Erste Ausgabe von Cyber-Insight 2020.1.29

Erste Ausgabe von Cyber-Insight 2020.1.29

Apropos Penetrationstest und Social Engineering
In Filmen sieht man oft, dass Gangster den Konstrukteur des Präzisionssicherheitssystems bedrohten und das Bild des Gewölbes öffneten. Was ist in der virtuellen digitalen Welt wertvoll? Information ist eine Antwort. Natürlich gibt es Geld.

Penetrationstests haben normalerweise zwei Richtungen: Erstens die Website, auf der das Unternehmen Dienste für die Außenwelt bereitstellt: Solange das Unternehmen Dienste bereitstellt, muss es einen Port öffnen und auf die Bedürfnisse der Kunden reagieren. Diese Websites können jedoch selbst entwickelte Programme verwenden, und die Programme können logische Lücken aufweisen. Oder es hat eine unbekannte Schwäche bei der Verwendung von Open Source-Bibliotheken. 2. Personen ohne Sicherheitsbewusstsein: In der Regel können die Kontokennwörter von Führungskräften oder Mitarbeitern der Unternehmensinformation viele Vorgänge initiieren, einschließlich der Offenlegung wertvoller Informationen oder der Übertragung von Ressourcen.

Ein Penetrationstest dient daher nicht nur dazu, die im Zustand auftretenden Mängel zu erkennen, sondern auch einen Kreislauf der kontinuierlichen Verbesserung einzurichten. Beispielsweise stärkt die ISO27001-Reihe schrittweise die Informationssicherheitsfunktionen des Unternehmens aus dem PDCA-Verwaltungszyklus heraus und kann bekannte Bedrohungen erkennen und aushalten, während neuere und unbekannte Schwachstellen durch Kompensationsmaßnahmen (wie SSDLC, Sensibilisierung aller Mitarbeiter) ausgeglichen werden.


Cyber-insight first issue
Talking about penetration testing and social engineering
It is often seen in movies that gangsters threatened the designer of the precision security system and opened the picture of the vault. What is valuable in the virtual digital world? Information is an answer. Of course there is money.

Penetration testing usually has two directions: First, the website where the company provides services to the outside world: As long as the company provides services, it must open a port, and it must respond to the needs of the client. However, these websites may use self-developed programs, and the programs may have logical loopholes. Or it has an undisclosed weakness using open source libraries. 2. Individuals without security awareness: usually the account passwords of senior executives or corporate information personnel can initiate many operations, including the disclosure of valuable information or the transfer of resources.

Therefore, a penetration test is not only to detect the defects that occur in the state, but also to establish a cycle of continuous improvement. For example, the ISO27001 series gradually strengthens the company's information security capabilities from the PDCA management cycle, and can detect and withstand known threats, while recent and unknown vulnerabilities are compensated through compensation measures (such as SSDLC, awareness raising for all employees) .

Cyber​​-insight 创刊号
浅谈渗透测试和社交工程
在电影里常可以见到，歹徒威胁精密保全系统的设计者，打开金库的画面。而在虚拟的数位世界里，什么是有价值的事物呢？资讯，是一个答案。当然还有钱。

渗透测试通常有二个方向：一、企业对外提供服务的网站：只要企业要提供服务，就必须要开连接埠（Port），而且必须回应客户端的需求。但是这些网站可能使用自行开发的程式，程式可能会有逻辑上的漏洞。又或者是使用开放原始码的函式库而有未曾批露的弱点。二、没有安全意识的个人：通常高阶主管或企业资讯人员的帐号密码，能够启动许多作业，包含有价值资讯的揭露或资源的移转。

所以，一个渗透测试，不仅是要侦测出现在状态下的缺点，更重要的是要建立起能持续改善的循环。例如ISO27001系列，从PDCA的管理循环中逐渐强化企业的资讯安全能力，并能侦测、抵挡已知威胁、而新近、未知的弱点透过补偿措施（例如SSDLC、全员资安意识提升）来补不足。