Sérülékenységvizsgálat
A kiberbiztonság életünk része.
Informatikai eszközei állandó veszélynek vannak kitéve!
Védje meg cégét:
kérjen sérülékenységvizsgálatot!
“A reputációd kiépítése 20 évbe telik, de az egészet lerombolhatja egy pár perces kiberbiztonsági incidens.”
– Stéphane Nappo,
nemzetközi információbiztonsági szakértő
Az online veszélyforrások mindannyiunkat fenyegetnek.
Mindenkinek van olyan ismerőse, vagy hallott olyanról, akinek a számítógépét zsarolóvírus zárolta vagy személyes adatait kémprogram szerezte meg. Sokan már személyesen is átélték ezt a szörnyű érzést. Gyakran milliókba kerül az adatok visszaszerzése, és az sem ritka, hogy örökre búcsút kell mondani az eltulajdonított információnak.
A technológiai fejlődéssel az internet egyre jobban átszövi életünket, eszközeink és alkalmazásaink egyre fejlettebbek és bonyolultabbak lesznek. Ezzel együtt egyre nő a sérülékenység is, amelyeket a kártékony programok és hackerek folyamatosan igyekeznek kihasználni.
A kiberbiztonság már most megkerülhetetlen része életünknek, és a jövőben csak egyre fontosabb lesz.
Épp ezért kihagyhatatlan ajánlat egy professzionális sérülékenységvizsgálat, amely során etikus hacker tárja fel rendszere gyenge pontjait!
Teljeskörű sérülékenységvizsgálat
Az IT Secure csapata Magyarországon egyedülálló módon komplex sérülékenységvizsgálatot biztosít vállalkozása számára.
A sérülékenységvizsgálat során speciális szoftver segítségével tárjuk fel a lehetséges betörési pontokat.
A sérülékenységvizsgálat eredményéről részletes beszámolót készítünk.
Amennyiben elégedett munkánkkal, azonnali megoldást kínálunk a feltárt problémákra.
Épp ezért kihagyhatatlan ajánlat egy professzionális sérülékenységvizsgálat, amely során etikus hacker tárja fel rendszere gyenge pontjait!
Tanúsítványaink
Ha több időt töltesz kávézással, mint az információbiztonsággal, meg fognak hekkelni. Mi több, meg is fogod érdemelni.
– Richard Clarke,
a Fehér Ház kiberbiztonsági tanácsadója (1992-2003)
A tűzfal már nem elég.
Nemcsak informatikai rendszereink, hanem az ezeket érintő fenyegetések is egyre fejlettebbek.
Az egyre növekvő kiberfenyegetés miatt a szervezetek folyamatosan kénytelenek új módszereket keresni mobil- és webes felületeik, alkalmazásaik védelmének tökéletesítésére.
A kiberbűnözők által végrehajtott sikeres behatolások gyakorisága, a hackertámadások komplexitása egyre fokozódik, így amennyiben rendszere nincs ellátva a megfelelő védelemmel, fel kell készülnie arra, hogy bármelyik pillanatban komoly veszteségek érhetik vállalkozását.
Az internet kapcsolatot általában behatolás-érzékelő rendszerek helyett csak tűzfal védi, így a hackerek könnyen megbéníthatják a számítógépeket és a hálózatokat.
Etikus hacker megoldásaink
Hogy a fenti nem kívánt eseményeket megakadályozzuk, kétféle etikus hacker megoldást kínálunk a rendszereiben rejlő kockázatok feltárására:
Komplex sérülékenységvizsgálat
Penetrációs teszt
Kezdje meg védelmi rendszere tökéletesítését egy teljeskörű sérülékenységvizsgálat igénylésével!
Mit jelent az etikus hack?
Az etikus hack, más szóval sérülékenységvizsgálat egy ügyfél által engedélyezett legális, jóindulatú, vagyis etikus hacker támadás, mely során az informatikai hálózatok és rendszerek sebezhetőségét deríti fel a kiberbiztonsági szakember.
Az etikus hacker a rosszindulatú behatolókkal szemben nem okoz kárt, hanem feltárja a védelemben jelen lévő hiányosságokat, és rávilágít a lehetséges megoldásokra.
Hogyan zajlik egy etikus hacker támadás?
Az IT Secure tapasztalt etikus hacker szakemberei biztonsági intézkedések feltörése vagy azok megkerülése árán próbálnak meg a hálózaton keresztül hozzáférni a célrendszerekhez.
Az etikus hacker támadás felderíti, hogy mely biztonsági intézkedések:
- hiányoznak,
- hatástalanok,
- megtámadhatóak,
- használnak sebezhető technológiát,
- megfelelő munkamódszer, biztonsági koncepció nélkül adminisztráltak,
- betartása nem kikényszeríthető az alkalmazott technológia által.
