Sucht jemand ein neues IT-Corporate Design mit tollem Logo? Aufgrund persönlicher Verbindungen zur Firma Reuning GmbH kann ich eventuell einen Discount besorgen. Bei Interesse bei mir melden!
https://reuning.design/buydesign/it-branding-codenova
WebCompScan von binsec.tools ermöglicht es die auf Websites eingesetzten Technologien zu identifizieren und zu überprüfen, ob diese veraltet oder anfällig sind.
Zu den Technologien, die das Tool WebCompScan erkennen kann zählen unter anderem CMS-Systeme, Webserver, Programmiersprachen, JavaScript-Libraries, aber auch angebotene Zahlungsmittel.
Zur Erkennung der Technologien greift es auf Open Source Datenbanken mit Regex-Patterns zurück. Die zu prüfende Website wird automatisiert in einem Browser aufgerufen und mit Hilfe der Patterns wird überprüft, ob die verschiedenen Bestandteile der Website Hinweise für bekannte Technologien enthalten. Dabei werden neben HTTP-Headern und dem HTML-Quellcode der Website auch das Document Object Model (DOM) und die JavaScript-Variablen während der Ausführung anaylsiert.
In einigen Fällen können auf diese Weise auch Versionsinformation zu den eingesetzten Softwarekomponenten gewonnen werden. Diese werden im nächsten Schritt mit einer Open Source Datenbank zu bekannten Schwachstellen geprüft. Ebenso wird geprüft, ob die Softwarekomponenten noch vom Hersteller unterstützt werden oder bereits End of Life sind.
Im Prinzip sind all diese Informationen öffentlich, binsec.tools kombiniert sie jedoch zu einem kostenlosem Pentest Tool.
Die binsec Gruppe startet binsec.tools:
https//binsec.tools | Online Tools for Penetration Testing
Online sind die ersten drei Tools SSLCheck, WebCompScan und DNSCheck.
Die IEC 81001-5-1 definiert Anforderungen an den Lebenszyklus für die Entwicklung und Wartung von Gesundheitsanwendungen und die Informationstechnik innerhalb von Medizingeräten. Um dies zu erreichen stellt die Norm Anforderungen an verschiedene Prozesse im Lebenszyklus eines Medizingeräts und gliedert sich primär in folgende Anforderungskategorien.
Innerhalb vom Software Development Process gibt es die Anforderung an das Software System Testing, dass sich in Security Requirement Testing, Threat Mitigation Testing, Vulnerability Testing und Penetration Testing unterteilt.
Der Hersteller muss dabei einen Penetrationstest beauftragen, um Sicherheitsschwachstellen in der Software (Gesundheitsanwendung bzw Medizingerät) zu identifizieren. Die IEC 81001-5-1 fordert, dass im Penetrationstest versucht wird die Vertraulichkeit, Integrität und die Verfügbarkeit zu beeinträchtigen. Hierzu können auch mehrere Verteidigungslinien im Design umgangen werden müssen, indem der Einsatz von Tools sowie insbesondere manuelle Fähigkeiten des Penetrationstesters zum Einsatz kommt.
Hervorgehoben wird in der Norm dazu noch, dass die Penetrationstester unabhängig von der Entwicklung sein müssen. Da die wenigsten Medizingeräte-Hersteller über eine eigene Abteilung für Penetrationstests verfügt, muss in der Regel ein darauf spezialisiertes Unternehmen beauftragt werden.
Die binsec GmbH sucht ab sofort Senior Penetration Tester, die etwas auf dem Kasten haben. Wer für verschiedene Kunden unterschiedliche Penetrationstests durchführen will oder es satt hat auf 12-Monats-Projekten bei Kunden zu sitzen. Hier findet man die Job-Beschreibung bzw Stellenanzeige:
https://www.binsec.com/de/jobs/senior-penetration-tester/
Die Stellenanzeige zum Senior Penetration Tester (m/w/d) entspricht ziemlich dem Arbeitsklima, Mindset und Humor des Teams. Wer sich also so gar nicht angesprochen fühlt, ist hier fehl am Platz. Wer Bock auf ein cooles Team hat, her mit der Bewerbung.
Die MDR verlangt im Anhang I bei „Produkte, zu deren Bestandteilen programmierbare Elektroniksysteme gehören, und Produkte in Form einer Software“ unter Punkt 17.2 die Verifzierung und Validierung, dass das Produkt bzw die Software nach dem Stand der Technik entwickelt wurde – aus der Perspektive der IT-Sicherheit:
17.2 Bei Produkten, zu deren Bestandteilen Software gehört, oder bei Produkten in Form einer Software wird die Software entsprechend dem Stand der Technik entwickelt und hergestellt, wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen sind.
