Etikus hacker szolgáltatások
Sérülékenység vizsgálat és penetrációs tesztelés

Videó lejátszása

Mi a különbség a sérülékenység vizsgálat és a penetrációs teszt között?

Sérülékenység vizsgálat

A sérülékenységvizsgálat nagyrészt automatizált eszközökkel történik, és az ismert sérülékenységekre fókuszál, azokat azonban nem használja ki (nem történik ún. exploitálás). Ezek a sérülékenységek jellemzően fejlesztési hibákból, konfigurációs hiányosságokból, illetve a már napvilágra került gyártói szoftveres hibákból erednek. A sérülékenység vizsgálat jó eszköz arra, hogy kapjunk egy általános képet a vizsgált alkalmazás vagy weboldal biztonsági állapotáról. Különösen ajánlott azokban az esetekben, mikor a gyorsan és egyszerűen megismételhető eljárásra van szükségünk.

Külső (internet felőli) sérülékenységvizsgálat

Cégünk a sérülékenység vizsgálat különböző típusai közül a külső sérülékenységvizsgálattal foglalkozik. Ebben az esetben az automatizált tesztelés az internet irányából történik, az ismert sérülékenységek felderítése érdekében. A vizsgálat magába foglalja a hálózati enumerációt, a komponens verziók feltérképezését, az ismert sérülékenységek keresését, a webalkalmazás aktív és passzív szkennelését és az információ kitakarás ellenőrzését.

Penetrációs teszt (pen teszt)

A pen teszt számos manuális technikát is tartalmaz az automata eszközök mellett, ahol az etikus hacker imitálva egy valós támadót, megpróbálja kihasználni a feltárt sérülékenységeket, ezzel validálva azt, és meghatározva a potenciális károkozás mértékét és hatását. Utóbbi felmérése a FIRST (Forum of Incident Response and Security Teams) által szabványosított Common Vulnerability Scoring System segítségével történik, amely által a sérülékenységek egységes rendszerben értékelhetőek. Az értékelés a sérülékenység kihasználhatóságán és az érintett adatok biztonságára gyakorolt hatásán alapszik.

A pen teszt végső célja jellemző módon a lehető legmagasabb jogosultsági szint megszerzése az adott rendszerben. Ezzel az offenzív megközelítéssel kiválóan modellezhető, hogy egy támadó pontosan mit tud véghez vinni az adott környezetben, kezdve a levelezéshez történő hozzáféréstől, vállalati jelszavak megszerzésén át, a bizalmas üzleti adatokhoz történő hozzáférésig.

A penetrációs tesztelés során minden esetben előre lefektetett szigorú szabályrendszer és nemzetközileg elismert módszertan alapján vizsgáljuk ügyfeleink rendszereit. Célunk az, hogy a lefolytatott vizsgálatoknak köszönhetően partnereink megértsék a rendszereikhez köthető kockázatokat, és javaslataink segítségével biztonságosabbá tegyék azokat.

Szolgáltatásaink a penetrációs teszt területén

  • Külső (internet felőli) infrastruktúra penetrációs tesztelése: Az internet irányából történő offenzív tesztelés, belső információk és jogosultságok felhasználása nélkül. A látható IP tartományok, szerverek, szolgáltatások felderítése és validálása, továbbá a felderített erőforrások biztonsági vizsgálata.
  • Webalkalmazás penetrációs tesztelése: A szervezet webalkalmazásainak OWASP (Open Web Application Security Project) módszertan szerinti biztonsági vizsgálata, offenzív megközelítéssel. A kezdeti az automatizált vizsgálat találatainak manuális validálása, a kliens felé adott válaszok értelmezésével és kiértékelésével. A sérülékenység kihasználhatóságának vizsgálata, Proof of Concept előállítása.
  • Android mobilapplikáció penetrációs tesztelése: A mobilapplikáció statikus elemzése reverse engineering módszerekkel. Az alkalmazás által használt API és backend dinamikus vizsgálata az OWASP módszertan szerint, offenzív megközelítéssel.
  • Belső (szervezeten belüli) infrastruktúra penetrációs tesztelése: Automata eszközökkel, illetve manuális módszerekkel, különböző jogosultságok alapján végrehajtott offenzív biztonsági tesztelés, amely helyszíni csatlakozással a szervezet belső hálózatán zajlik.
  • Vezeték nélküli hálózat penetrációs tesztelése: Az ügyfél telephelyén üzemeltetett vezeték nélküli hálózat, az ahhoz kapcsolódó autentikációs kontrollok és hálózati eszközök biztonsági vizsgálata.
  • Fizikai terminálok penetrációs tesztelése: Az ügyfél telephelyén üzemeltetett vagy általa fejlesztett fizikai terminálok (pl. jegykiadó automata, fizetési terminál, kioszk) biztonsági vizsgálata.
A penetrációs teszt eredményeit összegző jelentés a következő elemeket tartalmazza:
  • Vezetői összefoglaló a teszt eredményéről
  • Alkalmazott módszertan ismertetése
  • Feltárt sérülékenységek ismertetése a hozzájuk tartozó kockázati besorolással
  • Általános logikai megoldási javaslatok megfogalmazása a feltárt sérülékenységekkel, hibákkal kapcsolatban

A folyamatosan változó fenyegetések, a naponta napvilágra kerülő új szoftveres sérülékenységek, a hackerek által alkalmazott technikák fejlődése, illetve a vállalati informatikai infrastruktúra állandó átalakulása miatt érdemes az etikus hackelési vizsgálatokat bizonyos időközönként megismételni. Sőt, számos esetben a törvényi megfelelés írja elő az éves biztonsági tesztelés elvégzését. Mindezeket felismerve és egyúttal a munkánk minőségét elismerve, büszkék vagyunk rá, hogy számos partnerünket visszatérő ügyfélként üdvözölhetjük. Ha a biztonsági vizsgálatok eredményeképpen a kollégák oktatására van szükség, szakértő csapatunk rendelkezésre áll.

Etikus hacker szolgáltatásaink keretein belül vállaljuk továbbá a gyanúsnak ítélt e-mailek izolált környezetben történő szakértői vizsgálatát.

Lépjen kapcsolatba velünk!

Támogatásra van szüksége
az IT biztonság területén?