IT Sicherheit – frischer Wind
IT security – a breath of fresh air
Sécurité informatique – un vent de fraîcheur
Seguridad informática – un soplo de aire fresco
Hacker sind kreativ und finden immer neue Wege in Unternehmen einzudringen. Um Angreifern weiterhin einen Schritt voraus zu sein, braucht es immer wieder neue Ideen.

KALWEIT ITS – Wir bringen frischen Wind.
Hackers are creative and always find new ways to penetrate companies. To stay one step ahead of attackers, new ideas are always needed.

KALWEIT ITS – We bring a breath of fresh air.
Les pirates informatiques sont créatifs et trouvent toujours de nouveaux moyens de s'introduire dans les entreprises. Pour garder une longueur d'avance sur les attaquants, il faut sans cesse de nouvelles idées.

KALWEIT ITS – Nous apportons un vent de fraîcheur.
Los hackers son creativos y siempre encuentran nuevas formas de penetrar en las empresas. Para estar un paso por delante de los atacantes, siempre se necesitan nuevas ideas.

KALWEIT ITS – Traemos un soplo de aire fresco.

Prueba de penetración

La disciplina suprema

Prueba de Penetración Red Teaming

Las estrategias de seguridad informática se basan en los pilares elementales de prevención, detección y reacción. La infraestructura informática debe ser de última generación, debe mantenerse una cultura de seguridad informática adecuada y debe garantizarse la seguridad informática física.

Pero, ¿pueden todas sus estrategias de seguridad resistir un ataque? Muchos conceptos de seguridad suenan tentadores en teoría, pero fallan en la práctica. Rara vez se puede juzgar cuál de ellos es realmente eficaz sin una revisión práctica.
Es hora de comprobar si sus medidas de seguridad también dan resultado.

Los atacantes suelen elegir el eslabón más vulnerable de una cadena, que no siempre tiene que ser el de TI. A menudo, se pueden utilizar vectores de ataque en la seguridad informática física o también en la cultura de seguridad de la empresa para acceder a la información que merece ser protegida. Como parte de la prueba de penetración de Red Teaming, comprobamos su empresa de forma holística, con cualquier medio que también podría estar a disposición de un potencial atacante.

Esto le da una visión realista de la capacidad de defensa y respuesta de su empresa.

Los atacantes pueden pasar una media de 56 días en redes corporativas extranjeras antes de ser descubiertos.
(se aplica al área económica de la EMEA)

Examinamos de forma holística:

Tecnología Llevamos a cabo ataques contra su TI corporativa.
Gente Comprobamos cómo reaccionan sus empleados ante ataques reales de hackers.
¿Forma la seguridad informática parte de la cultura empresarial?
Seguridad informática física Comprobamos cómo están protegidos el edificio de su empresa, las salas de servidores y otras instalaciones relevantes de su empresa.
Normas reconocidas Trabajamos según estándares reconocidos como ISECOM OSSTMM, PTES, OWASP Testing Guide, así como las especificaciones y recomendaciones del Marco TIBER-UE del Banco Central Europeo. Además, todas nuestras auditorías de seguridad se basan en las recomendaciones de la Oficina Federal de Seguridad de la Información. Además, nuestros proyectos están asegurados por pérdidas económicas, así como por daños personales y materiales.

Prueba de penetración

Las pruebas de penetración no sólo detectan brechas de seguridad, sino que también ahorran dinero.
El coste medio por incidente de seguridad fue de 3,86 millones de dólares.

(en todo el mundo, año 2018)

Lo que sabemos

No aportamos hipótesis, sino claridad, sabiendo exactamente lo que (todavía) hay que hacer. Ayudamos a las empresas a determinar la situación real de la seguridad de sus TI sin compromiso y de forma independiente. Al hacerlo, actuamos como posibles atacantes identificando vectores de ataque y vulnerabilidades a través de ataques reales. Esto le proporciona una visión realista y sin concesiones de la situación actual de la seguridad de su TI.

Por lo tanto, KALWEIT SU

El objetivo de las pruebas de penetración es la penetración eficiente de los sistemas de tecnología de la información. Actuamos como posibles atacantes, identificamos los vectores de ataque y los explotamos técnicamente. Esto le da una visión realista de la (in)seguridad de sus soluciones informáticas y le permite cerrar las brechas de seguridad antes de que los atacantes las exploten.

