Entscheidend sind die Einfallstore in Ihre Software: Die ausgenutzten Angriffspunkte, die Sicherheitslücken – und nicht die sehr vielen und zunehmenden Angriffe. Sicherheitslücken können identifiziert und geschlossen werden: Angriffssichere Software, Firmware, Microcode, Hardware und Apps. Sind alle Lücken geschlossen, ist Ihr System sicher!
Cyberangriffe bleiben also wirkungslos, wenn die Angriffspunkte identifiziert und behoben sind. Mit der stetig steigenden Verbreitung des „Internet of Things“ sind alle drahtgebunden oder drahtlos vernetzten Geräte potenzielles Ziel eines Angriffes. Von der Zahnbürste, Hygieneartikel, smarten Heizung und Steckdose, Kochgerät bis zur kompletten Fabrik mit Produktionsanlagen. Jedes Gerät mit Internetanschluss bietet aufgrund von Sicherheitslücken in Software und Hardware Angreifern ein Einfallstor. Wir demonstrieren Ihnen wie sich Sicherheitslücken identifizieren lassen – auch bisher nicht-veröffentlichte Zero-Day-Vulnerabilities, Hintertüren und auch covert channels – empfehlen Gegenmaßnahmen und erläutern die Bedeutung von Sicherheitstests mit mehreren (!) Methoden.
Deswegen müssen schon bei der Produkt- und Softwareentwicklung Sicherheitsmaßnahmen getroffen werden. Die ISO 27034 liefert hierzu einen Rahmen, um alle Sicherheitsaktivitäten auf Organisationsebene steuern zu können; darauf basiert unser softScheck Security Testing Process.
Programm des 1. Tages
IT-Sicherheitsgesetz
-
-
Für wen gilt das IT-Sicherheitsgesetz?
-
Welche Folgen hat das für Webseitenbetreiber?
-
Einführung in den Security Testing Prozess, Anforderungen der ISO 27034
-
-
Security Development Lifecycle
-
softScheck Security Testing Prozess mit 6 Methoden
-
Application Security Management nach ISO 27034 und Integrationsmöglichkeiten in die Softwareentwicklung
Security Requirements Analysis Identifizierung, Bewertung und Prüfung von Security Requirements
Security by Design – Threat Modeling
-
-
Identifizierung
-
Bewertung
-
Behebung von Bedrohungen im Software-Design
-
Programm des 2. Tages
Static Source Code Analysis
-
-
Semi-automatisierte Quellcode-Prüfung
-
Auswahlkriterien von Tools
-
Auswertung
-
Penetration Testing – simulierte Angriffe inklusive Explorative Testing und manuelles Code Auditing
-
-
Vulnerability Scanning
-
Exploitation
-
Zero-Day-Vulnerabilities
-
Dynamic Code Analysis (Fuzzing)
-
-
Arten
-
Anwendungsgebiete
-
Identifizierung von Sicherheitslücken in der Implementierung und Laufzeit-Umgebung.
-
Weitere europäische und weltweite Standards
-
-
Penetration Testing Execution Standard (PTES)
-
BSI–Praxis-Leitfaden für Penetrationstests
-
PCI Penetration Testing Guide
-
NIST 800-115, ISSAF, OSSTMM, OWASP Testing Guide v4.0 OWASP Top 10 Sicherheitslücken etc.
-
Dauer: 2 Tage à 3 Stunden
Kosten: 485,- Euro pro Person zzgl. 16% MwSt.
Weitere Informationen finden sie auf unter https://www.softscheck.com/de/workshops-de/entwicklung-sicherer-software-iso-27034-workshop/.