Get best of the week

Wie man einen Pentest erfolgreich besteht (schlechter Rat)

Wenn Sie dringend einen Pentest durchführen müssen,
während Sie keinen Nacken bekommen möchten, lesen Sie
schnell die
Liste der erstaunlichen Tipps, die für Sie vorbereitet wurden - das wird Sie sicherlich retten.


Dieser Beitrag ist auf humorvolle Weise verfasst, um zu demonstrieren, dass selbst Pentester , deren Arbeit interessant und aufregend sein sollte, unter übermäßiger Bürokratie und Kundenloyalität leiden können.

Stellen Sie sich eine Situation vor: Sie sind Spezialist für Informationssicherheit und wissen, dass der von Ihnen erstellte Schutz völliger Müll ist. Vielleicht wissen Sie das nicht, aber Sie möchten es nicht wirklich überprüfen, denn wer möchte die Komfortzone verlassen und etwas Besonderes tun, Schutzmaßnahmen ergreifen, Risiken mindern und dem Budget Bericht erstatten?

Plötzlich besteht in Ihrem fernen Königreich, in Ihrem dreißigsten Bundesstaat, die Notwendigkeit, einen Pentest gegen Ihren Willen durchzuführen. Beispielsweise ist den Behörden etwas fremd geworden, oder es ist eine neue gesetzliche Anforderung entstanden. Es ist für Sie offensichtlich, dass es sich lohnt, ein „Sharashkin-Büro“ zu finden, das eine Nachahmung der Arbeit vornimmt und schreibt, dass alles in Ordnung ist und die Angelegenheit vorbei ist, aber die Situation wird komplizierter. Ihr Unternehmen beschließt, einen Wettbewerb zu spielen und dies so effizient wie möglich durchzuführen: Schreiben Sie eine angemessene technische Spezifikation, stellen Sie hohe Anforderungen an das Pentester-Team (Zertifikate, Teilnahme an der Bug-Prämie) usw. Im Allgemeinen haben sie alles für Sie getan, und Sie sind nur dafür verantwortlich, die Arbeit zu überwachen.

So wurde das Team gefunden, der Vertrag unterzeichnet und die Spezialisten davon überzeugt, einen Pentest durchzuführen, nachdem die Ärmel nicht funktionierten. Kluge Jungs, sie werden am Montag mit der Arbeit beginnen und Ihre Informationssicherheit in die Luft jagen. Danach schnappen Sie sich einen Hut und Ihre Inkompetenz wird aufgedeckt. Die Situation scheint Ihnen am bedauerlichsten, aber da war es! Hier sind einige schlechte Tipps, wie Sie diese Kopfschmerzen beseitigen oder zumindest minimieren können.

Tipp 1: Koordinieren Sie jeden Schritt


Koordinieren Sie alles: Welche Tools können Pentester verwenden, welche Angriffe werden sie ausführen, welche Risiken werden sich für Ihr IS-System ergeben? Fordern Sie noch besser einen detaillierten (fast stündlichen) Testplan für jeden Tag an. Seien Sie versichert: Pentester werden Sie hassen. Sie denken, dass sie kreative Arbeit haben, aber Sie werden ihnen sagen, dass nichts von ihnen verlangt wird, außer der trivialen Leistung der Arbeit. Und denken Sie daran: Ihre Waffe ist Zeit, ziehen Sie bei jedem Schritt so viel Koordination wie möglich. Begründen Sie dies mit der Tatsache, dass Sie ein großes Unternehmen haben und viele Genehmigungen einholen müssen: von Systembesitzern, von der IT, von Sicherheitsbeauftragten usw. Auch wenn es keine gibt, können Sie etwas verschönern.

War es echt?


Ja, ein großes und ausgereiftes Unternehmen und besonders effektive Manager, die dies nicht selbst tun möchten, gehen mit Genehmigungen so oft zu weit, dass das gesamte Team demotiviert wird. Die Leute haben keinen "Antrieb" zur Arbeit, keinen Wunsch, kreativ zu sein und wirklich etwas zu hacken. Es ist besonders seltsam, wenn auf einem bestimmten Server am Dienstag von 15:00 bis 18:00 Uhr nur die Stufe „Erhöhung der Berechtigungen“ vereinbart wird (dies ist so einfach und natürlich).

