swisspentest - Web App Security.

Umfassende Websecurity durch künstliche Intelligenz - Finanzdienstleister Standard

Pages gescannt
14'667

Sicherheitslücken gefunden
219'701
In den letzten 24 Stunden
Kostenlose Live-Demo

«Mit KI zur bestmöglichen Präzision»

trusted by

Ziel des swisspentest

Steigerung der Sicherheit durch KI Unterstützung

Die swisspentest Plattform bietet durch diverse Komponenten mit hunderten vollautomatisierten Sicherheitstests eine grosse Abdeckung von Schwachstellenerkennung für Web Applikationen. Durch das kontinuierliche Simulieren von Angriffen auf ein Ziel können Fehlkonfigurationen, verwundbare Bibliotheken und inkorrekte Infrastrukturhärtungsprotokolle schnell und unkompliziert gefunden werden, skalierbar auf tausende einzelne Web Applikationen.

Die Plattform ist als isolierter Container (SaaS) oder in der lokalen Virtuellen Maschine (OnPremis) verfügbar. Diese erreicht durch das effiziente Klonen eines Ziels und durch ein
Deep Learning Modul zur Verminderung von false-positives die bestmögliche Präzision.

Mehr über die Verwendung der KI
Deep Learning mittels TensorFlow

Die TensorFlow AI wurde vom Google-Brain Team entwickelt und besitzt ein breites Anwendungsspektrum. Heutzutage wird es in vielen Applikationen wie Google Search, Airbnb, Twitter, Snapchat und nun auch im swisspentest eingesetzt. Durch die Verwendung von TensorFlow können die Sicherheitslücken effizienter und mit einer sehr hohen Trefferquote erkannt werden.

Training der TensorFlow Modelle

Trainiert wurden die TensorFlow Modelle mit den Quellcodes der Alexa Top 1000 Webseiten, bestehend aus insgesamt 30'000 JavaScript und weiteren Programmcodes. Von unseren Spezialisten von Hand klassifiziert und untersucht, lernte das neuronale Netzwerk bereits nach einigen tausend Scripts, diese zu verstehen und einzuschätzen. Durch hunderte Iterationen über die Samples steigerte es die Erkennung der antrainierten Schwachstellen auf über 96%. Zusammen mit dem mitwirkenden Hardcoded-Keyword-Algorithmus, erlangt das swisspentest System somit eine Präzision von 97.6%.

Sicherheit der Testdaten

Um die Sicherheit und Anonymität unserer Kunden bestens zu gewährleisten, haben wir eine eigene TensorFlow-Instanz in unsere interne Infrastruktur in der Schweiz eingebunden, welche unabhängig vom World Wide Web und ohne jegliche Kommunikation zu Google die Modelle trainiert und anschliessend im swisspentest implementiert.

Workflow Integration

Entwicklungsphase

Mithilfe der Patch Codes, welche im Portal für sämtliche Sicherheitslücken generiert werden, können Entwickler die gefundene Schwachstelle schliessen, ohne sich tief in die gegebene Sicherheitslücke einlesen zu müssen.

Testphase

Da während der Testphase ein Ausfall des Ziels tolerierbar ist, können auch intrusive Scans, welche aktiv auf das Eindringen in eine Applikation trainiert wurden und somit die beste Detektion bieten, durchgeführt werden.

Produktive Phase

Um die Usability eines Ziels durch Angriffe nicht zu gefährden, können intrusive Sicherheitsscans deaktiviert werden. Somit stellt der swisspentest keine Gefahr für das operative Business dar und kann im Silent-Mode weiterhin das Sicherheitslevel des Ziels im Auge behalten.

Internationale Pentest und Reporting Standards

Vereinfachte Integration in das interne Riskmanagement

Um eine möglichst genaue Schwachstellenanalyse bieten zu können, wurden die Sicherheitsscans konform mit dem OWASP Testing Guide entwickelt.
Das swisspentest Scoring System, basierend auf dem Common Vulnerability Scoring System (CVSS), bietet einen stets aktuellen Überblick der Sicherheit eines Ziels.

Durch die Referenz einer gefundenen Schwachstelle auf die entsprechende OWASP Top 10, Mitre Att&ck oder CWE Kategorie können die Resultate einfacher in das interne Riskmanagement eingebunden werden.

Mehr erfahren
swisspentest Score

Jeder Abstraction Layer (Infrastruktur, Domain, Subdomain, Page) erhält nach jedem Scan einen spezifischen Score. Dieser wird nach dem Common Vulenrability Scoring System (CVSS) berechnet und repräsentiert das aktuelle Sicherheitslevel eines Ziels. Auf diese Weise können in einer Gesamtübersicht kritische Komponenten einer Web Applikation auf den ersten Blick ermittelt werden.

