Y-Security GmbH
Y-Security führt Attack Simulations, Penetration Tests, sowie Security Trainings durch. Identifizieren und schließen Sie Schwachstellen in Systemen, um Angriffsflächen für Threat Actors zu verringern und Risiken eines Datenlecks zu minimieren.
Die Y-Security Dienstleistungen sind unterteilt in Attack Simulations, Penetration Tests und Security Trainings.
Attack Simulations
Unsere Red Team, Threat Simulation und Bespoke Szenario Simulation beinhalten Industriestandards und kombinieren unsere langjährige Erfahrung in der Durchführung von Cyber Resilience Simulationen mit (öffentlich) unbekannten Taktiken, Techniken und Prozeduren eines Threat Actors.
Red Team
Unsere Red Team Übung ist ein gezielter Angriff gegen Ihr Unternehmen aus der Perspektive eines Angreifers, mit zunächst keinen oder wenigen Informationen über das Ziel. Die Übungen sind so strukturiert, dass die im Unternehmen umgesetzten technischen, physischen und prozessbasierten Prozeduren auf ihre Wirksamkeit gegen einen zielgerichteten Cyberangriff geprüft werden.
TIBER
TIBER ist ein Framework, welches als Rahmenwerk für Threat Intelligence-Based Ethical Red-Teaming in der Finanzindustrie gilt. In TIBER-EU Tests, werden die Taktiken, Techniken und Prozeduren eines realen Angreifers, unter Berücksichtigung von Threat Intelligence Informationen, nachgestellt.
Simulated Attack
Ein simulierter Angriff folgt definierten Taktiken, Techniken und Prozeduren, um die kritischen Funktionen (CF/KF), der im Umfang definierten Systeme, zu prüfen. Der Umfang ist hierbei in der Regel weniger umfangreich wie in einer klassischen Red Team Übung – so können ebenso kleinere Simulationen nachgestellt werden.
Threat Intelligence
Wir ermitteln bestehende und neue Bedrohungsszenarien, um diese in einem gezielten Angriff zu prüfen. Ermittelte Bedrohungsszenarien nutzen die analysierten Taktiken, Techniken und Prozeduren, um die wichtigsten Informationen zu möglichen Angreifern darzustellen.
Threat Simulation
Unsere Bespoke Scenario Simulation ist ein maßgeschneiderter und zielgerichteter Angriff gegen Ihr Unternehmen. Die Übung ist eine Kombination von klassischen Penetration Tests und Red Team Aktivitäten, bei welcher der Fokus auf vordefinierten Zielen liegt und weniger auf dem Umgehen von Defensivmaßnahmen und unerkannten Vorgehen.
Purple Team
Bei einem Purple Team Ansatz arbeiten die Angreifer (Red Team) und Verteidiger (Blue Team) viel früher als bei einer Red Team Übung, zusammen. Dies wird genutzt, um immer wieder neue Techniken und Taktiken für bekannte Prozeduren zu entwickeln.
Playbook Exercise
Ein Playbook (oder Table-Top) ist eine Risikobewertung, welche Herausforderungen in verschiedenen Rollen betrachtet. Hiermit gelingt es Mitarbeiter, die bei einem Cyber-Angriffsversuch greifenden Notfallmaßnahmen zu testen und weiterzuentwickeln.
Penetration Tests
Unsere Penetration Test Dienstleistung ist unterteilt in Application, Infrastructure, Tailored und Configuration.
Application
Unsere Application Penetration Tests sind manuelle Sicherheitsüberprüfungen von ausgewählten Anwendungen und fokussieren sich auf technische Schwachstellen, die von einem potenziellen Threat Actor genutzt werden können.
Web
Web Anwendungen und Webservice sind die am häufigsten genutzten Anwendungstests der letzten Jahre. Unser Testvorgehen orientiert und erweitert den OWASP Penetration Testing Guide und gängige Industriestandards.
Mobile
Mobile iOS und Android Anwendungen zeigen spezielle Sicherheitslücken auf, die so nicht in anderen Anwendungstests betrachtet werden. Wir helfen Ihnen dabei, Mobile Anwendungen abzusichern, indem wir sowohl die lokale Version, als auch den Endpunkt prüfen.
Thick Client
.Net, Java, sowie andere Anwendungen gehören ebenso zu unserem Repertoire. Hierbei passen wir unsere Methodik an. Oft ist eine tiefergehende Analyse notwendig, um die Client/Server-Kommunikation prüfen zu können.