Tipp 2: Fügen Sie weitere Einschränkungen hinzu


Fügen Sie Einschränkungen für die ausgeführte Arbeit hinzu: durch die Anzahl der gleichzeitigen Scans, durch die zulässigen IP-Adressen, durch den Betrieb und durch akzeptable Angriffe. Scannen Sie keine zufälligen IP-Adressen aus Subnetzen, da dies ein Risiko für die Störung wichtiger Geschäftsprozesse darstellt. Oder lassen Sie im Gegenteil nur einige Adressen scannen und behaupten Sie, dass die Ergebnisse des Scannens eines der Dienste auf alle anderen im Subnetz hochgerechnet werden können.

War es echt?


Sehr oft werden Kunden beim internen Pentest gebeten, diesen Host, dieses Subnetz und dieses Segment auszuschließen, anstatt Pentestern zu erlauben, alle lokalen Subnetze (192.168 / 16, 172.16 / 12, 10/8) zu durchlaufen: „Hier müssen Sie nur eines von testen 500 Hosts als typisch, und diese Hosts nur von 17.00 bis 9.00 Uhr - nicht mehr als 300 TCP-Sitzungen pro Sekunde pro Host. “ Die Tatsache, dass die Arbeit für 5 Tage ausgelegt ist, stört niemanden. Für den Darsteller sieht das schrecklich aus: Sie können keine normale Automatisierung durchführen, Sie müssen ständig überwachen, dass die Werkzeuge nicht über die zulässigen Grenzen hinausgehen, und Sie müssen eine Reihe von „Krücken“ an allen Werkzeugen drehen. Beim Scannen und Sammeln einer Liste von Diensten stellt sich heraus, dass der Löwenanteil der Zeit bereits aufgewendet wurde. Auch während der Entwicklung über das Netzwerk sehen Sie: hier ist es - ein Dienst,die angeblich einen privilegierten Account hat ... Aber er wurde vom Scan ausgeschlossen.

Tipp 3: Fordern Sie weitere Berichte an


Die Ausrichtung wurde bereits besprochen, aber was ist mit der Berichterstattung? Damit die Menschen ruhig arbeiten und am Ende einen Bericht vorlegen können? Nein! Fordern Sie Berichte jede Woche, jeden Tag und jeden halben Tag an. Beziehen Sie sich auf die negativen Erfahrungen der vergangenen Jahre und den Wunsch, den Prozess zu kontrollieren, für den sie bezahlt haben. Wow, wie kommt es, dass "die Stöcke in die Räder gesteckt werden".

War es echt?


Das passiert oft. Selbst nach 5 Minuten nähern sie sich hinter einer Schulter und fragen: "Nun, ist das schon gehackt?" Im Messenger wird der Status der Arbeit stündlich abgerufen, und am Ende des Tages warten sie auf das Endergebnis des Handbuchs, das wunderschön in einem Word-Dokument gestaltet ist. Daher konzentriert sich der Spezialist darauf, wie ein Bericht geschrieben wird, und nicht auf die Qualität der Tests.

Tipp 4: Bitten Sie darum, den Verkehrsauszug aufzuzeichnen und den Bildschirm zu schreiben


Außerdem müssen die Pentester einen Bildschirm aufzeichnen und einen Speicherauszug des Netzwerkverkehrs schreiben. Begründen Sie dies, weil Sie sich Sorgen machen, vertrauliche Informationen zu verlieren oder eine Hintertür zu verlassen.

War es echt?


Einige Kunden aktivieren den paranoiden Modus und steuern jeden Schritt, den Sie ausführen. In Wahrheit wird der Pentester, wenn es wirklich notwendig ist, definitiv herausfinden, wie er die Bildschirmaufzeichnung umgehen oder den erforderlichen Verkehr erzeugen kann, und diese Maßnahmen sind wenig sinnvoll, aber sie beeinträchtigen die Arbeit wirklich.

Tipp 5: Kommunizieren Sie über drei Manager


Kommunizieren Sie über 3+ Manager, spielen Sie auf einem kaputten Telefon und verlängern Sie die Zeit. Versuchen Sie, die Anforderungen nicht direkt an echte Künstler weiterzugeben, sondern über Vermittler zu kommunizieren, insbesondere ohne Erfahrung im angewandten Teil. Als Ergebnis erhalten wir eine solche Dampflokomotive, dass sich die Informationen entweder ändern oder sehr lange andauern.

War es echt?


