Makay Pipe Symbol
Minden szervere és szolgáltatása
célpont a hackerek szemében

Sérülékenységvizsgálat és penetrációs teszt szolgáltatásaink segítéségvel a kibertámadások még időben megelőzhetőek.

Részletek Árajánlat
LinkedIn Signal Telegram Discord

Sérülékenységvizsgálat és penetrációs teszt

Mit kínálunk?

Mit kínálunk Önöknek?

Sérülékenységvizsgálat és penetrációs teszt szolgáltatásunkkal beazonosítjuk és kijavítjuk rendszerei, szolgáltatásai és szoftverei azon sebezhetőségeit, amikkel a kiberbűnözők olyan károkat okoznak, amiknek jellegét és mértékét jelenleg el sem tudják képzelni.

Mit tartalmaz?

Mit tartalmaz a szolgáltatás?

Mindenre kiterjedő, nemzetközi módszertan alapján elvégzett vizsgálatot, részletes kifejtéssel és javítási javaslatokkal ellátott vizsgálati jelentést, segítségnyújtást a javításokban, visszaellenőrzést és kapcsolódó tanácsadásokat – nemcsak most, de a jövőben is.

>Miért válasszon?

Miért válasszon minket?

Fontosnak tartjuk, hogy az általunk elvégzett vizsgálat, tanácsadás és segítségnyújtás a lehető legnagyobb hasznot jelentse ügyfeleink számára. Ennek megfelelően Önök partnerünkként profitálnak a területen szerzett sokéves tapasztalatunkból.


Ha érdeklődik a sérülékenységvizsgálat, penetrációs teszt, forráskódvizsgálat, mobilapp biztonsági vizsgálat és operációs rendszer szintű hardening vizsgálataink iránt, kattintson a SZOLGÁLTATÁSOK feliratú gombra! Ha kíváncsi a felsoroltak általános jellemzőire is, görgessen tovább!


Mi az a sérülékenységvizsgálat és penetrációs teszt?

A sérülékenységvizsgálat célja, hogy a szervezetek által üzemeltetett és általuk meghatározott rendszerek sebezhetőségei beazonosításra és javításra kerüljenek, ezzel csökkentve egy célzott vagy algoritmusok által tömegesen végrehajtott hackertámadás sikeres bekövetkezésének valószínűségét.

Módszer Sérülékenységvizsgálat Penetrációs teszt
Sérülékenységek… azonosítása azonosítása + hatásvizsgálata
Kiindulás külső / belső hálózati külső / belső hálózati
Mélység black‑ / gray‑ / white‑box black‑ / gray‑ / white‑box

A sérülékenységvizsgálat és a penetrációs teszt közötti lényegi különbség, hogy míg előbbi a sérülékenységek beazonosításánál megáll, addig az utóbbi már a felfedezett sérülékenységek gyakorlati próbáját, validálását is tartalmazza, aminek eredményei alapján meghatározható a sérülékenységekkel okozható károk típusa és kiterjedése. A penetrációs teszt szigorúan a Megbízó felügyeletével történik.

A sérülékenységvizsgálat általános típusai

Black-box sérülékenységvizsgálat

Black-box

A black-box vizsgálat lényege, hogy nem használunk fel semmilyen belsős üzemeltetői és fejlesztői információt (platform, framework, stb.), kizárólag azokkal a lehetőségekkel élünk, amik egy külsős, távoli támadó rendelkezésére állnak: publikusan elérhető felületek, regisztrációs lehetőségek és űrlapok, kint felejtett tesztoldalak, keresőrobotok által indexelt (belsősnek szánt) információk.

Gray-box sérülékenységvizsgálat

Gray-box

A gray-box vizsgálat esetében már ügyfél és admin (kliens, regisztrált felhasználó, adminisztrátor stb.) oldali információkat, technikai részleteket, valamint dokumentációkat is felhasználunk, tehát a vizsgálat tárgyát képző rendszer kapcsolódási pontjaihoz, felületeihez teljes mértékben hozzáférünk – figyelembe véve a megbízó korlátozásait és kritériumait.

