swisspentest
Anmelden
Alles von KastGroup
ALLE UNTERSEITEN ANZEIGEN

swisspentest - Web App Security.

Umfassende Websecurity durch künstliche Intelligenz - Finanzdienstleister Standard

Pages gescannt
36'621
Sicherheitslücken gefunden
295'318
In den letzten 24 Stunden
Kostenlose Live-Demo

Der swisspentest half uns dabei, schnell und einfach bestehende Schwachstellen in unserer Internet-Architektur zu identifizieren und zu beheben.
Ivo Enderli, Head Group Risk Controlling & Security, LGT Group

trusted by

Ziel des swisspentest

Steigerung der Sicherheit durch KI Unterstützung

Die swisspentest Plattform bietet mit mehreren hundert vollautomatisierten Sicherheitstests eine umfassende Schwachstellenerkennung für Web Applikationen. Durch das kontinuierliche Simulieren von Angriffen auf ein Ziel können Fehlkonfigurationen, verwundbare Bibliotheken und inkorrekte Infrastrukturhärtungsprotokolle schnell und unkompliziert gefunden werden.

Die Plattform ist als isolierter Container (SaaS) oder in einer lokalen Virtuellen Maschine (OnPremis) verfügbar. Diese erreicht durch das effiziente Klonen eines Ziels und durch ein Deep Learning Modul zur Verminderung von false-positives die bestmögliche Präzision.

Mehr über die Verwendung der KI
Deep Learning mittels TensorFlow

Die TensorFlow AI wurde vom Google-Brain Team entwickelt und besitzt ein breites Anwendungsspektrum. Heutzutage wird es in vielen Applikationen wie Twitter, Airbnb, Google Search und nun auch im swisspentest eingesetzt. Durch die Verwendung von TensorFlow können die Sicherheitslücken effizienter und mit einer sehr hohen Trefferquote erkannt werden.

Training der TensorFlow Modelle

Trainiert wurden die TensorFlow Modelle mit den Quellcodes der Alexa Top 1000 Webseiten, bestehend aus insgesamt 30'000 JavaScript und weiteren Programmcodes. Von unseren Spezialisten von Hand klassifiziert und untersucht, lernte das neuronale Netzwerk bereits nach einigen tausend Scripts, diese zu verstehen und einzuschätzen. Durch hunderte Iterationen über die Samples steigerte es die Erkennung der antrainierten Schwachstellen auf über 96%. Zusammen mit dem mitwirkenden Hardcoded-Keyword-Algorithmus, erlangt das swisspentest System somit eine Präzision von 97.6%.

Sicherheit der Testdaten

Um die Sicherheit und Anonymität unserer Kunden bestens zu gewährleisten, haben wir eine eigene TensorFlow-Instanz in unsere interne Infrastruktur in der Schweiz eingebunden, in welcher unabhängig vom World Wide Web und ohne jegliche Kommunikation zu Google die Modelle trainiert und anschliessend im swisspentest implementiert werden.

Workflow Integration

Entwicklungsphase

Mithilfe der Patch Codes, welche im Portal für sämtliche Sicherheitslücken generiert werden, können Entwickler die gefundene Schwachstelle schliessen, ohne sich tief in die vorhandenen Sicherheitslücken einlesen zu müssen.

Testphase

Da während der Testphase ein Ausfall des Ziels tolerierbar ist, können auch intrusive Scans durchgeführt werden. Diese wurden auf das aktive Eindringen in eine Applikation trainiert und bieten somit die bestmögliche Erkennung.

Produktive Phase

Um die Usability eines Ziels durch Angriffe nicht zu gefährden, können intrusive Sicherheitsscans deaktiviert werden. Somit stellt der swisspentest keine Gefahr für das operative Business dar und kann im Silent-Mode weiterhin das Sicherheitslevel des Ziels überwachen.

Internationale Pentest und Reporting Standards

Vereinfachte Integration in das interne Riskmanagement

Um eine möglichst genaue Schwachstellenanalyse bieten zu können, wurden die Sicherheitsscans konform mit dem OWASP Testing Guide entwickelt.
Das swisspentest Scoring System, basierend auf dem Common Vulnerability Scoring System (CVSS), bietet einen stets aktuellen Überblick der Sicherheit eines Ziels.

Durch die Referenz einer gefundenen Schwachstelle auf die entsprechende OWASP Top 10, Mitre Att&ck oder CWE Kategorie können die Resultate einfacher in das interne Riskmanagement eingebunden werden.

Mehr erfahren
swisspentest Score

Jeder Abstraction Layer (Infrastruktur, Domain, Subdomain, Page) erhält nach jedem Scan einen spezifischen Score. Dieser wird nach dem Common Vulnerability Scoring System (CVSS) berechnet und repräsentiert das aktuelle Sicherheitslevel eines Ziels. Auf diese Weise können in einer Gesamtübersicht kritische Komponenten einer Web Applikation auf den ersten Blick ermittelt werden.

Entwickelt nach internationalen Pentest Standards

Um eine möglichst gute Schwachstellenanalyse bieten zu können, wurde der swisspentest nach den Leitfäden des OWASP Testing Guides entwickelt. Dies beginnt bereits beim Sammeln von Zielinformationen und endet beim Reporting der Resultate.

