code oder Hardware Dritter. In diesen Fällen wenden wir das Verfahren des “responsible disclosure” an, informieren die Hersteller und geben diesen 90 Tage Zeit um die Probleme zu lösen bevor wir die Funde veröffentlichen. Dieses Vorgehen ist auch in Ihrem Interesse, da nur so gewährleistet ist, dass Korrekturen an externen Tools, Code oder Hardware vom Verursacher mitigiert werden.