Egyszerűsített nézet TELJES NÉZET

Sérülékenységvizsgálat és penetrációs teszt weboldalakon, hálózatokon, szoftvereken, rendszereken

A sérülékenységvizsgálat és penetrációs teszt szolgáltatásunkkal fényt derítünk azon sebezhetőségekre, amiknek kihasználásával a támadók manuális vagy automatizált módszerekkel átvehetik az irányítást ügyfeleink hálózatai, rendszerei és szoftverei felett.

Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

A sérülékenységvizsgálat célja

A sérülékenységvizsgálat célja, hogy az ügyfelek által üzemeltetett és általuk meghatározott rendszerek sérülékenységeinek és potenciális fenyegetettségeinek beazonosításra, majd javításra kerüljenek, ezzel csökkentve egy esetleges kompromittálódás vagy adatszivárgás bekövetkezésének valószínűségét.

Miért fontos a rendszeres ellenőrzés?

A támadásoknak való megnövekedett kitettség

Az elmúlt néhány évben az online weboldalak, a szolgáltatások és a hálózati infrastruktúrák ellen irányuló támadások száma megsokszorozódott. Jelenleg már olyan eszközök állnak az elkövetők rendelkezésére, amikkel a támadások a potenciális áldozatok válogatása nélkül tömegesen, automatizáltan is elvégezhetőek, így egy néhány fős kisvállalkozás és egy multinacioális vállalat egyaránt célpontnak tekinthető.

A törvényeknek való megfelelés

Az adatok védelmének garantálása ráadásul nemcsak a jó hírnév megóvása miatt fontos, hanem a törvényi előírásoknak való megfelelőség miatt is. A személyes adatok védelméért az adatkezelőknek és az üzemeltetőknek felelősséget kell vállalniuk. Kiberbiztonsági incidens esetén a védelmi intézkedések hiányosságai hatósági úton kerülnek kivizsgálásra és szankcionálva – amit a 2018-ban bevezetésre kerülő Általános Adatvédelmi Rendelet (GDPR) még súlyosabb mulasztásként kezel.

Elavuló, sérülékennyé váló szoftverek

Egy rendszer egy idő után akkor is sebezhetővé válik, ha a fejlesztők semmit sem változtatnak. Az üzemeltetői oldalon jellemző az „ami működik, ahhoz nem nyúlunk” szemlélet, így sem a futtató rendszerek, sem a keretrendszerek nem kerülnek frissítésre. Ez viszont azt is jelenti, hogy az újonnan felfedezett sérülékenységek sem kerülnek javításra. Emiatt nem elegendő az egyszeri vizsgálat, a műveletet legalább évente, vagy jelentősebb változtatás esetén megismétlendő.

A sérülékenységvizsgálat általános típusai

Black-box sérülékenységvizsgálat

A black-box vizsgálat lényege, hogy nem használunk fel semmilyen belsős üzemeltetői és fejlesztői információt (platform, framework, stb.), kizárólag azokkal a lehetőségekkel élünk, amik egy külsős, távoli támadó rendelkezésére állnak: publikusan elérhető felületek, regisztrációs lehetőségek és űrlapok, kint felejtett tesztoldalak, keresőrobotok által indexelt (belsősnek szánt) információk.

Gray-box sérülékenységvizsgálat

A gray-box vizsgálat esetében már ügyfél és admin (kliens, regisztrált felhasználó, adminisztrátor stb.) oldali információkat, dokumentációkat, technikai részleteket, valamint csak hosszas kutatás eredményeként megismerhető működésbeli ismereteket is felhasznál(hat)unk, tehát a vizsgálat tárgyát képző kiszolgáló frontendjéhez és publikus kapcsolataihoz teljes mértékben hozzáférünk – figyelembe véve a megbízó korlátozásait és kritériumait.

White-box sérülékenységvizsgálat

A white-box vizsgálat során már nemcsak ügyfél (kliens, regisztrált felhasználó, stb.) oldali információkat használunk fel, hanem a Megbízó részletes rendszerleírását is, ide értve a futtató infrastruktúrát, felhasznált keretrendszereket, a forráskódokat és a konfigurációs fájlokat is.

Penetrációs teszt vagy sérülékenységvizsgálat?

Sérülékenységvizsgálat Penetrációs teszt
Sérülékenységek… azonosítása azonosítása + kihasználása
Hálózati irány külső / belső hálózati külső / belső hálózati
Típus, mélység black‑ / gray‑ / white‑box black‑ / gray‑ / white‑box

Bizonyos esetekben szükség van sérülékenységvizsgálat során felfedezett sebezhetőségek validálására is, hogy kiderüljön, mely sérülékenységek milyen módszerekkel használhatók ki. Ez nagyban segíti a javítási procedúra megtervezését és a javítások alkalmazását.

A sérülékenységvizsgálat és a penetrációs teszt közötti lényegi különbség, hogy míg előbbi a sérülékenységek beazonosításánál megáll, addig az utóbbi már a felfedezett sérülékenységek gyakorlati próbáját, validálását is tartalmazza, aminek célja, hogy a vizsgálatot végző szakember minél mélyebbre jusson az adott rendszerben vagy hálózatban, és minél magasabb jogosultsági szintet érjen el.