Bei großen Projekten ist dies eher die Regel als die Ausnahme. Der Sicherheitsbeauftragte ordnet die Arbeit an, der Sicherheitsbeauftragte überwacht sie und der Manager kommuniziert mit dem Pentester, manchmal sogar nicht direkt, sondern über seinen Manager. Selbst wenn alle anderen Faktoren entfernt werden, erreicht jede Anfrage nach einem halben Tag das Ziel und gibt die Antwort auf eine andere Frage zurück.

Tipp 6: Schlagen Sie den Waschtisch


Denken Sie daran, dass die Hauptsache Menschen sind. Um die Qualität der Arbeit zu verringern, ist es daher am besten, direkt auf sie oder vielmehr auf ihre Eitelkeit zu treffen. Fragen Sie, wie sie eine wenig bekannte Technologie testen würden, und sagen Sie dann, dass sie mehr erwartet hätten. Fügen Sie hinzu, dass vor ein paar Jahren frühere Pentester Ihr Unternehmen in 2 Stunden gehackt haben. Es spielt keine Rolle, dass das System damals anders war und es kein SZI gab und Sie anderswo gearbeitet haben. Die Hauptsache ist die Tatsache selbst: Da die Pentester in 2 Stunden nicht geknackt haben, gibt es nichts, was sie respektieren könnte. Sie sehen, dass die Pentester gesegelt sind, - fordern Sie ein Ersatzteam, ohne die Zeit zu verlängern.

War es echt?


Wir hören sehr oft Geschichten über alte Hacks, und dies hat nichts mit den aktuellen Infrastruktur- und Informationssicherheitsprozessen zu tun. Fragen, wie sicher diese „Know-how“ -Technologie ist, sind ebenfalls keine Seltenheit. Sie müssen schnell verstehen und eine präzise Antwort geben, was nicht immer ausreicht.

Ein weiterer interessanter Fall: Wir haben ein Pentester-Mädchen in unserem Team, und wenn sie zu einem internen Pentest kommt, sind die Kunden zunächst misstrauisch und betrachten sie dann als Exponat. Nicht jeder wird unter solchen Bedingungen arbeiten wollen.

Tipp 7: Reduzieren Sie den Komfort


Arbeiten Sie in einem dunklen Schrank, in dem das Handy nicht funktioniert? Arbeiten Sie in lautem Coworking? Gebrochener und knarrender Stuhl? Klimaanlage kaputt? Um auf die Toilette zu gehen und Wasser zu trinken, brauchen Sie einen Begleiter? Ich denke, Sie haben bereits verstanden, was zu tun ist.

War es echt?


Ja und wieder ja. Es gab nur wenige verzweifelte Fälle, aber es gibt genug Situationen, in denen Sie nicht an Arbeit denken, sondern daran, wie Sie aufgrund äußerer Bedingungen schnell hier rauskommen können.

Tipp 8: Lassen Sie alle proaktiven Abwehrmaßnahmen aktiviert


Wir gehen zu technischen Witzen über. Lassen Sie PCI DSS und andere Methoden empfehlen, einige proaktive SZI für weitere Testtests zu deaktivieren - Sie müssen das Gegenteil tun. Lassen Sie die Menschen auf der Suche nach einer Lösung leiden, wie sie schnell ein Unternehmensnetzwerk testen können, in dem sie ständig blockiert sind.

Löschen Sie sofort den Anschluss am Schalter, in dem der Pentester steckt. Und dann schreien Sie laut, dass der Pentest fehlgeschlagen ist und jagen Sie die verhassten Hacker vom Objekt.

War es echt?


Wir sind es bereits gewohnt zu testen, wann proaktives SIS (IPS, WAF) aktiviert ist. Es ist schlecht, dass in diesem Fall der Löwenanteil der Zeit für die Überprüfung des Informationssicherheitssystems und nicht für das Testen der Infrastruktur selbst aufgewendet wird.

Tipp 9: Legen Sie ein spezielles VLAN ein


Stellen Sie einen unrealistischen Netzwerkzugriff bereit, der nicht dem typischen Benutzerzugriff entspricht. Lass nichts und niemanden in diesem Subnetz sein. Und Filterregeln werden verweigert \ verweigern oder nahe daran sein.

War es echt?


Ja, irgendwie erhielten wir Zugriff auf ein Subnetz mit einem Drucker und in Netzwerkisolation von anderen Netzwerken. Bei allen Arbeiten ging es darum, den Drucker zu testen. Als technische Experten haben wir natürlich alles im Bericht reflektiert, aber daran hat sich nichts geändert. Es gab eine umgekehrte Situation, als wir die Hälfte des Unternehmens über einen Drucker gehackt haben, aber das ist eine ganz andere Geschichte.

