swisspentest
Anmelden
Alles von KastGroup
ALLE UNTERSEITEN ANZEIGEN

swisspentest - Web App Security.

Continuously 24/7 Risk Monitoring for Web- and Network applications

Pages gescannt
36'621
Sicherheitslücken gefunden
295'318
In den letzten 24 Stunden
Community Edition

Der swisspentest half uns dabei, schnell und einfach bestehende Schwachstellen in unserer Internet-Architektur zu identifizieren und zu beheben.
Ivo Enderli, Head Group Risk Controlling & Security, LGT Group

trusted by

Ziel des swisspentest

Steigerung der Sicherheit durch KI Unterstützung

Die swisspentest Engine bietet mit mehreren hundert vollautomatisierten Sicherheitstests eine umfassende Schwachstellenerkennung für Netzwerk- & Web Applikationen. Durch das kontinuierliche Simulieren von Angriffen auf ein Ziel können Fehlkonfigurationen, verwundbare Bibliotheken und inkorrekte Infrastrukturhärtungsprotokolle schnell und unkompliziert gefunden werden.

Die Plattform ist als isolierter Container (SaaS) oder in einer lokalen Virtuellen Maschine (OnPremis) verfügbar. Diese erreicht durch das effiziente Klonen eines Ziels und durch ein Deep Learning Modul zur Verminderung von false-positives die bestmögliche Präzision.

Mehr über die Verwendung der KI
Deep Learning mittels TensorFlow

Die TensorFlow AI wurde vom Google-Brain Team entwickelt und besitzt ein breites Anwendungsspektrum. Heutzutage wird es in vielen Applikationen wie Twitter, Airbnb, Google Search und nun auch im swisspentest eingesetzt. Durch die Verwendung von TensorFlow können die Sicherheitslücken effizienter und mit einer sehr hohen Trefferquote erkannt werden.

Training der TensorFlow Modelle

Trainiert wurden die TensorFlow Modelle mit den Quellcodes der Alexa Top 1000 Webseiten, bestehend aus insgesamt 30'000 JavaScript und weiteren Programmcodes. Von unseren Spezialisten von Hand klassifiziert und untersucht, lernte das neuronale Netzwerk bereits nach einigen tausend Scripts, diese zu verstehen und einzuschätzen. Durch hunderte Iterationen über die Samples steigerte es die Erkennung der antrainierten Schwachstellen auf über 96%. Zusammen mit dem mitwirkenden Hardcoded-Keyword-Algorithmus, erlangt das swisspentest System somit eine Präzision von 97.6%.

Sicherheit der Testdaten

Um die Sicherheit und Anonymität unserer Kunden bestens zu gewährleisten, haben wir eine eigene TensorFlow-Instanz in unsere interne Infrastruktur in der Schweiz eingebunden, in welcher unabhängig vom World Wide Web und ohne jegliche Kommunikation zu Google die Modelle trainiert und anschliessend im swisspentest implementiert werden.

Workflow Integration

Entwicklungsphase

Mithilfe der Patch Codes, welche im Portal für sämtliche Sicherheitslücken generiert werden, können Entwickler die gefundene Schwachstelle schliessen, ohne sich tief in die vorhandenen Sicherheitslücken einlesen zu müssen.

Testphase

Da während der Testphase ein Ausfall des Ziels tolerierbar ist, können auch intrusive Scans durchgeführt werden. Diese wurden auf das aktive Eindringen in eine Applikation trainiert und bieten somit die bestmögliche Erkennung.

Produktive Phase

Um die Usability eines Ziels durch Angriffe nicht zu gefährden, können intrusive Sicherheitsscans deaktiviert werden. Somit stellt der swisspentest keine Gefahr für das operative Business dar und kann im Silent-Mode weiterhin das Sicherheitslevel des Ziels überwachen.

Internationale Pentest und Reporting Standards

Vereinfachte Integration in das interne Riskmanagement

Um eine möglichst genaue Schwachstellenanalyse bieten zu können, wurden die Sicherheitsscans konform mit dem OWASP Testing Guide entwickelt.
Das swisspentest Scoring System, basierend auf dem Common Vulnerability Scoring System (CVSS), bietet einen stets aktuellen Überblick der Sicherheit eines Ziels.

Durch die Referenz einer gefundenen Schwachstelle auf die entsprechende OWASP Top 10, Mitre Att&ck oder CWE Kategorie können die Resultate einfacher in das interne Riskmanagement eingebunden werden.

Mehr erfahren
swisspentest Score

Jeder Abstraction Layer (Infrastruktur, Domain, Subdomain, Page) erhält nach jedem Scan einen spezifischen Score. Dieser wird nach dem Common Vulnerability Scoring System (CVSS) berechnet und repräsentiert das aktuelle Sicherheitslevel eines Ziels. Auf diese Weise können in einer Gesamtübersicht kritische Komponenten einer Netzwerk- / Web Applikation auf den ersten Blick ermittelt werden.

Entwickelt nach internationalen Pentest Standards

Um eine möglichst gute Schwachstellenanalyse bieten zu können, wurde der swisspentest nach den Leitfäden des OWASP Testing Guides entwickelt. Dies beginnt bereits beim Sammeln von Zielinformationen und endet beim Reporting der Resultate.