Como empresa consultora independiente especializada en las disciplinas de la seguridad informática, la realización de pruebas de penetración es una de nuestras disciplinas supremas. Nuestra pretensión es realizar pequeñas pruebas de penetración automatizadas con un enfoque transparente y comprensible. Los requisitos específicos del sector bancario o sanitario no suponen ningún reto para nosotros.

    Creemos que la seguridad informática debe ser diferente hoy . La seguridad implica la confianza en soluciones independientes. La seguridad es no un producto, sino un proceso continuo. Precisamente por eso, en trabajamos con métodos de consultoría holísticos y entendemos a las empresas como un factor de seguridad holístico - tal como lo haría un atacante . Porque un concepto no hace un sistema.
    Trabajamos de acuerdo con normas reconocidas como PTES, NIST, OWASP Testing Guide, PCI-DSS, Cyber Kill Chain, así como el concepto de implementación de para las pruebas de penetración de la Oficina Federal de Seguridad de la Información . Además, nuestros proyectos están asegurados por para pérdidas financieras, así como para daños personales y materiales.

Le apoyamos con todo tipo de pruebas de penetración:

  • Prueba de perímetro
  • Prueba de cliente
  • Prueba del delincuente interno
  • Pruebas de aplicaciones web/software de aplicación/aplicaciones móviles
  • Pruebas de los sistemas bancarios centrales y de las redes minoristas
  • Revisión de la seguridad
  • Pruebas de la unidad de control del motor
  • Pruebas de dispositivos IoT
  • Pruebas en el entorno de la nube (AWS, Microsoft Azure o Google Cloud)
  • Pruebas de solución de flameo
  • Proyectos extensos con más de 400 días de proyecto al año
  • Gran experiencia en la realización de pruebas de penetración en los sectores de la banca y las finanzas, la sanidad, las infraestructuras críticas y el comercio minorista.

Ciberseguridad en la automoción

El proceso de avance de la digitalización no se detiene en el mundo del automóvil.

Debido al creciente número de ECUs en el coche, así como a la mayor interconexión de los vehículos (C2X), también aumenta el riesgo de acceso no autorizado y de manipulación de los sistemas críticos para la seguridad.

Especialmente hoy en día, los vehículos están conectados en red de muchas maneras, tanto interna como externamente. Por ejemplo, los dispositivos de navegación acceden a la información en el bus CAN y simultáneamente ofrecen acceso externo a través de interfaces como Bluetooth, WLAN o LTE. Pero incluso la interfaz obligatoria OBD-II representa un importante vector de ataque. Un ejemplo de la manipulación de las unidades de control del automóvil es la tendencia a la llamada «optimización de mapas».
Sin embargo, los conocimientos avanzados también pueden hacer uso de la información transmitida a través del bus CAN para manipular una amplia variedad de funciones del vehículo o utilizarla para mejorar las funciones. La interconexión más profunda de varias unidades de control del vehículo permite funciones innovadoras como la conducción autónoma, los sistemas de control de crucero o incluso la mejora de la navegación.

Una amenaza clara y presente

La manipulación de las unidades de control es, por tanto, una amenaza clara y presente para los conductores, los talleres, los proveedores y los fabricantes de automóviles. Ya sea un cambio en el kilometraje, un posible aumento del rendimiento o incluso la manipulación de parámetros en el bus CAN.

Control de seguridad informática

El Chequeo de Seguridad Informática ofrece a las pequeñas y medianas empresas una evaluación inicial de la situación general de la seguridad informática en su propia empresa.

 

  • ¿En qué aspectos estamos especialmente bien posicionados y en cuáles tenemos que recuperar el terreno perdido?
  • Claridad, saber exactamente lo que queda por hacer
  • Conocer qué medidas son imprescindibles y cuáles son poco relevantes
  • 2 días de aplicación con varios asesores
  • Revisión de la seguridad informática técnica y organizativa basada en VdS 10000
  • QuickCheck de la presencia web de la empresa y de las IPs externas
  • Catálogo de recomendaciones de actuación
  • Informe de gestión (formato PDF)
  • Discusión final
  • 3 días de aplicación con varios asesores
  • Revisión de la seguridad informática técnica y organizativa basada en VdS 10000
  • QuickCheck de la presencia web de la empresa y de las IPs externas
  • Catálogo de recomendaciones de actuación
  • Informe de gestión (formato PDF)
  • Discusión final
  • 4 días de aplicación con varios asesores
  • Revisión de la seguridad informática técnica y organizativa basada en VdS 10000
  • QuickCheck de la presencia web de la empresa y de las IPs externas
  • Catálogo de recomendaciones de actuación
  • Informe de gestión (formato PDF)
  • Discusión final

Investigación OSINT

Open Source Intelligence (OSINT) es un término procedente del campo de la aplicación de la inteligencia y describe un método de investigación en el que se utilizan herramientas exclusivamente pasivas para examinar datos disponibles libremente con un propósito de aplicación específico.

