Webes, hálózati és rendszerszintű sérülékenységvizsgálat

A webes és hálózati sérülékenységvizsgálatokkal fényt derítünk azon sebezhetőségekre, amiknek kihasználásával a támadók manuális vagy automatizált módszerekkel átvehetik az irányítást a vizsgálat tárgyául szolgáló kiszolgálók felett.

Tartalom

Keresse kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

Miért fontos a rendszeres ellenőrzés?

Az elmúlt néhány évben az online weboldalak, a szolgáltatások és a hálózati infrastruktúrák ellen irányuló támadások száma megsokszorozódott. Bár minden korábbinál több kiberbűnöző tevékenykedik az interneten, a növekedést nem feltétlenül ez váltotta ki – csak hozzájárult az incidensek általánossá válásához.

A növekedés legfőbb oka, hogy már olyan eszközök állnak az elkövetők rendelkezésére, amikkel már nem szükséges egy-egy potenciális áldozatra figyelmet fordítani, a támadások tömegesen, automatizáltan is elvégezhetőek, hasonlóan az áldozatok felkutatásához.

A módszer hatékonysága maga után vonja, hogy a támadók nagyon sok esetben már nem is nézik, hogy ki az áldozat, a szoftverek kérdés és válogatás nélkül próbálják ki a sérülékenységeket kihasználó kódokat a felfedezett célpontok internetre kötött felületein.

Ebből kifolyólag manapság minden online rendszer célpontnak tekinthető, annak jelentőségére és értékére tekintet nélkül. Legyen az egy egyszerű weboldal, egy online szolgáltatás, vagy egy külső elérhetőséggel rendelkező vállalati hálózat, a szakértők által végzett és értékelt sérülékenységvizsgálat elengedhetetlen.

Az adatok védelmének garantálása ráadásul nemcsak a jó hírnév megóvása miatt fontos, hanem a törvényi előírásoknak való megfelelőség miatt is. A személyes adatok védelmének felelősségét az üzemeltetők nem háríthatják, kiberbiztonsági incidens esetén a védelmi intézkedések hiányosságai hatósági úton kerülnek kivizsgálásra és szankcionálva – amit a 2018-ban bevezetésre kerülő Általános Adatvédelmi Rendelet (GDPR) még súlyosabb mulasztásként fog kezelni.

Rendszerességet tekintve sem lazább a helyzet, ugyanis egy online rendszer egy idő után akkor is sebezhetővé válik, ha a fejlesztők semmit sem változtatnak. Az üzemeltetői oldalon sajnos jellemző az „ami működik, ahhoz nem nyúlunk” szemlélet, így sem a futtató rendszerek, sem a keretrendszerek nem kerülnek frissítésre – többnyire rendelkezésre állási és stabilitási okok miatt. Ez viszont azt is jelenti, hogy az újonnan felfedezett sebezhetőségeket semmi sem fogja javítani. Éppen ezért nem elegendő az egyszeri vizsgálat, a műveletet legalább évente, vagy félévente meg kell ismételni, hogy felszínre kerüljenek az időközben felfedezett sérülékenységek is.

A sérülékenységvizsgálat célja, hogy az ügyfelek által üzemeltetett és általuk meghatározott rendszerek külső interfészeinek sérülékenységeit és potenciális fenyegetettségét beazonosítsa. A vizsgálat kitér a nyitott portok felderítésére, az adott rendszer szolgáltatásainak beazonosítására és sérülékenységvizsgálatára, opcionálisan webes sérülékenységvizsgálatra, valamint az egyéb, külső fenyegetések meghatározására.

Egyszerűsített CMS-vizsgálat

A népszerűbb tartalomkezelő rendszereknél (WordPress, Joomla, Drupal, stb.) az ügyfeleink élhetnek egy egyszerűsített CMS-vizsgálat lehetőségével is, amely során nem végzünk sem portfelderítést, sem hálózati rendszervizsgálatot, sem átfogó webes sérülékenységvizsgálatot. Ezen vizsgálati mód kizárólag az alkalmazott tartalomkezelő motor komponenseinek verzióiból kikövetkeztethető sebezhetőségeire koncentrál – ebből kifolyólag nem minősül átfogó sérülékenységvizsgálatnak.

Black-box sérülékenységvizsgálat

A black-box vizsgálat lényege, hogy nem használunk fel semmilyen belsős üzemeltetői információt (platform, framework, stb.), kizárólag azokkal a lehetőségekkel élünk, amik egy külsős, távoli támadó rendelkezésére állnak: publikusan elérhető felületek, regisztrációs lehetőségek és űrlapok, kint felejtett tesztoldalak, keresőrobotok által indexelt (belsősnek szánt) információk.

Gray-box sérülékenységvizsgálat

A gray-box vizsgálat esetében már ügyfél (kliens, regisztrált felhasználó, stb.) oldali információkat is felhasználunk, tehát a vizsgálat tárgyát képző kiszolgáló frontendjéhez és publikus kapcsolataihoz teljes mértékben hozzáférünk – figyelembe véve a megbízó korlátozásait és kritériumait.

White-box sérülékenységvizsgálat

A white-box vizsgálat során már nemcsak ügyfél (kliens, regisztrált felhasználó, stb.) oldali információkat használunk fel, hanem a Megbízó részletes rendszerleírását is, ide értve a futtató infrastruktúrát, felhasznált keretrendszereket, a forráskódokat és a konfigurációs fájlokat is.