White-box sérülékenységvizsgálat

White-box

A white-box vizsgálat során már nemcsak ügyfél (kliens, regisztrált felhasználó, stb.) oldali információkat használunk fel, hanem a Megbízó részletes rendszerleírását is, ide értve a futtató infrastruktúrát, felhasznált keretrendszereket, a forráskódokat és a konfigurációs fájlokat is. Ezen ismeretekkel a szakembereink egy belsős kompromittálási kísérletet is megelőzhetnek, megakadályozhatnak.

Static Application Security Testing (SAST)

A szoftver forráskódjának vagy binárisának biztonsági vizsgálata annak aktív futtatása nélkül. Ebben a vizsgálati stratégiában kizárólag azok a sérülékenységek kerülnek beazonosításra, amik a forráskódból, vagy a bináris fájlból kiderül.

Dynamic Application Security Testing (DAST)

Ebben a vizsgálati stratégiában azok a sérülékenységek kerülnek beazonosításra, amik az aktív működésből, használatból derülhetnek ki. A mélyebb rétegeket, esetleg forráskód szintű sebezhetőségek beazonosítására nem mindig megfelelő.

Interactive Application Security Testing (IAST)

Ötvözi a statikus és a dinamikus vizsgálatok jellemzőit. Egy kifinomult, célzott támadásnál a felkészült támadók is ennek a stratégiának megfelelően felépített taktikával derítik ki a szoftverek, rendszerek és szolgáltatások támadható sebezhetőségeit.

Sérülékenységvizsgálat és penetrációs teszt lépései, folyamata

  1. Konzultáció és megbízás (Pre-engagement Interactions): Az ingyenes konzultáció során meghatározásra kerül a vizsgálat(ok) típusa, mélysége, hatóköre, időintervalluma (összes paraméter) és ezek függvényében az ára.
  2. Feltérképezés (Intelligence Gathering, Information Gathering): A Megbízó által meghatározott hatókörbe tartozó kiszolgálók és egyéb hálózati pontok funkcionalitása alapján megtervezzük a vizsgálati stratégiát.
  3. Stratégiatervezés (Threat Modeling): A vizsgálat megkezdése előtt feltérképezzük a hatáskörbe tartozó kiszolgálókat és azok nyitott portjait, hogy ne terheljük feleslegesen a futtató infrastruktúrát és ne akadályozzuk a rendelkezésre állást.
  4. Sérülékenységvizsgálat (Vulnerability Assessment): A szerződésben meghatározott módszerekkel, automatikus és manuális eszközök segítségével elvégezzük a vizsgálatot a kiválasztott kiszolgálókon.
  5. Sérülékenységvalidálás (Exploitation): A Megbízó engedélyezheti a felfedezett sebezhetőségek hitelesítését (validálás szintű kihasználását), amivel átfogóbb képet kaphat azok valódi súlyosságáról.
  6. Penetrációs teszt (Penetration Testing): A szerződésben meghatározott módszerekkel, automatikus és manuális eszközök segítségével elvégezzük a sérülékenységvizsgálat során beazonosított potenciális sérülékenységek gyakorlati hatásvizsgálatát és ennek megfelelő súlyozását.
  7. Jelentés (Reporting): Minden részletre kiterjedő vezetői és szakértői jegyzőkönyvben (magyar és/vagy angol nyelven) magyarázzuk el a felfedezett sebezhetőségek típusát (CVE, OWASP), kihasználhatóságát (CVSS, EPSS), pontos helyét és javításának módját, kiegészítve a vizsgálat során generált naplófájlokkal, igazolva a munkánk körülményeit.
  8. Konzultáció: Amennyiben olyan sérülékenységek is szerepelnek a vizsgálati jegyzőkönyvben, amiknek javítása további konzultációt igényel, közös egyeztetéssel egészítjük ki a Megbízó javítási tervét.
  9. Remediációs vizsgálat (Remediation Testing): A felfedezett sebezhetőségek javítása után ellenőrizzük a javítások sikerességét.
  10. Zárójelentés és konzultáció (Final audit report, consultation): A remediációs vizsgálat eredményeit részletesen ismertetjük a Megbízóval az alapjelentés formájában, további konzultáció igénye esetén pedig közösen dolgozzuk ki a további lépéseket.