Compliant mit diversen Schwachstellenklassifizierungen

Jedes Finding wird im swisspentest Portal auf die entsprechenden OWASP Top 10, Mitre Att&ck oder CWE Kategorien referenziert. Dies soll die Einbindung in das interne Risk-Management erleichtern und bietet eine managementgerechte Beschreibung der Schwachstelle.

Threat Intelligence

Erkennung und Priorisierung von Bedrohungen

Die swisspentest Threat Intelligence scannt das Deep Web nach Risiken, welche für eine Organisation gefährlich sein könnten. Beispielsweise wird nach homographischen Domains gesucht, die für das Betreiben einer Phishing Webseite missbraucht werden können. Diese Domains beinhalten Schriftzeichen aus verschiedenen Zeichensätzen, welche mit lateinischen Buchstaben verwechselbar sind.

Sobald ein Risiko gefunden wird, löst dies ein Alarm aus, welcher nach einer manuellen Analyse entweder eskaliert oder geschlossen werden kann. Benachrichtigungen werden in Form von E-Mails mittels des swisspentest Notification Systems versendet, welches auf spezifische Anforderungen anpassbar ist.

Mehr erfahren

Automated Selenium Testing

Virtual Browsing für das Testen modernster Webseiten

Um die Analysen von Single Page Web Apps zu ermöglichen, steht ein Selenium Virtual-Browsing Modul zur Verfügung, welches die Event Handlers einer Applikation crawlt und dabei die Requests indexiert. Durch das Etablieren eines Proxys für den initiierten Traffic werden alle Requests präzise erfasst. Gefundene API Calls werden den Attack Vectors hinzufügt, um anschliessend auf Injections oder andere mögliche Manipulationen getestet zu werden.

Um den gesamten User Flow Process über mehrere Formulare zu testen und nicht durch Input Validators aufgehalten zu werden, kann mittels Input Mappings eine Zuordnung zwischen Eingabewerten und Input Feldern gemacht werden.

Docker & RESTful API

On-Premises Integration in CI/CD Pipelines

Um das On-Premise Deployment des swisspentest zu vereinfachen, wurde die gesamte Plattform durch mehrere Microservices modelliert und mittels Docker containerisiert. Diese können als Images bezogen und auf Docker-Compose oder Kubernetes Umgebungen betrieben werden.

Durch die umfassende RESTful API können die Scanning Engines in interne CI/CD Pipelines oder andere Anwendungen integriert werden. Vereinfacht wird diese Integration durch das verfügbare Swagger UI, über welches die Dokumentation der RestAPI Calls eingesehen und eine Abfrage direkt live getestet werden kann.

swisspentest Portal

Übersichtliches User Interface für eine effiziente Administration

Über das zentrale User Interface des swisspentest Portals können Angriffsziele, Scanning-Optionen oder Abwehrprozesse administriert werden. Zusätzlich werden alle gefundenen Sicherheitslücken mit ausführlichen Beschreibungen, präzisen technischen Details und übersichtliche Statistiken angezeigt.
Diese Grafiken erlauben jedem Anwender, ungeachtet seines IT-Hintergrunds, nützliche Informationen aus den Resultaten zu entnehmen und eine grobe Einschätzung des aktuellen Sicherheitslevels bilden zu können.

Die umfangreiche swisspentest Toolbox erweitert dessen Funktionen auf die Gebiete der Web-Usability und bietet weitere nützliche Web-Insights.

Mehr erfahren

Platform Governance Mechanism

Striktes Berechtigungsmanagement mit Blockchain Logging

Durch ein umfassendes Access Management System können die Benutzer jedes Teams individuell mit diversen Rechten ausgestattet werden. Somit können sensitive Daten geschützt und eine Gewaltenteilung innerhalb der Applikation gewährleistet werden.

Das implementierte Blockchain Logging System garantiert komplette Transparenz, indem es alle Aktionen der Benutzer innerhalb des swisspentest Portals aufzeichnet. Daher ist es weder einem Benutzer noch einem Administrator möglich, Log-Einträge zu verfälschen oder zu löschen.

Community Edition

Die kostenlose swisspentest Version als Web Applikation

Die Community Edition des swisspentest beinhaltet sämtliche non-intrusive Sicherheitstests, welche auch im kontinuierlichen Scanning der Plattform enthalten sind. Bei den gefundenen Sicherheitslücken wurde absichtlich auf eine Maskierung und somit eine Limitierung der Resultate verzichtet.
Beim Community Scan ist jedoch das Webseiten Cloning auf 50 Pages beschränkt (Weiterleitungen, Webseiten oder eingebundene Ressourcen), um auch bei einer grossen Anzahl von gleichzeitigen Community Tests dem Anwender innert absehbarer Zeit sinnvolle Resultate liefern zu können.

Mehr erfahren

swisspentest Product Brief

Einblicke in Engine und KI Integration

PDF herunterladen
Während Sie diese Seite gelesen haben, wurden
0 Sicherheitslücken*
durch den swisspentest gefunden.


(* die Anzahl gefundener Sicherheitslücken basiert auf aktuellen Daten der swisspentest Engine)
Kostenlose Live-Demo

KastGroup GmbH

The Power of Innovation

Der swisspentest und die zertifizierten Security Analysten des KastGroup CyberSecurity Teams unterstützten unser Unternehmen bei der Sicherheitsprüfung und der Vorbereitung unserer IT-Infrastruktur auf das TISAX Assessment.
Christian Hirschegger
Head of IT, BRUSA Elektronik AG
Referenzen lesen