Behatolástesztelés (penetration testing)

Bizonyos esetekben szükség van sérülékenységvizsgálat során felfedezett sebezhetőségek validálására is, hogy kiderüljön, mely sérülékenységek milyen módszerekkel használhatók ki. Ez nagyban segíti a javítási procedúra megtervezését és a javítások alkalmazását.

Rendszerszintű sérülékenységvizsgálat

A rendszerszintű sérülékenységvizsgálat során viszont magán a rendszeren végezzük el a vizsgálatot, kitérve minden olyan technikai paraméterre és üzemeltetési lépésre, ami befolyásolhatja a célpont biztonságát kibervédelmi szempontból.

Fizikai vizsgálat

A szoftveres és hálózati vizsgálatok mellett – az ügyfelek igényeivel összhangban – fizikai vizsgálatot is végezhetünk a sérülékenységvizsgálat hatályába tartozó rendszerek, támogatórendszerek és interfészek futtatóeszközein (szerverek, PC-k, okostelefonok, beágyazott rendszerek, IoT eszközök, stb.) – ebbe viszont nem tartozik bele az eszköz üzemeltetésének otthont adó épület teljes körű fizikai auditja.

A fizikai vizsgálat során kizárólag a futtató hardverinfrastruktúrát és az üzemeltetéshez feltétlenül szükséges környezetet vizsgáljuk, előre meghatározott pontokra (pl.: USB portok, vezeték nélküli hálózatok, stb.) kitérve.

Felhasznált módszertanok

Az általunk végzett vizsgálatok során saját, esetenként az ügyfelek számára egyedileg személyre szabott módszertant alkalmazunk, aminek kialakításánál a következő szakmai módszertanokat vettük alapul:

Támogatott rendszerek és környezetek

Webes szolgáltatások: Üzleti szempontból minden vállalkozás számára elengedhetetlen az online jelenlét, ezzel viszont tálcán kínálják a lehetőségeket a támadók számára. Az ügyféladatok, a rendelkezésre állás és a presztízs védelme érdekében a legkülönfélébb

támogatjuk webes szolgáltatásokat érintő vizsgálataink során, speciális esetekben akár kódvizsgálat szinten is.

Kis- és közepes méretű hálózatok: Mivel a támadások sok esetben nem a vállalkozás weboldalán keresztül érkeznek, szükséges a kiszolgálók (Windows, Linux, IBM AIX, HP-UX, stb.) rendszerszintű vizsgálata is, hogy felkutassuk azokat a potenciális sérülékenységeket, amiknek kihasználásával a kiberbűnözők eltéríthetik vagy degradálhatják a futtatott rendszert.

A sérülékenységvizsgálat menete

Konzultáció: Az ingyenes (személyes, e-mail, Signal, Wire) konzultáció során meghatározásra kerül a vizsgálat(ok) típusa, hatásköre, időintervalluma és ezek függvényében a nettó ár.


Megbízás: A kiválasztott vizsgálat(ok) hatásköre, órapontosságú időintervalluma és ára rögzítésre kerül a megbízási szerződésben. Titoktartási nyilatkozattal garantáljuk az adatok és eredmények biztonságát, a megbízó pedig a jogi nyilatkozattal hozzájárul a művelet elvégzéséhez.


Feltérképezés: A vizsgálat megkezdése előtt feltérképezzük a hatáskörbe tartozó kiszolgálókat és azok nyitott portjait, hogy ne terheljük feleslegesen a futtató infrastruktúrát és ne akadályozzuk a rendelkezésre állást.


Vizsgálat: A szerződésben meghatározott módszerekkel, automatikus és manuális eszközök segítségével elvégezzük a vizsgálatot a kiválasztott kiszolgálókon.


Behatolástesztelés: A megbízó engedélyezheti a felfedezett sebezhetőségek hitelesítését (ellenőrzött körülmények között történő kihasználását), amivel átfogóbb képet kaphat azok valódi súlyosságáról.


Jelentés: Minden részletre kiterjedő vezetői és szakértői jegyzőkönyvben magyarázzuk el a felfedezett sebezhetőségek típusát, kihasználhatóságát és pontos helyét, kiegészítve a vizsgálat során generált naplófájlokkal, igazolva a munkánk körülményeit.


Javítási terv: Amennyiben olyan sérülékenységek is szerepelnek a vizsgálati jegyzőkönyvben, amiknek javítása további konzultációt igényel, közös egyeztetéssel egészítjük ki a megbízó javítási tervét.


Remediációs vizsgálat: A felfedezett sebezhetőségek javítása után ellenőrizzük a javítások sikerességét.


Zárójelentés és konzultáció: A remediációs vizsgálat eredményeit részletesen ismertetjük a megbízóval az alapjelentés formájában, további konzultáció igénye esetén pedig közösen dolgozzuk ki a további lépéseket.

Ezeket az eszközöket használjuk

Munkánk technikai támogatásáért egy speciális virtuális környezet felel, ami egy titkosított, Kali Linuxra épített operációs rendszer, kiegészítve saját szabályokkal, szoftverekkel és szkriptekkel.

Az általunk használt szoftverek között megtalálható többek között az nmap, az sqlmap, az sslscan, a Nessus, a Acunetix és a Metasploit – amiknek eredményei alapján pontos és részletes jelentéseket állíthatunk össze megbízóink számára.

A vizsgálat minden egyes lépését a tcpdump naplózza, ezzel téve átláthatóvá tevékenységünk részleteit, bizonyítva a vizsgálat ideje alatt esetlegesen fellépő üzemzavarok tőlünk való függetlenségét.