Tipp 10: Arbeiten Sie über ein VPN


Die Durchführung eines internen Pentests in einem realen Raum, in dem der Pentester eine Reihe zusätzlicher Informationen erhalten kann (Einstellungen eines Unternehmenstelefons, eines Druckers, Abhören eines lebhaften Gesprächs mit Mitarbeitern, Sehen der Geräte durch ihre Augen), ist nicht Ihr Fall. Sie müssen Arbeiten ausführen, als ob Sie einen "internen Eindringling" emulieren würden, und dieses "Wie" interpretieren, wie es zu Ihnen passt. Stellen Sie den Zugriff daher nur über das VPN bereit. Verwenden Sie daher nicht den kürzesten Weg. Machen Sie außerdem nur L3-Zugriff, da Netzwerkangriffe auf L2-Ebene nicht relevant sind [Sarkasmus]. Sie können dies rechtfertigen, indem Sie Geld sparen: Warum sollten die Leute noch einmal zu Ihnen gehen, Jobs annehmen, Mitarbeiter stören, wenn das normal ist?

War es echt?


Ja, es ist ganz normal, einen Organisations-Pentest über ein Unter-VPN-L3 durchzuführen. Alles hängt, der Kanal wird verstopft, die Tools nehmen Verzögerungen als Nichtverfügbarkeit von Diensten wahr und es gibt nichts zu sagen über die Unmöglichkeit von Broadcast-Angriffen und MITM. Ja, und nach normalen internen Pentests mit einem Pentest auf VPN, wie auf dem Sand in den Skates laufen.

Tipp 11: Keine graue Box


Pentester sollten keine Konten, Unterlagen oder zusätzlichen Informationen erhalten, selbst wenn dies vertraglich vorgeschrieben ist. Was nützt es, wenn sie schneller Ergebnisse erzielen. Begründen Sie die Tatsache, dass ein echter Hacker (ein in den Medien auferlegtes Bild) kommt und sofort alles knackt. Mühe - geben Sie die Dokumentation vor zehn Jahren.

War es echt?


Es scheint, dass alle Personen „im Thema“ verstehen, dass ein Angreifer, der es ernst meint, sich nicht hinsetzt und ungeschickt versucht, sich in das System zu hacken. Er wird zuerst Aufklärung durchführen, verfügbare Informationen sammeln und mit Menschen kommunizieren. Wenn dies ein interner Eindringling ist, weiß er bereits, wer, was und wo. Der Mitarbeiter ist in den Prozessen und hat Wissen. Trotzdem sind 80% der Pentests eine "Black Box", in der Sie in 5 Minuten kommen müssen, um es herauszufinden und selbst zu knacken, sonst ist es kein "Arbeitshacker".

Tipp 12: Erlauben Sie nicht den Informationsaustausch zwischen verschiedenen Bereichen (intern, extern und sozial).


Regulieren Sie unterschiedliche Arbeiten, besser von verschiedenen Spezialisten und streng ohne Übertragung von Informationen zwischen den Richtungen. Begründen Sie dies damit, dass Sie die Risiken für jeden Bereich genau bestimmen müssen.

Wenn "Insider" -Informationen (von innen erhalten) auf dem Außenbereich zum Hacken verwendet wurden, zählen Sie solche Werke auf keinen Fall, sagen Sie, dass dies für Sie nicht interessant ist und nicht den deklarierten Werken entspricht. Wenn die nach "Social Engineering" erhaltenen Informationen für den internen Pentest nützlich waren, sagen Sie auch, dass sie nicht zählen.

War es echt?


Dies ist eigentlich der Ansatz des klassischen Pentests. Die Ergebnisse jedes Tests werden wirklich unabhängig voneinander benötigt, als ob ein echter Angreifer dies wirklich tut. Tatsächlich funktionieren APT-Gruppen jedoch nicht so.

