T-Sicherheitsforschung findet im Labor statt

DeepSec Konferenz und SEC Consult präsentieren IT-Security-Portfolio (Bild: DeepSec)

Wien (pts015/19.11.2024/12:15) - Sicherheit in der Informationstechnologie ist nicht nur von der richtigen Umsetzung abhängig. Das Finden von Sicherheitslücken und das Testen von geeigneten Gegenmaßnahmen erfordert interdisziplinäres Wissen, moderne Laborumgebungen und Zugang zur Hardware sowie Software, die Prüfungen unterzogen werden soll. Diese Voraussetzungen führen zu starken Verzerrungen in der Wahrnehmung, weil nicht alle Produkte am Markt gleichermaßen zugänglich sind.

Leider nicht wie im Film

Die Darstellung von Attacken auf digitale Infrastruktur wird in den Medien und in diversen Unterhaltungsformaten immer dramatisch verzerrt in Bild und Ton dargestellt. Man verwendet wenige Kommandos, sieht Textzeilen auf dem Schirm und schon ist ein System kompromittiert. Die Realität sieht anders aus. Aufgedeckten Defekten in Hardware oder Software gehen oft viele Monate Vorbereitung voraus. Am Anfang steht ein Verdacht, welcher auf Scans oder Fehlermeldungen basiert. Danach müssen die Bedingungen und die verwendeten Daten zur Interaktion mit dem Ziel erarbeitet werden. Dieser Phase folgt intensives Testen, denn Sicherheitsdefekte müssen erklärbar und wiederholbar sein. Ereignisse, die nicht reproduziert werden können, müssen unter Test- und Produktivbedingungen nachgestellt werden.

Wissenschaftliches Arbeiten ist eine Grundvoraussetzung für das Finden und Dokumentieren von IT-Sicherheitsschwachstellen. Sorgfältige Methodik und Tests müssen Behauptungen stützen. Die Arbeitsweise entscheidet daher darüber wie sehr man IT-Sicherheitsexpertise vertrauen kann. Auf der diesjährigen DeepSec Konferenz gibt SEC Consult allen Teilnehmenden Einblicke in ihre Arbeit und damit auch in das Herz der Sicherheitsforschung.

Kernkomponente Vulnerability Lab

Mit dem Vulnerability Lab betreibt SEC Consult ein eigenes internes Security-Labor. Diese Einrichtung verschafft dem Unternehmen im Bereich der Netzwerk- und Applikationssicherheit einen internationalen Know-how-Vorsprung gegenüber Angreiferinnen und Angreifern. Zudem dient es der Unterstützung bei qualitativ hochwertigen Penetrationstests und bei der Evaluierung neuer Technologien. Die Kundinnen und Kunden erhalten so die aktuellsten Informationen über Sicherheitslücken und valide Aussagen über das Risikoprofil neuer Technologien. SEC Consult folgt einem Responsible-Disclosure-Prozess, der den Herstellern die notwendigen Informationen und den Zeitrahmen zur Verfügung stellt, mit welchen sie eine Sicherheitslücke validieren und beheben können. Angestrebt wird eine gemeinsame, koordinierte Veröffentlichung der Sicherheitsinformationen gemäß dieser Richtlinie. Bislang wurden vom Vulnerability Lab 427 solcher Advisories veröffentlicht.

Auch bei den Pwnie Awards ist das Vulnerability Lab als doppelter Gewinner mit sechs weiteren Nominierungen Dauergast.

Das SEC Consult Vulnerability Lab ist auch eine offizielle CNA (CVE Numbering Authority) und unsere Zuständigkeit für die Zuweisung von CVE-Nummern sind alle Schwachstellen, die in Hardware/Software von Drittanbietern durch das SEC Consult Vulnerability Lab entdeckt wurden und die nicht in den Zuständigkeitsbereich einer anderen CNA fallen.

Ohne Hardware geht es nicht

Das Hardware Lab bietet vielfältige Möglichkeiten. In dem mit diversesten Spezialwerkzeugen, Starkstrom, einer Arbeitsstation mit dichter Ablufthaube für die Arbeit mit heißer Schwefelsäure, Mikroskopen und Schutzkleidung ausgestatteten Hardware Lab können alle nur denkbaren physischen Angriffe und Eingriffe in die Hardware durchgeführt werden, um möglichen Angriffsvektoren auf den Grund zu gehen. Dank dieser im DACH-Raum einzigartigen Kombination langjähriger Hardware- und Softwareexpertise in einem Unternehmen können die SEC Consult Kundinnen und Kunden auf eine nahtlose Verbindung von Elektrotechnik und IT-Security bauen und profitieren von der daraus resultierenden besonders guten Testtiefe.

Über SEC Consult
Das Hardware Lab bietet vielfältige Möglichkeiten. In dem mit diversesten Spezialwerkzeugen, Starkstrom, einer Arbeitsstation mit dichter Ablufthaube für die Arbeit mit heißer Schwefelsäure, Mikroskopen und Schutzkleidung ausgestatteten Hardware Lab können alle nur denkbaren physischen Angriffe und Eingriffe in die Hardware durchgeführt werden, um möglichen Angriffsvektoren auf den Grund zu gehen. Dank dieser im DACH-Raum einzigartigen Kombination langjähriger Hardware- und Softwareexpertise in einem Unternehmen können die SEC Consult Kundinnen und Kunden auf eine nahtlose Verbindung von Elektrotechnik und IT-Security bauen und profitieren von der daraus resultierenden besonders guten Testtiefe.

Programme und Buchung
Die DeepSec 2024-Konferenztage sind am 21. und 22. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 19. und 20. November statt. Alle Trainings (bis auf angekündigte Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber im Bedarfsfall teilweise oder komplett virtuell stattfinden. Für registrierte Teilnehmer und Teilnehmerinnen wird es einen Stream der Vorträge auf unserer Internetplattform geben.

Die DeepINTEL Security Intelligence Konferenz findet am 20. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm an unsere Kontaktadressen. Wir stellen dafür starke Ende-zu-Ende Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html

Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.

(Ende)