Compliant mit diversen Schwachstellenklassifizierungen

Jedes Finding wird im swisspentest Portal auf die entsprechenden OWASP Top 10, Mitre Att&ck oder CWE Kategorien referenziert. Dies soll die Einbindung in das interne Risk-Management erleichtern und bietet eine managementgerechte Beschreibung der Schwachstelle.

Vollautomatisierte Abwehrprozesse

Massnahmen zum Schutz Ihrer Kunden einleiten

Die swisspentest Angriffserkennung kann für ein Webportal aktiviert werden, um Angriffe auf dessen Benutzer automatisch zu detektieren und Abwehrprozesse umgehend einzuleiten.
Diese können im swisspentest Portal konfiguriert werden und dienen der Schadensbegrenzung. Unter anderem können Aktionen ausgelöst werden, wie das Zerstören von gekidnappten Sitzungen oder das Blockieren von gestohlenen Zugriffstokens.

Die Attack Map visualisiert in welchen Gebieten der Welt der swisspentest in den letzten 24 Stunden Angriffe detektiert und Abwehrmassnahmen eingeleitet hat.

Mehr erfahren
Einbindung durch HTTP Reporting Headers

Diverse HTTP Headers bieten eine Reporting Funktion, welche im Falle einer Fehlkonfiguration oder eines detektierten Angriffs automatisiert Reports generieren. Diese werden an die swisspentest URL gesendet und von der swisspentest Plattform verarbeitet.
Durch diese Analyse können Bedrohungen nach realen Gegebenheiten modelliert und wertvolle Informationen über die verwundbare Komponente extrahiert werden. Diese Details werden anschliessend vom swisspentest genutzt, um in Zukunft noch mehr Sicherheitslücken aufzudecken.

Threat Intelligence

Erkennung und Priorisierung von Bedrohungen

Die swisspentest Threat Intelligence scannt das Deep Web nach Risiken, welche für eine Organisation gefährlich sein könnten. Beispielsweise wird nach homographischen Domains gesucht, die für das Betreiben einer Phishing Webseite missbraucht werden können. Diese Domains beinhalten Schriftzeichen aus verschiedenen Zeichensätzen, welche mit lateinischen Buchstaben verwechselbar sind.

Sobald ein Risiko gefunden wird, löst dies ein Alarm aus, welcher nach einer manuellen Analyse entweder eskaliert oder geschlossen werden kann. Benachrichtigungen werden in Form von E-Mails mittels des swisspentest Notification Systems versendet, welches auf spezifische Anforderungen anpassbar ist.

Mehr erfahren

swisspentest Portal

Übersichtliches User Interface für eine effiziente Administration

Über das zentrale User Interface der swisspentest Plattform können Angriffsziele, Scanning-Optionen oder Abwehrprozesse administriert werden. Zusätzlich werden alle gefundenen Sicherheitslücken mit ausführlichen Beschreibungen, präzisen technischen Details und übersichtliche Statistiken angezeigt.
Diese Grafiken erlauben jedem Anwender, ungeachtet seines IT-Hintergrunds, nützliche Informationen aus den Resultaten zu entnehmen und eine grobe Einschätzung des aktuellen Sicherheitslevels bilden zu können.

Die umfangreiche swisspentest Toolbox erweitert dessen Funktionen auf die Gebiete der Web-Usability und bietet weitere nützliche Web-Insights.

Mehr erfahren

Platform Governance Mechanism

Striktes Berechtigungsmanagement mit Blockchain Logging

Durch ein umfassendes Access Management System können die Benutzer jedes Teams individuell mit diversen Rechten ausgestattet werden. Somit können sensitiven Daten geschützt und eine Gewaltenteilung innerhalb der Applikation gewährleistet werden.

Das implementierte Blockchain Logging System garantiert komplette Transparenz, indem es alle Aktionen der Benutzer innerhalb der swisspentest Plattform aufzeichnet. Daher ist es weder einem Benutzer noch einem Administrator möglich, Log Einträge zu verfälschen oder zu löschen.

Community Edition

Die kostenlose swisspentest Version als Web Applikation

Die Community Edition des swisspentest beinhaltet sämtliche non-intrusive Sicherheitstests, welche auch im kontinuierlichen Scanning der Plattform enthalten sind. Bei den gefundenen Sicherheitslücken wurde absichtlich auf eine Maskierung und somit eine Limitierung der Resultate verzichtet.
Beim Community Scan ist jedoch das Webseiten Cloning auf 50 Pages beschränkt (Weiterleitungen, Webseiten oder eingebundene Ressourcen), um auch bei einer grossen Anzahl von gleichzeitigen Community Tests dem Anwender innert absehbarer Zeit sinnvolle Resultate liefern zu können.

Mehr erfahren

swisspentest Product Brief

Einblicke in Engine und KI Integration

PDF herunterladen
Während Sie diese Seite gelesen haben, wurden
0 Sicherheitslücken*
durch den swisspentest gefunden.


(* die Anzahl gefundener Sicherheitslücken basiert auf aktuellen Daten der swisspentest Plattform)
Kostenlose Live-Demo

KastGroup GmbH

The Power of Innovation

Das Infrastruktur-Team von Group IT der Liechtensteinischen Landesbank arbeitet seit 2017 in diversen Projekten mit der Kastgroup GmbH zusammen und ist mit den Umsetzungen immer sehr zufrieden...
Andreas Batlogg
Leiter IT Infrastructure, Liechtensteinische Landesbank AG
Referenzen lesen