Como parte de la investigación OSINT, identificamos conjuntos de datos comprometidos, como documentos confidenciales, datos de acceso o información técnica útil para intentos de ataques específicos de la cadena de muerte cibernética. Estos ofrecen una imagen clara de cómo se debe evaluar la situación actual de la seguridad informática de su empresa. Dado que sólo se utilizan herramientas pasivas, este tipo de control de seguridad puede realizarse fácilmente sin infringir las disposiciones legales (especialmente los artículos 202a-c y 303a-b).

Las búsquedas de OSINT pueden utilizarse, entre otras cosas, como una fase más detallada de recopilación de información en el contexto de una prueba de penetración.

Procedimiento de las pruebas

  • Entrevista inicial
  • Hablar con todas las partes interesadas
  • Aplicación
  • Documentación
  • Evaluación de riesgos
  • Presentación de los resultados

Durante la reunión inicial, llegamos a conocerle mejor a usted y a su empresa. En la segunda ronda de la reunión, discutimos los próximos pasos junto con todos los responsables de la toma de decisiones. Esto determina la metodología de la prueba de penetración que se utilizará.

Una vez que se han identificado los posibles vectores de ataque durante la prueba de penetración, y se ha determinado su probabilidad de ocurrencia y la posible cantidad de daños, le presentamos los resultados en un informe final.

Esto incluye un resumen de gestión, una descripción detallada de los riesgos inherentes y una prueba de concepto, para que pueda reproducir las vulnerabilidades internamente con sus propios expertos en TI.

El núcleo de la documentación son las exhaustivas recomendaciones de actuación, con las que podrá llevar a cabo de forma fácil y comprensible su propia corrección de los puntos débiles.

Independientemente de un debriefing gratuito para aclarar dudas o ambigüedades abiertas, también estamos encantados de proporcionarle una confirmación de la realización con éxito de una prueba de penetración si lo solicita. Puede utilizarlo como prueba para los clientes y socios comerciales.

 

 

El informe final contiene los siguientes componentes:

  • Datos del marco del proyecto (nombre del proyecto, persona de contacto, período de prueba, alcance)
  • Resumen de la gestión
  • Descripción del enfoque y los métodos utilizados
  • Resumen y evaluación de las vulnerabilidades identificadas con respecto a su criminalidad (incluyendo la denominación de los valores CVSS y las entradas CVE), así como una prueba técnica de concepto
  • Descripción técnica detallada de las vulnerabilidades / riesgos inherentes identificados
  • Recomendación de medidas para remediar la vulnerabilidad, así como listado de todas las vulnerabilidades en forma de tabla (Excel).

Sus personas de contacto

Siempre puede contactarnos personalmente. Porque la lealtad en la asociación es mucho más importante para nosotros que el éxito a corto plazo.

Dipl-Inf. George Koch

Dipl-Inf. George Koch

Socio de negocios senior

 

+49 40 285 301 252

hello@kalwe.it

Georg Koch es Senior Business Partner en KALWEIT ITS y es responsable de proyectos internacionales y nacionales a nivel estratégico en el entorno de las PYMES y las empresas. Cuenta con más de 30 años de experiencia profesional en los sectores de la informática, las telecomunicaciones y la energía, por ejemplo en puestos de dirección intermedios con responsabilidad europea en Sharp Electronics, Philips, Shell Solar y como antiguo director general de una empresa de informática (160 empleados, más de 50 millones de euros de facturación).

 

Philipp Kalweit

Philipp Kalweit

Socio Director

 

+49 40 285 301 257

hello@kalwe.it

Philipp Kalweit es un experimentado consultor de seguridad informática en los temas de concienciación sobre la seguridad y auditoría informática ofensiva. Durante los últimos seis años, ha asesorado y auditado a clientes del entorno de las PYME y de los grupos, en particular a organizaciones reguladas por el BCE y el BaFin, así como a grupos del sector minorista. Su consultoría se centra en la seguridad informática integral. Por su trabajo, fue galardonado como "Hamburguesa del mes" por DIE ZEIT en 2019 e incluido en la lista Forbes "30 under 30 DACH" en el mismo año.