A penetrációs teszt szigorúan a Megbízó felügyeletével történik, ugyanis a vizsgált kiszolgálók rendelkezésre állását, valamint a rajtuk található adatok bizalmasságát és épségét semmilyen körülmények között nem kockáztatjuk.

Egyéb sérülékenységvizsgálati szolgáltatásaink

Egyszerűsített CMS-vizsgálat

A népszerűbb tartalomkezelő rendszereknél (WordPress, Joomla, Drupal, stb.) az ügyfeleink élhetnek egy egyszerűsített CMS-vizsgálat lehetőségével is, amely során nem végzünk sem portfelderítést, sem hálózati rendszervizsgálatot, sem átfogó webes sérülékenységvizsgálatot. Ezen vizsgálati mód kizárólag az alkalmazott tartalomkezelő motor komponenseinek verzióiból kikövetkeztethető sebezhetőségeire koncentrál – ebből kifolyólag nem minősül átfogó sérülékenységvizsgálatnak.

Egyszerűsített sérülékenységvizsgálat

Számos területen találkozhatunk biztonságilag kritikus, viszont folyamatos fejlesztés és változtatás alatt álló infrastruktúrákkal, amiknél nem elegendő az évente elvégzett teljes sérülékenységvizsgálat, viszont az esetleges változtatások valumene nem elég ahhoz, hogy a teljes vizsgálatok gyakoriságát növelje az üzemeltető és/vagy fejlesztő szervezet.

Ezekben az esetekben lehet hasznos az egyszerűsített sérülékenységvizsgálat (Rapid Vulnerability Assessment, Rapid Penetration Test), ami negyedévente (vagy gyakrabban) kerül elvégzésre és csak a rendszerben bekövetkezett változások esetleges negatív biztonsági hatásaira fókuszál.

Rendszerszintű sérülékenységvizsgálat

A rendszerszintű sérülékenységvizsgálat során viszont magán a rendszeren végezzük el a vizsgálatot, kitérve minden olyan technikai paraméterre és üzemeltetési lépésre, ami befolyásolhatja a célpont biztonságát kibervédelmi szempontból.

Red Teaming szolgáltatás

A Red Teaming szolgáltatásunkkal szervezete észlelési és reagálási képességeit tesztelheti, ugyanis ezen támadási stratégia sokkal kifinomultabb és óvatosabb annál, hogy azt a védelmi megoldások egyértelműen támadásként kezeljék.

Az úgynevezett APT-típusú (Advanced Persistent Threat) támadássorozattal nagyobb időablakban, elsősorban manuális, nem-offenzív eszközökkel próbálunk a vizsgált infrastruktúrába behatolni és onnan evidenciákat szerezni.

A vizsgálat rámutathat azon támadási vektorokra, amiket a szervezet által alkalmazott védelmi megoldások és eljárások még nem képesek észlelni, azonosítani és megfelelően kezelni.

Feltört weboldal vagy rendszer hátsó bejáratainak (backdoor) azonosítása

Fennáll a lehetősége, hogy a korábban kibertámadás áldozatává vált, de az incidens után javított kiszolgálón továbbra is megtalálható egy hátsó bejárat (backdoor), amin a támadók bejárhatnak a rendszerbe. A forráskódok és a könyvtárstruktúrák átvizsgálásával beazonosítjuk ezeket a kártevő kódokat, hogy teljes mértékben kizárjuk az elkövetőket a rendszerből.

Jelentés-felülvizsgálat

Mivel jelenleg nincs olyan sérülékenységvizsgáló szoftver a piacon, ami komplexebb környezetben is képes alacsony fals-pozitív és fals-negatív hibarátát teljesíteni, ügyfeleink igényelhetik a saját üzemeltetésű szkennereik jelentéseinek (riportjainak) értelmezését és felülvizsgálatát.

Sérülékenységvizsgálati módszertanok

A CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional) és WCNA (Wireshark Certified Network Analyst) minősítésű szakembereink által végzett vizsgálatok az alábbi módszertanoknak és ajánlásoknak megfelelően, vagy azokat alapul véve kerülhetnek megvalósításra:

A sérülékenységvizsgálat menete

Konzultáció: Az ingyenes (személyes, e-mail, Signal, WhatsApp, Telegram) konzultáció során meghatározásra kerül a vizsgálat(ok) típusa, hatóköre, időintervalluma és ezek függvényében az ára.


Megbízás: A kiválasztott vizsgálat(ok) hatásköre, órapontosságú időintervalluma és ára rögzítésre kerül a megbízási szerződésben. Titoktartási és a fenyegetésmentességi nyilatkozattal garantáljuk az adatok és eredmények biztonságát, a Megbízó pedig a jogi nyilatkozattal hozzájárul a művelet elvégzéséhez.


Feltérképezés: A vizsgálat megkezdése előtt feltérképezzük a hatáskörbe tartozó kiszolgálókat és azok nyitott portjait, hogy ne terheljük feleslegesen a futtató infrastruktúrát és ne akadályozzuk a rendelkezésre állást.