Entwickelt nach internationalen Pentest Standards

Um eine möglichst gute Schwachstellenanalyse bieten zu können, wurde der swisspentest nach den Leitfäden des OWASP Testing Guides entwickelt. Dies beginnt bereits beim Sammeln von Zielinformationen und endet beim Reporting und der Resultate.

Compliant mit diversen Schwachstellenklassifizierungen

Jedes Finding wird im swisspentest Portal mit der entsprechenden OWASP Top 10, Mitre Att&ck oder CWE Kategorie referenziert. Dies soll die Einbindung in das interne Risk-Management erleichtern und bietet eine managementgerechte Beschreibung der Schwachstelle.

Vollautomatisierte Abwehrprozesse

Massnahmen zum Schutz Ihrer Kunden einleiten

Die swisspentest Angriffserkennung kann für ein Webportal aktiviert werden, um Angriffe auf dessen Benutzer wie Cross-Site-Scripting automatisch zu detektieren und um Abwehrprozesse umgehend einzuleiten.
Diese können im swisspentest Portal erstellt und konfiguriert werden und dienen der Schadensbegrenzung, wie dem Zerstören von gekidnappten Sitzungen oder dem Blockieren von gestohlenen Zugriffstokens.

Die Attack Map visualisiert in welchen Gebieten der Welt der swisspentest in den letzten 24 Stunden Angriffe detektiert und Abwehrmasnahmen eingeleitet hat.

Mehr erfahren
Einbindung durch HTTP Reporting Headers

Diverse HTTP Headers bieten eine Reporting Funktion, welche im Falle einer Fehlkonfiguration oder eines detektierten Angriffs automatisiert einen Report generiert, welcher an die swisspentest URL gesendet wird. Dieser Bericht kann anschliessend von der Plattform empfangen und verarbeitet werden.
Durch diese Analyse können Bedrohungen nach realen Gegebenheiten modelliert und wertvolle Informationen über die verwundbare Komponente extrahiert werden. Diese Details werden anschliessend vom Sicherheitsscanner zusätzlich eingesetzt, um weitere Sicherheitslücken effektiver aufzudecken.

swisspentest Portal

Übersichtliches User Interface für eine effiziente Administration

Das swisspentest Portal ist das zentrale User Interface für die swisspentest Plattform. Über das Portal können beispielsweise Angriffsziele, Scanning Optionen oder Teams administriert werden. Zusätzlich werden alle gefundenen Sicherheitslücken mit ausführlichen Beschreibungen und präzisen technischen Details angezeigt. Dies erlaubt jedem Anwender, ungeachtet seines IT-Hintergrunds, nützliche Informationen aus den Resultaten zu entnehmen und diese auszuwerten.

Die umfangreiche swisspentest Toolbox erweitert dessen Funktionen auf die Gebiete der Web-Usability und bietet weitere nützliche Web-Insights.

Mehr erfahren

Platform Governance Mechanism

Striktes Berechtigungsmanagement mit Blockchain Logging

Durch ein umfassendes Access Management System können die Benutzer jedes Teams individuell mit diversen Rechten ausgestattet werden. Somit können Teammanagement Rollen und Berechtigungen zur Einsicht von sensitiven Daten getrennt und eine Gewaltenteilung innerhalb der Applikation gewährleistet werden.

Das implementierte Blockchain Logging System garantiert die Richtigkeit der Log Einträge, welches alle Aktionen der Benutzer innerhalb der swisspentest Plattform erfasst. Daher ist es weder einem Benutzer noch einem Administrator möglich, Logs zu verfälschen oder zu löschen.

Community Edition

Die kostenlose swisspentest Version als Web Applikation

Die Community Edition des swisspentest beinhaltet sämtliche non-intrusive Sicherheitstests, welche auch von der Plattform kontinuierlich ausgeführt werden. Bei den gefundenen Sicherheitslücken wurde absichtlich auf eine Maskierung und somit eine Limitierung der Web Applikation verzichtet, um die Erhöhung des weltweiten Sicherheitsstandards von Webseiten zu unterstützen.

Dabei ist jedoch das Webseiten Cloning auf 50 Pages (Weiterleitungen, Webseiten oder eingebundene Ressourcen) beschränkt, um auch bei einer grossen Anzahl von gleichzeitigen Community Tests dem Anwender innert akzeptabler Zeit sinnvolle Resultate liefern zu können.

Mehr erfahren

swisspentest Product Brief

Einblicke in Engine und KI Integration

PDF herunterladen
Während Sie diese Seite gelesen haben, wurden
0 Sicherheitslücken*
durch den swisspentest gefunden.


(* die Anzahl gefundener Sicherheitslücken basiert auf aktuellen Daten der swisspentest Plattform)
Kostenlose Live-Demo