Infrastructure
Unsere Infrastructure Penetration Tests sind manuelle Sicherheitsüberprüfungen von ausgewählten Systemen und fokussieren sich auf technische Schwachstellen, die von einem potenziellen Threat Actor genutzt werden können.
External / Internal
Wir prüfen, welche Dienste in der externen oder internen Infrastruktur verfügbar sind und testen diese manuell und halb-automatisiert, um das Sicherheitsrisiko zu identifizieren und eine Bewertung vornehmen zu können.
ICS / SCADA
ICS & SCADA Überprüfungen ähneln einer Infrastruktur Überprüfung – hierbei wägen wir Angriffe jedoch noch genauer ab und setzen Protokolle, sowie Anwendungen in den Fokus der Prüfung.
WiFi / WLAN
In unserer WiFi Dienstleistung prüfen wir die Konfiguration der eingesetzten Komponenten und Konfigurationen auf Schwachstellen. Dies umfasst Schwachstellen in Protokollen, der Hardware sowie der Implementierung.
Tailored
Unsere Tailored Penetration Tests sind manuelle Sicherheitsüberprüfungen von ausgewählten Systemen und fokussieren sich auf technische Schwachstellen, die von einem potenziellen Threat Actor genutzt werden können.
Phishing
Wir prüfen die Mitarbeitersensibilisierung in Bezug auf Phishing. Hierfür nutzen wir Beispielnachrichten aus unserem Portfolio oder nutzen individualisierte Phishing Nachrichten, wie z.B. „Microsoft Team Invites“, „Zwei Faktor Wiederherstellung“. Ebenso kombinieren wir Phishing Nachrichten mit SMS Phishing oder anderen Vektoren.
Breakout
Wenn Zugriff von extern auf das Unternehmensnetzwerk erlaubt wird, so kommt als zusätzlich Sicherheitsmaßnahme häufig ein System wie z.B. Citrix (VDI) zum Einsatz. Wir prüfen die Einstellungen, verifizieren und testen, ob ein Ausbruch aus den vorgegebenen Anwendungen möglich ist, oder ob Daten exfiltriert werden können.
Social Engineering
Häufig wird sich auf die technische Sicherheit fokussiert und dabei der physikalische Zugriff vernachlässigt. Mit unserer Social Engineering Dienstleistung können wir den Zugriff und Zutrittsschutz prüfen.
Your Service
Mit unserer Tailored Dienstleistung können wir die hier nicht explizit erwähnten Dienstleistungen erbringen. Häufig basieren die Tailored Dienstleistungen auf spezielle Anforderungen, die in keine der zuvor erwähnten Kategorien passen, aber dennoch eine Sicherheitsbetrachtung benötigen. Dies könnte eine Produktüberprüfung, Protokollanalyse oder auch Hardware Security bzw. Embedded Device & Firmware Prüfung sein. Bitte sprechen Sie uns an, wenn die benötigte Dienstleistung nicht aufgelistet ist und wir werden prüfen, wie wir diese für Sie erbringen können.
Configuration
Unsere Configuration Audits sind manuelle Sicherheitsüberprüfungen von ausgewählten Systemen und fokussieren sich auf Fehlkonfigurationen, die von einem potenziellen Threat Actor genutzt werden können.
Golden Image
Ein „Golden Image“ erlaubt es einer Firma die gleiche Konfigurationen auf vielen Systemen einzusetzen – häufig z.B. das Betriebssystem für Mitarbeitersysteme. Dies erlaubt es uns eine einzige Konfiguration/System zu prüfen, darüber jedoch einen Rückschluss auf eine Großzahl der installierten Systeme und deren Sicherheit zu ziehen.
Secure Configuration
Wir attackieren nicht nur Netzwerkgeräte, wie Switche und Firewalls, in unseren Penetrationstests. Wir können ebenso die Konfiguration dieser auf mögliche Sicherheitslücken, die aus der Perspektive der Überprüfung nicht hätten gefunden werden können, prüfen.
Cloud
Wir prüfen die Konfiguration von Cloudsystemen wie Azure und AWS. Auch können wir Git und andere CI Instanzen auf mögliche Schwachstellen prüfen und somit die Sicherheit geben, dass die Dienste dem Security Best Practise entsprechen.
Security Trainings
Unsere Security Trainings sind unterteilt in RED TEAM, Penetration Test und Tailored.
