Sérülékenységvizsgáló szoftver (vulnerability scanner) vagy manuális vizsgálat és penetrációs teszt
Compliance megfelelési auditok során számos szervezet nyilatkozza azt, hogy sérülékenységvizsgálat gyanánt automatikus sérülékenységvizsgáló szoftvert (vulnerability scanner) futtat rendszeres időközönként. Ugyanakkor sokszor még az auditorok sincsenek tisztában azzal, hogy ez a gyakorlat mennyire elégíti ki a kontrollok által támasztott követelményeket és hogyan viszonyul a manuálisan végzett vizsgálatokhoz és penetrációs (behatolás) tesztekhez.
Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!
Automatikus/automata sérülékenységvizsgáló szoftver (vulnerability scanner)
Magyarországon (és talán világszinten is) a legtöbb cég a Nessust, a Nexpose-t és az Acunetixet használja a házon belüli sérülékenységvizsgálatok során, majd a szoftverek által PDF-be exportált eredményeket dolgozza fel, vagy addig „pattogtatja” az illetékesek között, hogy végül mindenki elfelejti.
Ezek az eszközök rendkívül fejlettek és rengeteg információval szolgálnak a vizsgált rendszerek biztonsági állapotáról, viszont sok esetben a találatok akár 50 százaléka is fals-pozitív lehet, miközben számos sérülékenységtípust nem is vizsgálnak, a megállapítások pedig kontextustól függetlenül kapnak kockázati besorolást. Ebből kifolyólag a vizsgált rendszerekben számos olyan sérülékenység marad, amit nem kezelnek (mert a szoftver csupán közepes kockázatúra sorolta) vagy meg sem találnak.
Manuális sérülékenységvizsgálat és penetrációs teszt
A szakértők által végzett sérülékenységvizsgálatok részben(!) szintén az automatikus szoftverek által tett megállapításokra épít, viszont azokat manuális vizsgálatokkal erősíti meg (vagy éppen cáfolja) és olyan további teszteket hajt végre egyéb szoftverekkel, amiket az automatikus eszközök nem tettek meg.
Ebből kifolyólag egy szakember által elvégzett sérülékenységvizsgálat vagy penetrációs teszt nagyságrendekkel alaposabb és körültekintőbb egy piaci vizsgáló szoftver módszereinél. Ez viszont azt is jelenti, hogy egy manuális vizsgálat költsége (időben, pénzben és engedélyezett időablakban) ugyanarra a hatókörre jóval magasabb egy automatikus vizsgálatnál, tehát ritkábban végezhető.
A megfelelő gyakorlat mindkét módszert alkalmazza
Mivel az automatikus szoftverek futtatása olcsó, de kevésbé alapos, a manuális vizsgálatok elvégzése viszont drága, javasolt a vizsgálati módszerek egyesítése.
A gyakorlatban ez azt jelenti, hogy a vizsgálandó információs rendszerek biztonságát negyedévente futtatott (és szakértő által kiértékelt) automatikus sérülékenységvizsgálatokkal (Rapid Vulnerability Assessment) és évente ismételt teljes (automatikus + manuális) vizsgálatokkal lehet kellő és vállalható mélységben megismerni és a megfelelő intézkedésekkel javítani.
Sérülékenységvizsgálat szolgáltatás árajánlat
Keresse etikus hacker kollégáinknak az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!