Vizsgálat: A szerződésben meghatározott módszerekkel, automatikus és manuális eszközök segítségével elvégezzük a vizsgálatot a kiválasztott kiszolgálókon.


Behatolástesztelés: A Megbízó engedélyezheti a felfedezett sebezhetőségek hitelesítését (ellenőrzött körülmények között történő kihasználását), amivel átfogóbb képet kaphat azok valódi súlyosságáról.


Jelentés: Minden részletre kiterjedő vezetői és szakértői jegyzőkönyvben (magyar és/vagy angol nyelven) magyarázzuk el a felfedezett sebezhetőségek típusát, kihasználhatóságát és pontos helyét, kiegészítve a vizsgálat során generált naplófájlokkal, igazolva a munkánk körülményeit.


Javítási terv: Amennyiben olyan sérülékenységek is szerepelnek a vizsgálati jegyzőkönyvben, amiknek javítása további konzultációt igényel, közös egyeztetéssel egészítjük ki a Megbízó javítási tervét.


Remediációs vizsgálat: A felfedezett sebezhetőségek javítása után ellenőrizzük a javítások sikerességét.


Zárójelentés és konzultáció: A remediációs vizsgálat eredményeit részletesen ismertetjük a Megbízóval az alapjelentés formájában, további konzultáció igénye esetén pedig közösen dolgozzuk ki a további lépéseket.

A sérülékenységvizsgálat során felhasznált eszközök

Az általunk szolgáltatott sérülékenységvizsgálat és penetrációs teszt nem csupán valamelyik nagyobb szkenner futtatásából áll. Vizsgálataink során a legfejlettebb feltérképező, analitikai, vizsgálati és intruzív céleszközök, valamint saját fejlesztésű megoldások kerülnek felhasználásra – amiknek eredményei alapján felülvizsgált, laikusok számára is érthető, részletes jelentéseket állítunk össze.

A vizsgálat minden egyes lépését egy hálózati monitorozó naplózza, ezzel téve átláthatóvá tevékenységünk részleteit, bizonyítva a vizsgálat ideje alatt esetlegesen fellépő üzemzavarok tőlünk való függetlenségét.

Biztonsági minősítés szoftverekre, rendszerekre és szolgáltatásokra

Manapság, amikor minden hétre jut egy nagy volumenű kiberbiztonsági botrány, egy cég számára az ügyféladatok igazoltan biztonságos kezelése presztízskérdés, amit az ügyfelek számára is ajánlott kommunikálni. Az alábbi jelvénnyel a Makay Kiberbiztonsági Kft. OWASP Application Security Verification Standard, Mobile Application Security Verification Standard vagy Web Security Testing Guide alapú sérülékenységvizsgálat és/vagy penetrációs teszt szolgáltatását igénybe vevő cégek bizonyíthatják, hogy komoly figyelmet fordítanak szoftvertermékeik biztonságossá tételére.

A vizsgálat lezárását követően szakértőink automatikusan felajánlják a jelvény feltüntetésének lehetőségét, ezzel kapcsolatban további részleteket ezen a lapunkon olvashat.

Sérülékenységvizsgálat szolgáltatás árajánlat

Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

Kiemelt referenciáink a témában

Automatikus sérülékenységvizsgáló szoftverek

Figyelem! A sérülékenységvizsgáló szoftverek nem váltják ki a Makay Kiberbiztonsági Kft. szakértői által végzett teljes értékű vizsgálatot és kizárólagos használatukkal nem teljesíthető a különböző követelményrendszerek (ISO27001, NIST SP 800-53A stb.) belső sérülékenységvizsgálatokra vonatkozó kontrolljainak való megfelelés.

Mivel jelenleg nincs olyan sérülékenységvizsgáló szoftver a piacon, ami komplexebb környezetben is képes alacsony fals-pozitív és fals-negatív hibarátát teljesíteni, ügyfeleink igényelhetik a saját üzemeltetésű szkennereik jelentéseinek (riportjainak) értelmezését és felülvizsgálatát.

Rapid sérülékenységvizsgálat és penetrációs teszt webfejlesztők számára Home office távmunka biztonsági vizsgálata, ellenőrzése, auditálása Penetrációs teszt, behatolásteszt, sérülékenységek validálása Internetes kiszolgálók DDoS terheléstesztelése Kiberfenyegetési riasztások – Cyber Threat Intelligence Social engineering vizsgálat és biztonságtudatossági oktatás Sérülékenységvizsgáló szoftver vagy manuális vizsgálat és penetrációs teszt
Ne maradjon le a legújabb kiberbiztonsági hírekről, fejlesztésekről, kutatási eredményekről és fenyegetés riasztásokról!
KATTINTSON IDE és iratkozzon fel ingyenes hírlevelünkre, hogy a legfontosabb információk biztosan eljussanak Önhöz!
Árajánlat
A Makay.net böngészősütiket (cookie-kat) szeretne használni a felhasználói elégedettség fokozására és látogatási mérésekre. Adatvédelmi tájékoztató