Védje meg cégét sérülékenységvizsgálat szolgáltatásunkkal!
Szolgáltatásaink
Komplex sérülékenységvizsgálat
A sérülékenységvizsgálat egy már kész vagy fejlesztés alatt álló terméken lefuttatott etikus hacker tesztsorozat. A tesztek eredményéről, vagyis a feltárt sebezhetőségekről részletes tájékoztatót készítünk ügyfeleink számára.
A sérülékenységvizsgálat az alábbiakra terjed ki:
- Konfigurációs hiányosságok
- Fejlesztési hibák
- Gyártói sérülékenységek
- Ismert sebezhetőségek azonosítása
A technikai sérülékenységvizsgálat nem képezi a szolgáltatás részét, ezt igényelheti az előzetes sérülékenységvizsgálat eredményének megismerése után.
Penetrációs teszt
A penetrációs teszt vagy behatolás tesztelés során az etikus hacker a beazonosított sebezhetőségek gyakorlati kihasználhatóságát vizsgálja. Ilyen teszt lefuttatásához természetesen az ügyfél által történő felhatalmazásra van szükségünk.
A penetrációs teszt során hacker támadást szimulálunk, vagyis egy adott felületre vagy alkalmazásra összpontosítunk, nem egy egész hálózatot vagy vállalatot tesztelünk. A vizsgálat célja, hogy minél mélyebbre jussunk a rendszerben, a lehető legmagasabb szintű jogosultságok megszerzése és érzékeny adatokhoz történő hozzáférés érdekében.
A penetrációs teszt során tehát azt vizsgáljuk, hogy az adott támadási pont mekkora kockázatot jelent ügyfelünk rendszerére nézve.
A sérülékenységvizsgálat és a penetrációs teszt összehasonlítása
Vizsgálat
Sérülékenységvizsgálat
Penetrációs teszt
Sérülékenységvizsgálat
Penetrációs teszt
A sérülékenységvizsgálat módszerei
Külső sérülékenységvizsgálat
Külső sérülékenységvizsgálat során a szervezeten kívülről indított támadást szimulálunk, vagyis az internetről elérhető weboldalak és webes alkalmazások felderítésére koncentrálunk.
Belső sérülékenységvizsgálat
Belső sérülékenységvizsgálat esetén a szervezeten belüli kapcsolatot létesítünk, és így vizsgáljuk meg a belső hálózaton elérhető informatikai szolgáltatások és rendszerek sebezhetőségét.
Szükség esetén mind a sérülékenységvizsgálat, mint a penetrációs teszt során elvégezzük a külső, illetve belső etikus hacker tesztet.
White box
vizsgálat
A white box vizsgálat az informatikai infrastruktúra teljes ismeretével történik, vagyis az etikus hacker teszt elvégzése előtt a kiberbiztonsági szakemberek megismerik a hálózati diagramokat, a forráskódot, illetve a rendszerek részletes paramétereit.
Mind a sérülékenységvizsgálat, mind pedig a penetrációs teszt része a white-, gray- és black box vizsgálat.
Black box vizsgálat
A black box vizsgálat során az informatikai infrastruktúra előzetes ismerete nélkül történik a teszt.
Gray box vizsgálat
Gray box vizsgálat esetén az informatikai infrastruktúra részleges ismeretéből indulva végezzük a felderítést.
Az etikus hacker vizsgálat következő területekre terjed ki:
Szerverek és munkaállomások (operációs rendszer, adatbázis, célhardverek) sérülékenységvizsgálata
Alkalmazások (webalkalmazások, weboldalak, CRM- és vállalatirányítási rendszerek) felderítése
Infrastruktúra (hálózati eszközök, internetkapcsolat, wifi-hálózat, VPN-ek) tesztelése
A sérülékenységvizsgálat fázisai
Mind a sérülékenységvizsgálat, mind pedig a penetrációs teszt folyamatát több fázisban végzik etikus hacker szakembereink, ezek pedig a következők:
01
Tervezés és előkészítés
Kiberbiztonsági szakembereink tisztázzák ügyfelünkkel az etikus hacker teszt hatókörét, majd ismertetik a munkamódszert, és kitűznek egy határidőt a sérülékenységvizsgálat lefuttatására, illetve az eredményeket összefoglaló jelentés elkészítésére.
02
Végrehajtás
Etikus hacker szakértőink automatizált tesztekkel és manuális vizsgálattal derítik fel a rendszerben rejlő sebezhetőségeket, majd kategorizálják a feltárt fenyegetéseket.