MDR, Anhang I – Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (Text von Bedeutung für den EWR. )
Im Medical Device Coordination Group Document „MDCG 2019-16 Guidance on Cybersecurity for medical devices“ findet sich nun als Konkretisierung der vorherigen Verifzierung- und Validierungsbestimmung Penetration Testing als eine Möglichkeit:
MDR Annex I Section 17.2 and IVDR Annex I Section 16.2 require for devices that incorporate software or for software that are devices in themselves, that the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of the development life cycle, risk management, including information security, verification and validation. The primary means of security verification and validation is testing. Methods can include security feature testing, fuzz testing, vulnerability scanning and penetration testing. Additional security testing can be one by using tools for secure code analysis and tools that scan for open source code and libraries used in the product, to identify components with known issues.
Medical Device Coordination Group Document, MDCG 2019-16
Die Teilnahme am Compliance-Programm für Microsoft 365-Zertifizierungs von Apps für Teams-Anwendungen, SharePoint-Apps/Add-Ins, Office-Add-Ins und WebApps erfordert die Durchführung eines Penetrationstests. Bei der Erstdokumenteneinreichung muss ein Unternehmen Unterlagen und Nachweise einreichen. Neben anderen Doikumenten ist ein Bericht von einem Penetrationstest erforderlich, der innerhalb der letzten 12 Monate abgeschlossen wurde. Der Pentest muss der Live-Umgebung prüfen, die die Bereitstellung der App unterstützt, sowie alle zusätzlichen Umgebungen, die den Betrieb der App ermöglichen. Wenn Segmentierungskontrollen vorhanden sind, müssen diese ebenfalls getestet werden.
Die Pentest-Anforderungen von Microsoft sind:
Die Kursunterlagen vom Pentest Training der binsec academy GmbH sind nun im Wiki der binsec frei zugänglich und werden dort weiter aktuallisiert:
Eigentlich hätte es eher schon BETTER PENTESTING – NO BULLSHIT heißen müssen, wenn man die Werbe- und Verkaufsversprechen vieler Anbieter für Pentesting sieht. Etwas abgeschwächt ist es dann BETTER PENTESTING – NO NONSENSE als neuer Werbe-Slogan für Pentesting der binsec GmbH geworden.
Wie man auf den ganzen Bullshit – sorry Nonsense – vieler anderer Pentesting Dienstleister kommt? Hier ein kleiner Best of Nonsense:
Heute habe ich eine sehr nette Mail von Gloria vom Enterprise Security Magazine Europe erhalten, in der mir mitgeteilt wird, dass binsec einer der Top Cyber Security Solution Provider ist.
Hi Patrick,
I am Gloria Lam with Enterprise Security Magazine Europe.
I am excited to inform you that our magazine’s evaluation panel has shortlisted binsec to feature as one of the ‘Top 10 Cyber Security Solution Providers in Europe 2022’ in our upcoming 2nd annual edition of ‘Cyber Security 2022’.
We want to feature binsec and bring out your specialization with a client-centric profile. binsec ‘s recognition feature published in this edition will depict your organization as a leader in the Cyber Security space and thus generate potential prospects while helping you convert existing prospects to clients. Our team has received positive feedback from our clients that the recognition profile has helped them convert their prospects to clients, and I’m sure you will see similar results.
At 3,000 Euros, you will receive a full-page exclusive interview-based profile. We will feature an HTML page of the profile on our website with a backlink to your website. Most importantly, you will acquire unlimited print and digital rights for the recognition profile, Logo, and Certificate of Honor. Upon your confirmation, we will schedule a telephonic interview with binsec ‘s CEO/Senior Management for us to move ahead.
Concerning the magazine, Enterprise Security Magazine Europe is a print and digital magazine with over 99,900 qualified subscribers across Europe. It provides a comprehensive platform for senior-level industry experts and decision-makers to share their insights following a unique learn-from-peers approach. This special edition will reach out to C-level decision-makers such as CISOs, Directors of Cyber Security, and Heads of Audit for Information security and privacy, to name a few, who are our subscriber base.
Patrick, we have worked with Industry leaders such as Ramy Houssaini (Chief Cyber & Technology Risk Officer & Group Privacy Officer at BNP Paribas); Steve Williamson (Audit Account Director, Information Security, and Data Privacy at GSK); Cedric Gourio (Group Chief Security Officer at Worldline), to name a few. Similarly, this year, we will have articles from such specialists. It will be an excellent platform for binsec to be highlighted along with them.
E-Mail von Gloria with Enterprise Security Magazine Europe, 19.10.2022
3.000 Euro, um als Top 10 gelistet zu werden und einen Backlink zu bekommen. Ist das nicht ein großartiges Angebot?
