San Francisco, Starnberg, 25. März 2024 - Autonomes Pentesting mit NodeZero für PCI DSS v4.0. Ziel: mehr Sicherheit im internationalen Zahlungs- und Kreditkartenverkehr...
Zur Ankündigung: Ab dem 31. März 2024 wird PCI DSS v3.2.1 außer Kraft gesetzt und durch v4.0 mit strengeren Sicherheitspraktiken ersetzt. Horizon3.ai (Anbieter autonomer Sicherheitslösungen) gibt dazu jetzt die Verfügbarkeit seiner Horizon3.ai „Pentesting Services for Compliance“ bekannt. Mit dem neuen Angebot soll dem zunehmenden Bedarf nach Expertise und Angebot im Bereich Penetration Testing begegnet werden. Gleichzeitig können Unternehmen besser unterstützt werden, Compliance-bezogenen Anforderungen an das Pentesting zu erfüllen. Mit dem Service erfüllen die internen und externen Pentesting-Prozesse laut Anbieter strenge regulatorische Standards, die manuelle Penetrationstests zur Aufdeckung komplexer logischer Fehler und unbekannter Schwachstellen erfordern. Besonders profitieren können davon Finanz- und Bankinstitute, die unter den PCI DSS (Payment Card Industry Data Security Standard) fallen.
Mensch-Maschine-Konzept mit KI
Die Basis für manuelle Penetrationstests wird in den verschiedensten Branchen von Richtlinien gegeben. Darunter fallen nicht nur der PCI DSS mit der neuen Version 4.0, sondern auch die aktualisierten Self-Assessment Questionnaires (SAQs) bis hin zu System and Organization Controls (SOC), Digital Operational Resilience Act (DORA), General Data Protection Regulation (GDPR), Center for Internet Security (CIS), National Institute of Standards and Technology (NIST), Cybersecurity Maturity Model Certification (CMMC) sowie die internen Anforderungen von Unternehmen.
Die Horizon3.ai Pentesting Services for Compliance basieren auf einem Mensch-Maschine-Konzept, bei dem ein Team von OSCP-Pentestern (Offensive Security Certified Professional) die Pentests nach den in den einzelnen Standards spezifizierten Methoden durchführt. Dabei kommen nach vorliegenden Informationen verschiedenste Methoden und Perspektiven zum Einsatz, die auf der Basis der autonomen Pentesting-Plattform NodeZero durchgeführt werden. Mit der Hilfe künstlicher Intelligenz werden ausnutzbare Angriffspfade identifiziert, die weit über die Fähigkeiten von bisherigen Schwachstellenscannern hinausgehen sollen.
Umfassende Dokumentation
Die Kombination aus fachkundiger menschlicher Analyse und den autonomen Tests von NodeZero soll laut den Spezialisten zu einer umfassenden und umsetzbaren Bewertung der untersuchten Netzwerkinfrastruktur führen. Der Kunde erhält einen ausführlichen Pentesting-Bericht sowie einen Bericht mit detaillierten und priorisierten Handlungsempfehlungen. Dazu stehen die Pentesting-Ergebnisse für 12 Monate auf der NodeZero-Plattform zur Verfügung, um die Korrekturmaßnahmen zu kontrollieren und weiter zu optimieren. Mit dem 1-Click-Verify-Tool von NodeZero können die Nutzer selber die Wirksamkeit ihrer Korrekturen prüfen und bestätigen – laut Anbieter mit einem Klick.
1-Click-Verify ist ein gezieltes Re-Testing identifizierter Schwachstellen, das nach der Behebung zuverlässig prüft, ob die Korrektur erfolgreich war. Ist die Maßnahme verifiziert, kann der Kunde einen entsprechenden Bericht als Nachweis für die Auditoren herunterladen. Das bedeutet, dass keine zusätzlichen Beratungseinsätze mehr geplant werden müssen, um behobene Probleme auf korrekte Funktion zu überprüfen. Werden neue Zero-Day- und N-Day-Schwachstellen gefunden, reagiert das professionelle Team von Horizon3.ai unmittelbar und implementiert diese in die Plattform.
Abb. Schema, Horizon3.ai Pentesting Services for Compliance (Bildquelle: Horizon3.ai)
Kommentarauszug James T. Flowers, CISSP, CISM, Security & Compliance Expert, Auditor und Berater: „Horizon3.ai bietet mit dem 1-Click-Verifizierungstool in NodeZero einen enormen Vorteil. Oftmals verfügen Kunden nicht über das nötige Fachwissen, um die Reports nach einem gründlichen Pentest zu interpretieren und zu bearbeiten. Horizon3.ai liefert detaillierte und nach Prioritäten geordnete Anleitungen zur Behebung von Problemen und geht mit dem 1-Click-Verify-Tool noch darüber hinaus... Neben punktueller Compliance eignet sich diese Lösung auch für die fortlaufende Überwachung einer Infrastruktur auf Schwächen, und verringert zudem den Aufwand in kommenden Audit-Zyklen. Unternehmen können ihre Sicherheitslage mit einer Reihe von Maßnahmen bewerten und verbessern, die über das interne und externe Pentesting hinausgehen, darunter z. B. AD-Passwort-Audit, Phishing Impact Testing, N-Day Testing und mehr.“
Rainer M. Richter, Vice President EMEA & APAC bei Horizon3.ai.: „Die Sicherheit aller Daten der Inhaber von Kreditkarten ist von größter Bedeutung. Unser neuer Service ist exakt auf die Pentesting-Methodik des PCI Security Standards Council zugeschnitten. So können wir in kürzester Zeit mit dem Einsatz von KI Penetrationstests bieten, die auch als kontinuierliche Sicherheitsmaßnahme durchgeführt werden können.“
Querverweis:
Unser Beitrag > Cloud-Sicherheit und Cloud-Nutzung: Illumio Cloud Security Index registriert Missverhältnis
Unser Beitrag > Security laut Red Hat 'Global Customer Tech Trends 2024' Report weiter mit Top-Priorität