03
Passzív tesztek
Szakembereink nem támadó jellegű, nyílt forráskódú tesztek lefuttatásával azonosítják a közismert sebezhetőségeket, majd kategorizálják ezeket a fenyegetéseket.
04
Aktív tesztek
Etikus hacker támadás: részletekbe menő támadó vizsgálat során tárjuk fel és rögzítjük az esetleges újonnan felmerülő sérülékenységeket.
05
Elemzés
A sebezhetőségvizsgálat lefolytatása végén értékeljük a rendszer gyenge pontjait, majd előkészítjük a következő ciklust, és összegezzük mindezt az információt, illetve további javaslatainkat az ügyfél számára.
Weboldal és webes alkalmazások sérülékenységvizsgálata
A weboldal és webalkalmazás etikus hacker vizsgálata mindig külső támadás szimulációjával végezhető el.
A weboldal sérülékenységvizsgálat rámutat azokra a gyenge pontokra, amelyeket kihasználva a támadók manuális vagy automatizált technikával átvehetik az irányítást a kiszolgálók felett.
Eszközök
A sérülékenységvizsgálat lefolytatásához saját eszközünket és szoftvereinket használjuk:
Kérje weboldala, webalkalmazása védelme érdekében
sérülékenységvizsgálat szolgáltatásunkat!
Mobilapplikáció sérülékenységvizsgálat
Mobil sérülékenységvizsgálat során egy konkrét, egyedi mobilalkalmazás (iOS és/vagy Android) etikus hacker tesztjét végezzük el.
A vizsgálat célja az applikáció összes sérülékenységének feltárása és megismerése a bináris fordítási problémáktól az érzékeny adatok nem megfelelő tárolásáig.
A mobilalkalmazás sérülékenységvizsgálat a következő ütemezés szerint zajlik:
1. fázis: A sérülékenységvizsgálat előkészítése
Tervezés
Megtervezzük a sérülékenységvizsgálat lefuttatásának folyamatát.
Kiindulási állapot rögzítése
A tervezést követően rögzítjük a sérülékenységvizsgálat előtti kiindulási állapotot, amelyet a folyamatok végén visszaállítanak kiberbiztonsági szakembereink.
Információgyűjtés
Ügyfelünktől beszerzünk minden projekttervezésre, illetve célkitűzésre vonatkozó információt.
A kötelezettségvállalás szabályainak felülvizsgálata
Megtörténik a kötelezettségvállalás szabályainak felülvizsgálata: egy rövid megbeszélés keretein belül az ügyféllel megerősítjük a projekt hatókörét és a sérülékenységvizsgálat ütemezését, illetve meghatározzuk a konkrét tesztelési célokat, és válaszolunk a projekttel kapcsolatos kérdésekre.
2. fázis: A sérülékenységvizsgálat végrehajtása
Felderítés
A sérülékenységvizsgálat végrehajtásának első lépése a felderítés, amely során beszerzünk minden vonatkozó, nyílt forrásból származó hírszerzési információt.
Fenyegetés modellezés
Az etikus hacker teszt következő lépése a fenyegetés modellezés, amely során értékeljük azokat a fenyegetés típusokat, amelyek érinthetik a vizsgálat tárgyát képező célpontokat.
Mobil sérülékenységvizsgálat
A vizsgálati fázis utolsó lépése a mobil sérülékenységvizsgálat lefolytatása: megtörténik az összes érintett célpont és alkalmazás feltérképezése hálózati, illetve alkalmazási szinten.
3. fázis: Utómunkálatok
Sérülékenységvizsgálat jelentés készítése
Az értékelés aktív részének lezárultát követően hivatalosan dokumentáljuk az eredményeket.
Minőségbiztosítás
Az értékelés minden lépése szigorú technikai és szerkesztői minőségbiztosítási folyamaton megy keresztül. Ennek részét képezheti az ügyféllel való utólagos egyeztetés.
Prezentáció
A sérülékenységvizsgálat végén készült teljes dokumentáció bemutatása az ügyfélnek. Ismertetjük a megadott információkat, elvégezzük a szükséges frissítéseket, és válaszolunk az értékeléssel kapcsolatos kérdésekre.
Eszközök
A mobil sérülékenységvizsgálat lefolytatásához a következő eszközöket használjuk:
Akikkel korábban dolgoztunk:
Számítógépes és mobil szabványok
Open Web Application Security Project (OWASP) Testing Guide
OWASP Mobile Security Testing Guide (MSTG)
OWASP Mobile Application Security Checklist
OWASP Top 10 2017 – The Ten Most Critical Web Application Security Risks
Technical Guide to Information Security Testing an