Súlyos sebezhetőségre figyelmeztet a Fortinet Az orosz Turla hackercsoport támadhatta meg az egyik európai külügyminisztériumot Orosz állami hackerek forráskódokat lophattak el a Microsofttól Mi az a Ransomware-as-a-Service? 110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője Szoftverengedélyezési folyamat – Kiberbiztonsági ellenőrzőlista Letartóztatták a LockBit néhány tagját, kiadtak egy dekriptáló szoftvert Broken Object Level Authorization sérülékenység javítása, megelőzése A titkosított Signal üzenetküldő bevezetet a felhasználóneveket Információbiztonság vs. kiberbiztonság Felhőalapú kiberbiztonsági tanácsadás és audit Kiberbiztonsági partnerprogram CVSS: Common Vulnerability Scoring System Sérülékenységvizsgálat, penetrációs teszt és red teaming jellemzői Session Hijacking sérülékenység javítása, megelőzése Kövessen Minket LinkedInen is!

Sérülékenységvizsgáló szoftver vagy manuális vizsgálat és penetrációs teszt

Compliance megfelelési auditok során számos szervezet nyilatkozza azt, hogy sérülékenységvizsgálat gyanánt automatikus sérülékenységvizsgáló szoftvert (vulnerability scanner) futtat rendszeres időközönként. Ugyanakkor sokszor még az auditorok sincsenek tisztában azzal, hogy ez a gyakorlat mennyire elégíti ki a kontrollok által támasztott követelményeket és hogyan viszonyul a manuálisan végzett vizsgálatokhoz és penetrációs (behatolás) tesztekhez.

Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

Automatikus/automata sérülékenységvizsgáló szoftver (vulnerability scanner)

Magyarországon (és talán világszinten is) a legtöbb cég a Nessust, a Nexpose-t és az Acunetixet használja a házon belüli sérülékenységvizsgálatok során, majd a szoftverek által PDF-be exportált eredményeket dolgozza fel, vagy addig „pattogtatja” az illetékesek között, hogy végül mindenki elfelejti.

Ezek az eszközök rendkívül fejlettek és rengeteg információval szolgálnak a vizsgált rendszerek biztonsági állapotáról, viszont sok esetben a találatok akár 50 százaléka is fals-pozitív lehet, miközben számos sérülékenységtípust nem is vizsgálnak, a megállapítások pedig kontextustól függetlenül kapnak kockázati besorolást. Ebből kifolyólag a vizsgált rendszerekben számos olyan sérülékenység marad, amit nem kezelnek (mert a szoftver csupán közepes kockázatúra sorolta) vagy meg sem találnak.

Manuális sérülékenységvizsgálat és penetrációs teszt

A szakértők által végzett sérülékenységvizsgálatok részben(!) szintén az automatikus szoftverek által tett megállapításokra épít, viszont azokat manuális vizsgálatokkal erősíti meg (vagy éppen cáfolja) és olyan további teszteket hajt végre egyéb szoftverekkel, amiket az automatikus eszközök nem tettek meg.

Ebből kifolyólag egy szakember által elvégzett sérülékenységvizsgálat vagy penetrációs teszt nagyságrendekkel alaposabb és körültekintőbb egy piaci vizsgáló szoftver módszereinél. Ez viszont azt is jelenti, hogy egy manuális vizsgálat költsége (időben, pénzben és engedélyezett időablakban) ugyanarra a hatókörre jóval magasabb egy automatikus vizsgálatnál, tehát ritkábban végezhető.

A megfelelő gyakorlat mindkét módszert alkalmazza

Mivel az automatikus szoftverek futtatása olcsó, de kevésbé alapos, a manuális vizsgálatok elvégzése viszont drága, javasolt a vizsgálati módszerek egyesítése.

A gyakorlatban ez azt jelenti, hogy a vizsgálandó információs rendszerek biztonságát negyedévente futtatott (és szakértő által kiértékelt) automatikus sérülékenységvizsgálatokkal (Rapid Vulnerability Assessment) és évente ismételt teljes (automatikus + manuális) vizsgálatokkal lehet kellő és vállalható mélységben megismerni és a megfelelő intézkedésekkel javítani.

Sérülékenységvizsgálat szolgáltatás árajánlat

Keresse etikus hacker kollégáinknak az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

Sérülékenységvizsgálat és penetrációs teszt szolgáltatás
Árajánlat