Tipp 13: Sagen Sie allen Mitarbeitern, dass Sie einen Pentest haben


Kündigen Sie der gesamten Firma an, dass Sie einen Pentest haben. Lassen Sie alle die Aufkleber mit Anmeldeinformationen entfernen, niemand öffnet die Anhänge in der Mail und steckt die gefundenen Flash-Laufwerke nicht in USB ein. Mitarbeiter mit privilegierten Zugriffsrechten sollten in den Urlaub fahren oder studieren und ihre Computer ausschalten. Am wichtigsten ist jedoch, dass sie ihr QWERTY-Passwort in ein zufälliges Passwort ändern (zumindest während des Pentests). Im Allgemeinen sollte die Aktivität innerhalb des Unternehmens so gering wie möglich gehalten und die Wachsamkeit erhöht werden. Auf diese Weise verringern Sie die Möglichkeit von Angriffen auf Mitarbeiter und die Entwicklung innerhalb des Netzwerks erheblich.

War es echt?


Na klar war es das auch. Sie beginnen mit der Arbeit und sehen, dass Personen gewarnt werden, kürzlich geänderte Passwörter, die Ihnen gegenüber misstrauisch sind. Einige Computer können nicht überprüft werden, da Personen im Training ein „reiner Zufall“ sind.

Tipp 14: Überwachen Sie Pentester


Lassen Sie Ihre gesamte Routine fallen und überwachen Sie einfach die Pentester. Versuchen Sie es, auch wenn Sie keine Überwachung haben. Sobald Sie feststellen, dass sie etwas gefunden haben, blockieren Sie sofort den Zugriff, ändern Sie die Berechtigungen, löschen Sie Konten und löschen Sie Ports. Wenn Sie wirklich Menschen feuern müssen.

War es echt?


Oh, das ist im Allgemeinen ein "Favorit". Sie sagen dem Kunden: "Wir führen einen Pentest durch und informieren Sie über alles Kritische. Nur Sie ändern nichts. Wir helfen, nicht nur einen bestimmten Fehler zu finden, sondern auch schlechte Prozesse aufzudecken." Und sobald Sie etwas informieren, ändert es sich kurzfristig „versehentlich“. Hier sind einige reale Fälle.

  1. SMB-, 5 , « » . , — , .
  2. , -. , « ». , , . « ».
  3. , RCE , , .

15: !


Wenn es den Pentestern aus irgendeinem Grund immer noch gelungen ist, eine Sicherheitslücke zu finden, und Sie um Genehmigung für deren Betrieb bitten, stimmen Sie nicht zu. die Verletzung der Zugänglichkeit rechtfertigen. Dieser Präsentations-Laptop ist ein wichtiger Geschäftsdienst!

War es echt?


Ja, das passiert auch immer wieder. Es ist ersichtlich, dass der Server über kritische Daten verfügt und eine Sicherheitsanfälligkeit vorliegt und der Kunde den Vorgang nicht koordiniert. Infolgedessen verliert der Auftragnehmer den Einstiegspunkt, der eine ganze Reihe von Problemen mit sich bringen könnte, bis das gesamte Unternehmen gefährdet ist. Und wenn sie sich nicht einig sind, heißt es in dem Bericht einfach: "Operation ist nicht vereinbart", und der Bericht enthält eigentlich nichts Interessantes.

Tipp 16: Unterbrechen Sie die Arbeit häufiger


Sagen Sie für alle IT-Vorfälle, es liegt am Pentest, und unterbrechen Sie die Arbeit. Wenn es keinen Vorfall gibt, überlegen Sie es sich. Bitten Sie darum, die Protokolle von allem bereitzustellen, was der Pentester vorgestern von 14.00 bis 15.00 Uhr getan hat. Lassen Sie ihn seinen Datenverkehr analysieren und merken Sie sich, welche der Hunderte von Überprüfungen mit welchem ​​Tool und wo er gestartet wurde.

War es echt?


Darunter leiden nicht nur Pentester, sondern die gesamte Informationssicherheit. Sobald Sie mit der Arbeit beginnen, führt jeder Vorfall in der Organisation sofort dazu, dass Sie anhalten und die Angelegenheit klären müssen. Der Server ist nicht mehr verfügbar - dies sind Pentester. Der Virus ist aus dem Benutzer ausgestiegen - das sind Pentester. Die Kaffeemaschine im Schrank ist kaputt gegangen - das sind Pentester. Wir beziehen uns mit Humor und Geduld darauf, aber die Zeit verschlingt auffällig.

Tipp 17: Verhindern Sie, dass Datenträger und E-Mails analysiert werden


Verhindern Sie, dass Pentester Zugriff auf Datenträger und E-Mails erhalten, um deren Inhalt zu analysieren. Begründen Sie dies mit "gut, sehr vertraulichen Informationen".

War es echt?


