Hackers against hackers
Category
Solutions
Industry
Reading time
In order to ensure the security of its own network, Österreich Werbung regularly conducts A1 Digital penetration tests in order to detect and correct vulnerabilities before others do.
How A1 Digital approached the project with Österreich Werbung
Preparation
A1 digital experts, so-called White Hat Hackers, analysed the operating environment of the ÖW and discussed the objective and the way forward. In the subsequent kick-off meeting, the procedure of the security assessment was discussed together with the client. The test subject to be checked was defined and it was clarified how to deal with the identification of potential hazards.
Kundenanalyse
Im Rahmen der Client Analyse stellte ÖW einen Standard-Client zur Verfügung, der auf verwundbare Software hin überprüft wurde. Die Analyse umfasste installierte bzw. dem Benutzer zugängliche und verfügbare Software-Programme, Virenschutz sowie laufende aktivierte Dienste. Darüber hinaus wurde auch die sichere Konfiguration des Geräts wie etwa Gruppenrichtlinien, Verschlüsselung, Administrator-Rechte und Netzwerkintegration geprüft.
Pentest
Im Zuge des Penetrationstests stellte die ÖW den A1 Digital-Experten eine Liste von anonymisierten internen IP-Adressen zur Verfügung und erteilte explizit den Auftrag für intrusive Angriffe („Permission to Attack“), da diese ansonsten illegal wären. Bei intrusiven Angriffen wird versucht, die technischen Schutzmaßnahmen zu umgehen und gegebenenfalls vorhandene Sicherheitslücken auszunützen.
Timebox- und Greybox-Ansatz
Bei ihren Tests verfolgten die Experten einen Timebox- und Greybox-Ansatz. Das bedeutet, dass das Aufdecken von Sicherheitsrisiken Beschränkungen durch Zeit (Timebox) und Ressourcen sowie Wissen über System-Interna (Greybox) unterworfen war. Auf diese Weise wurde der gemeinsam mit der ÖW festgelegte Testumfang überprüft. Der gesamte Prozess dauerte vier Wochen. Die Ergebnisse des Security Assessments sowie die sich daraus ergebenden konkreten Handlungsempfehlungen wurden in einem Bericht dargestellt.
“For its penetration test, A1 Digital has used methods and techniques used by real hackers to ensure that as many vulnerabilities as possible can be found. The planning and implementation of a penetration test tailored to our IT systems is very comprehensive. In this respect, the results have helped us to identify previously unknown vulnerabilities and to quickly fix them. A1 Digital has proven to be a reliable and professional partner in dealing with potential hacker attacks.”
The Customer:
Österreich Werbung (ÖW) based in Vienna is Austria’s national tourism organisation. The central concern of the ÖW, together with all Austrian tourism partners, is to ensure that the competitiveness of Austria as a tourist country is maintained or enhanced. On www.austria.info, ÖW offers a wealth of articles in eight thematic areas and holiday offers all year round to all those who are looking for inspiration and information about holidays in Austria. The website currently consists of 22 languages for 27 countries worldwide and is optimised for all devices. Around 200 employees in Vienna and the 21 agencies abroad work on these tasks worldwide.
The Challenge:
The increasing networking in the course of digitalization increases the potential attack surface and serves as a possible “gateway” for data thieves and hackers. For this reason, öW regularly conducts penetration tests, in which professional hackers detect vulnerabilities in order to be able to fix them in a targeted manner.
The Solution:
This time the ÖW commissioned A1 Digital with a penetration test of its infrastructure accessible via the intranet, its internal applications and its Windows clients. An essential part of the penetration test of the A1 Digital experts is to recreate the attack patterns that are also used by cybercriminals.