Sérülékenységvizsgálati módszertanok és ajánlások

A Makay Kiberbiztonsági Kft. szakemberei által végzett vizsgálatok az alábbi módszertanoknak, ajánlásoknak és követelményrendszereknek megfelelően, vagy azokat alapul véve kerülhetnek megvalósításra:

OWASP
NIST
MITRE ATT&CK
TISAX
PTES
ISO27001

A leggyakoribb sérülékenységtípusok

Bár az általunk felfedezett sérülékenységek rendkívül széles típuspalettába sorolhatóak (pl. Common Weakness Enumeration (CWE), OWASP Top 10), meghatároztunk három fő csoportot, amiknek tagjai szinte minden vizsgálat során jelentésre kerülnek.

Konfigurációs hiányosságok

Konfigurációs hiányosságok

A kiszolgálók üzemeltetése során olyan konfigurációs beállítások kerülhetnek alkalmazásra, amik csökkentik a rendszer és az általa kezelt adatok biztonságát.

Egyedi fejlesztések hibái

Egyedi fejlesztések hibái

Az egyedi fejlesztésű vagy biztonsági tanúsítvánnyal nem rendelkező szoftverekben olyan sérülékenységek lehetnek, amik kockáztatják a rendszer és az általa kezelt adatok biztonságát.

Gyártói sérülékenységek

Gyártói sérülékenységek

A szoftverekben rendszeres időközönként találnak magas és kritikus kockázatú sérülékenységeket, amiknek javítása és frissítéssel való megszüntetése a frissítési ciklusok miatt időben elhúzódhat.

Miért fontos a rendszeres ellenőrzés?

  1. A támadásoknak való megnövekedett kitettség: A támadók már automatikus eszközökkel, online adatbázisok alapján, válogatás nélkül támadnak meg mindenkit.
  2. A törvényeknek való megfelelés (NIS2, GDPR, 8/2020. (VI.22.) MNB ajánlás stb.): A Szervezetek számára nemcsak a reputáció miatt fontos az adatok védelme.
  3. Elavuló, sérülékennyé váló szoftverek: A szoftverek akkor is sérülékennyé válhatnak, ha nem nyúltak hozzájuk.
  4. Általános változások: A fejlesztési, konfigurációs és strukturális változtatások, de még a javítások is hozhatnak új sebezhetőségeket.

A kiberbiztonsági szakértők területtől függetlenül általában legalább éves rendszerességű, de biztonság szempontjából kritikusabb, szenzitív adatokat nagyobb mennyiségben kezelő, infrastrukturálisan vagy szoftveresen gyakrabban változó környezetben, még ennyél is gyakoribb vizsgálatot javasolnak.

Sérülékenységvizsgálat szolgáltatás árajánlat

Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

A sérülékenységvizsgálat és penetrációs teszt vizsgálati paraméterei Sérülékenységvizsgálat és penetrációs teszt lépései Sérülékenységvizsgálat, penetrációs teszt és red teaming jellemzői Automatikus sérülékenységvizsgálat korlátai, eredményei OWASP Top 10 sérülékenységvizsgálat és penetrációs teszt OWASP Web Security Testing Guide Checklist Threat-Led Penetration Testing (TLPT), Red Teaming Űripari szervezetek, űrrendszerek kiberbiztonsága
Árajánlat