Sérülékenységvizsgáló szoftver VAGY manuális vizsgálat és penetrációs teszt

Compliance megfelelési auditok során számos szervezet nyilatkozza azt, hogy sérülékenységvizsgálat gyanánt automatikus sérülékenységvizsgáló szoftvert (vulnerability scanner) futtat rendszeres időközönként. Ugyanakkor sokszor még az auditorok sincsenek tisztában azzal, hogy ez a gyakorlat mennyire elégíti ki a kontrollok által támasztott követelményeket és hogyan viszonyul a manuálisan végzett vizsgálatokhoz és penetrációs (behatolás) tesztekhez.

Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

Automatikus/automata sérülékenységvizsgáló szoftver (vulnerability scanner)

Magyarországon (és talán világszinten is) a legtöbb cég a Nessust, a Nexpose-t és az Acunetixet használja a házon belüli sérülékenységvizsgálatok során, majd a szoftverek által PDF-be exportált eredményeket dolgozza fel, vagy addig „pattogtatja” az illetékesek között, hogy végül mindenki elfelejti.

Ezek az eszközök rendkívül fejlettek és rengeteg információval szolgálnak a vizsgált rendszerek biztonsági állapotáról, viszont sok esetben a találatok akár 50 százaléka is fals-pozitív lehet, miközben számos sérülékenységtípust nem is vizsgálnak, a megállapítások pedig kontextustól függetlenül kapnak kockázati besorolást. Ebből kifolyólag a vizsgált rendszerekben számos olyan sérülékenység marad, amit nem kezelnek (mert a szoftver csupán közepes kockázatúra sorolta) vagy meg sem találnak.

Manuális sérülékenységvizsgálat és penetrációs teszt

A szakértők által végzett sérülékenységvizsgálatok részben(!) szintén az automatikus szoftverek által tett megállapításokra épít, viszont azokat manuális vizsgálatokkal erősíti meg (vagy éppen cáfolja) és olyan további teszteket hajt végre egyéb szoftverekkel, amiket az automatikus eszközök nem tettek meg.

Ebből kifolyólag egy szakember által elvégzett sérülékenységvizsgálat vagy penetrációs teszt nagyságrendekkel alaposabb és körültekintőbb egy piaci vizsgáló szoftver módszereinél. Ez viszont azt is jelenti, hogy egy manuális vizsgálat költsége (időben, pénzben és engedélyezett időablakban) ugyanarra a hatókörre jóval magasabb egy automatikus vizsgálatnál, tehát ritkábban végezhető.

A megfelelő gyakorlat mindkét módszert alkalmazza

Mivel az automatikus szoftverek futtatása olcsó, de kevésbé alapos, a manuális vizsgálatok elvégzése viszont drága, javasolt a vizsgálati módszerek egyesítése.

A gyakorlatban ez azt jelenti, hogy a vizsgálandó információs rendszerek biztonságát negyedévente futtatott (és szakértő által kiértékelt) automatikus sérülékenységvizsgálatokkal (Rapid Vulnerability Assessment) és évente ismételt teljes (automatikus + manuális) vizsgálatokkal lehet kellő és vállalható mélységben megismerni és a megfelelő intézkedésekkel javítani.

Sérülékenységvizsgálat szolgáltatás árajánlat

Keresse etikus hacker kollégáinknak az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

Webes, hálózati és rendszerszintű sérülékenységvizsgálat Home office távmunka biztonsági vizsgálata, ellenőrzése, auditálása Penetrációs teszt, behatolásteszt, sérülékenységek validálása Internetes kiszolgálók DDoS terheléstesztelése Kiberfenyegetési riasztások – Cyber Threat Intelligence Social engineering vizsgálat és biztonságtudatossági oktatás

Webes és hálózati sérülékenységvizsgálat

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

Incidensvizsgálat és nyomelemzés

Offline fáljtitkosító webalkalmazás

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Védelmi és vizsgálati termékek

Kibersuli gyerekeknek
az internet veszélyeiről

Home office biztonsági vizsgálat

Webes és hálózati sérülékenységvizsgálat

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

IT biztonsági tanácsadás és oktatás

Védelmi és vizsgálati termékek

Árajánlat