Red Team
Machen Sie sich bereit für unsere Red Team Trainings. Lernen Sie, wie Atack Simulations durchgeführt werden und erhalten Sie einen Einblick darin, wie Threat Actor agieren, um Zugriff auf kritische Daten ihres Unternehmens zu erhalten und Sicherheitskontrollen umgehen. Unser Kurs beinhaltet praktische Übungen zu aktuellen und realen Angriffen, die durch unser erfahrenes Team vermittelt werden, welches langjährige Erfahrung in der Durchführung von Attack Simulations und Penetration Tests besitzt.
Red Team 101
In unserem Red Team 101 starten die Teilnehmer als externer Angreifer und erarbeiten sich ihren Weg in ein Unternehmensnetzwerk, um Zugriff auf kritische Daten zu erhalten und anschließend das Active Directory zu übernehmen. Hierbei vermitteln wir die benötigten Grundlagen für die durchgeführten Techniken.
Red Team 102
Die Teilnehmer erfahren, wie raffinierte Angreifer Defensivmaßnahmen umgehen, Schwachstellen kombinieren und sich im Netzwerk bewegen, ohne vom Defensiv Team erkannt zu werden. Anhand praktischer Übungen werden Teilnehmer durch eine Anzahl an verschiedenen Angriffskategorien und Vorgehen geführt.
Penetration Test
Machen Sie sich bereit für unsere geführten Offensive Penetration Test Trainings. Lernen Sie, wie Penetration Tests durchgeführt werden und erhalten Sie einen Einblick darin, wie Angreifer ihre Angriffsszenarien bilden, Schwachstellen in Systemen identifizieren und ausnutzen, um Zugriff auf kritische Systeme und Daten zu erhalten.
Pentest 101
Teilnehmer erhalten einen Einblick darin, wie übliche Schwachstellen in Webanwendungen und Infrastrukturkomponenten identifiziert und ausgenutzt werden. Die Teilnehmer bekommen einen Einblick in das Vorgehen mittels eines manuellen Ansatzes, der mit automatisierten Tools unterstützt wird, um Schwachstellen zu identifizieren.
Pentest 102
Die Teilnehmer erlernen das Testen von komplexen Angriffen gegen Anwendungen. Dieser Kurs übertrifft die in der OWASP Top10 genannten Schwachstellen und vermittelt das breite Spektrum an Schwachstellen in den verschiedensten Technologien und Prozessabläufen. Teilnehmer lernen, wie eigene Hilfsmittel und Programme für Penetration-Tests von Anwendungen gebaut werden und wie unbekannte Protokolle und Netzwerkdienste geprüft werden können.
Tailored
Machen Sie sich bereit für ein maßgeschneidertes Training, eine charakteristische Präsentation oder einen individuellen Workshop. Mit unseren Trainingskursen zu Red Team und Penetration Test haben wir bereits eine gute Grundlage für diejenigen geschaffen, die im Offensive Security Bereich starten oder ihr bestehendes Wissen vertiefen wollen.
Phishing Awareness
Wir führen Trainings für alle Mitarbeiter durch, um ein höheres Sicherheitsbewusstsein zu vermitteln – zum Beispiel, indem wir praktische Phishingangriffe und deren Konsequenzen aufarbeiten und präsentieren.
Tabletop Exercises
Eventuell mussten Sie bereits einen Cyber-Angriff abwehren oder wurden Opfer eines Hackingangriffs? Wurde der Maßnahmenkatalog und die Meldekette eingehalten? Lassen Sie uns Ihre Notfallmaßnahmen in einem interaktiven Spiel prüfen und diskutieren.
Mobile Application
Mobile Anwendungen sind natürlich sehr bekannt – das Prüfen auf Schwachstellen in mobilen Anwendungen wird jedoch weiterhin als Nische gesehen. Lassen Sie uns dies ändern und uns Ihr Team trainieren, um zukünftig auch Schwachstellen in iOS und Android Anwendungen zu finden.
Your Training
Mit unserem Tailored Training können wir die hier nicht explizit erwähnten Trainings erbringen. So haben wir zum Beispiel individualisierte vor Ort Trainings oder auch komplexe Reverse Engineering Trainings erbracht. Des Weiteren haben wir mehrere Capture The Flag (CTF) Events ausgerichtet, sowie Linux und Windows Breakout und Privilege Escalation Trainings. Ebenso haben wir auf Konferenzen unser Wissen vermittelt. Bitte sprechen Sie uns an, wenn das benötigte Training nicht aufgelistet ist und wir werden prüfen, wie wir dieses für Sie erbringen können.