Etikus hacker szolgáltatások

 
 
 

Etikus hacker szolgáltatások
Sérülékenység vizsgálat és penetrációs tesztelés

Videó lejátszása

Mi a különbség a sérülékenység vizsgálat és a penetrációs teszt között?

Sérülékenység vizsgálat

A sérülékenységvizsgálat nagyrészt automatizált eszközökkel történik, és az ismert sérülékenységekre fókuszál, azokat azonban nem használja ki (nem történik ún. exploitálás). Ezek a sérülékenységek jellemzően fejlesztési hibákból, konfigurációs hiányosságokból, illetve a már napvilágra került gyártói szoftveres hibákból erednek. A sérülékenység vizsgálat jó eszköz arra, hogy kapjunk egy általános képet a vizsgált alkalmazás vagy weboldal biztonsági állapotáról. Különösen ajánlott azokban az esetekben, mikor a gyorsan és egyszerűen megismételhető eljárásra van szükségünk.

Külső (internet felőli) sérülékenységvizsgálat

Cégünk a sérülékenység vizsgálat különböző típusai közül a külső sérülékenységvizsgálattal foglalkozik. Ebben az esetben az automatizált tesztelés az internet irányából történik, az ismert sérülékenységek felderítése érdekében. A vizsgálat magába foglalja a hálózati enumerációt, a komponens verziók feltérképezését, az ismert sérülékenységek keresését, a webalkalmazás aktív és passzív szkennelését és az információ kitakarás ellenőrzését.

Penetrációs teszt (pen teszt)

A pen teszt számos manuális technikát is tartalmaz az automata eszközök mellett, ahol az etikus hacker imitálva egy valós támadót, megpróbálja kihasználni a feltárt sérülékenységeket, ezzel validálva azt, és meghatározva a potenciális károkozás mértékét és hatását. Utóbbi felmérése a FIRST (Forum of Incident Response and Security Teams) által szabványosított Common Vulnerability Scoring System segítségével történik, amely által a sérülékenységek egységes rendszerben értékelhetőek. Az értékelés a sérülékenység kihasználhatóságán és az érintett adatok biztonságára gyakorolt hatásán alapszik.

A pen teszt végső célja jellemző módon a lehető legmagasabb jogosultsági szint megszerzése az adott rendszerben. Ezzel az offenzív megközelítéssel kiválóan modellezhető, hogy egy támadó pontosan mit tud véghez vinni az adott környezetben, kezdve a levelezéshez történő hozzáféréstől, vállalati jelszavak megszerzésén át, a bizalmas üzleti adatokhoz történő hozzáférésig.

A penetrációs tesztelés során minden esetben előre lefektetett szigorú szabályrendszer és nemzetközileg elismert módszertan alapján vizsgáljuk ügyfeleink rendszereit. Célunk az, hogy a lefolytatott vizsgálatoknak köszönhetően partnereink megértsék a rendszereikhez köthető kockázatokat, és javaslataink segítségével biztonságosabbá tegyék azokat.

Szolgáltatásaink a penetrációs teszt területén

  • Külső (internet felőli) infrastruktúra penetrációs tesztelése: Az internet irányából történő offenzív tesztelés, belső információk és jogosultságok felhasználása nélkül. A látható IP tartományok, szerverek, szolgáltatások felderítése és validálása, továbbá a felderített erőforrások biztonsági vizsgálata.
  • Webalkalmazás penetrációs tesztelése: A szervezet webalkalmazásainak OWASP (Open Web Application Security Project) módszertan szerinti biztonsági vizsgálata, offenzív megközelítéssel. A kezdeti az automatizált vizsgálat találatainak manuális validálása, a kliens felé adott válaszok értelmezésével és kiértékelésével. A sérülékenység kihasználhatóságának vizsgálata, Proof of Concept előállítása.
  • Android mobilapplikáció penetrációs tesztelése: A mobilapplikáció statikus elemzése reverse engineering módszerekkel. Az alkalmazás által használt API és backend dinamikus vizsgálata az OWASP módszertan szerint, offenzív megközelítéssel.
  • Belső (szervezeten belüli) infrastruktúra penetrációs tesztelése: Automata eszközökkel, illetve manuális módszerekkel, különböző jogosultságok alapján végrehajtott offenzív biztonsági tesztelés, amely helyszíni csatlakozással a szervezet belső hálózatán zajlik.
  • Vezeték nélküli hálózat penetrációs tesztelése: Az ügyfél telephelyén üzemeltetett vezeték nélküli hálózat, az ahhoz kapcsolódó autentikációs kontrollok és hálózati eszközök biztonsági vizsgálata.
  • Fizikai terminálok penetrációs tesztelése: Az ügyfél telephelyén üzemeltetett vagy általa fejlesztett fizikai terminálok (pl. jegykiadó automata, fizetési terminál, kioszk) biztonsági vizsgálata.
A penetrációs teszt eredményeit összegző jelentés a következő elemeket tartalmazza:
  • Vezetői összefoglaló a teszt eredményéről
  • Alkalmazott módszertan ismertetése
  • Feltárt sérülékenységek ismertetése a hozzájuk tartozó kockázati besorolással
  • Általános logikai megoldási javaslatok megfogalmazása a feltárt sérülékenységekkel, hibákkal kapcsolatban

A folyamatosan változó fenyegetések, a naponta napvilágra kerülő új szoftveres sérülékenységek, a hackerek által alkalmazott technikák fejlődése, illetve a vállalati informatikai infrastruktúra állandó átalakulása miatt érdemes az etikus hackelési vizsgálatokat bizonyos időközönként megismételni. Sőt, számos esetben a törvényi megfelelés írja elő az éves biztonsági tesztelés elvégzését. Mindezeket felismerve és egyúttal a munkánk minőségét elismerve, büszkék vagyunk rá, hogy számos partnerünket visszatérő ügyfélként üdvözölhetjük. Ha a technikai biztonsági vizsgálatok eredményeképpen nagyobb szervezti fejlesztésre vagy a kollégák oktatására van szükség, IT biztonsági szakértő csapatunk rendelkezésre áll.

Etikus hacker szolgáltatásaink keretein belül vállaljuk továbbá a gyanúsnak ítélt e-mailek izolált környezetben történő szakértői vizsgálatát.

Védje meg vállalkozását az etikus hacker kollégáink segítségével! Legyen akár sérülékenység vizsgálat vagy penetrációs teszt, állunk rendelkezésére!

Lépjen kapcsolatba velünk!

Támogatásra van szüksége
az IT biztonság területén?

KAPCSOLAT