Natürlich gibt es 20 Administratorpostfächer, aber Sie können keine Briefe lesen. In der Praxis haben wir jedoch wiederholt zusätzliche Passwörter in die E-Mail extrahiert, die das Unternehmen erheblich gefährdeten. Und ja, ein echter Hacker hätte natürlich die ganze Post entladen und niemanden gefragt.

Tipp 18: Fragen Sie nach der Analyse der Anbietersoftware


Angenommen, Sie möchten von der gesamten Infrastruktur als Ganzes, dass Spezialisten die Software von Anbietern analysieren, insbesondere wenn diese weit verbreitet ist und es sich fast um eine „Box-Version“ ohne zusätzliche Konfiguration handelt.

War es echt?


Es kommt vor, dass sie darum bitten, einen reinen Cisco ASA oder ähnliches zu knacken. Wir sagen, dass dieses Produkt weit verbreitet ist und höchstwahrscheinlich von vielen Menschen getestet wurde. Wir können die „Fehlkonfiguration“ überprüfen, aber es macht keinen Sinn, während des Pentests alles zu verwirren. Dies ist eigentlich eine 0-Tage-Suche, und es ist besser, auf einem Stand in Verbindung mit Reverse Reverse Engineering zu testen. Kunden nicken und bitten immer noch, während des Pentests, der rechtzeitig sein wird, getestet zu werden. Es ist fast immer Zeitverschwendung.

Tipp 19: Passen Sie den Abschlussbericht an


Das Süßeste: Wenn der Hacking-Vorgang abgeschlossen ist und die Pentester Ihnen die erste Version des Berichts vorgelegt haben, bitten Sie einfach, kritische Momente daraus zu entfernen. Dies ist ein Geschäft, und Sie sollten einen Bericht erhalten, für den Sie bezahlt haben.

War es echt?


Es gibt lustige Momente, die Lust auf Lachen und Weinen machen. Entweder "Entfernen Sie die E-Mails des CEO aus dem Bericht", "Dieser Server muss entfernt werden", "Wer hat Sie gebeten, die IS-Service-Computer einzugeben - entfernen Sie sie schnell". Manchmal korrigiert sich der Wortlaut, wodurch ein und dieselbe Tatsache aus dem Schrecklichen völlig akzeptabel wird.

Tipp 20: Richten Sie ein heftiges Spiel auf Netzwerkgeräten ein


Warum nicht? Wenn Sie Eier mit Stahlfaust haben und über die technischen Fähigkeiten verfügen, schaffen Sie Chaos. Lassen Sie zum Beispiel jedes 27-tcp-Paket, das an den Pentester zurückgegeben wird, kaputt gehen. Die Hauptsache ist, dass niemand es bemerkt.

War es echt?


Noch nicht, aber das stimmt nicht. Möglicherweise war das abnormale Verhalten des Scanners in einem von 100 Fällen die Folge solcher Maßnahmen.

Fazit


Niemand schreibt in dem Bericht über eine Million Probleme, die während der Arbeit aufgetreten sind: dass der Zugang für 5 Stunden gewährt wurde, dass sie sich auf die Operation für 2 Tage einigten, dass es einen Stuhl ohne Rückenlehne gab, eine Schnauze aus dem Fenster usw. All dies bleibt hinter den Kulissen und basierend auf den Ergebnissen der Arbeit wird ein trockener technischer Bericht erstellt, in dem eine unabhängige Person einfach nicht versteht, wie viel Schmerz hinter ihr steckt.

Im Informationssicherheitszentrum "Jet Infosystems" arbeiten wir mit mittleren und großen Unternehmen zusammen. Einige dieser Tipps werden von Kunden im Hintergrund aufgrund der internen Merkmale der Organisation, der Kritikalität von Informationssystemen und einer großen Anzahl von Verantwortlichen ausgeführt. Dies sind normale Prozesse, um das Risiko der Auswirkungen von Sicherheitsanalysen auf Geschäftsprozesse zu minimieren. Zum größten Teil sind unsere Hände jedoch ungebunden und es werden freundschaftliche Beziehungen zu den Kunden aufgebaut. Wir selbst können für beide Seiten die richtigen Ansätze und Interaktionen anbieten. Selbst in komplexen bürokratischen Organisationen können Sie immer eine flexible Lösung finden und qualitativ hochwertige Arbeit leisten, wenn Sie mit interessierten Personen richtig übereinstimmen.

More articles:


All Articles