Sérülékenységvizsgálat és penetrációs teszt szolgáltatás

A sérülékenységvizsgálat és penetrációs teszt szolgáltatásunkkal fényt derítünk azon sebezhetőségekre, amiknek kihasználásával a támadók manuális vagy automatizált módszerekkel átvehetik az irányítást ügyfeleink hálózatai, rendszerei és szoftverei felett.

Ajánlott szolgáltatási csomagjaink

Konfigurációs hiányosságok

ESETI CSOMAG


  • Eseti megbízásokra
  • Mennyiségi korlátozás nélkül
  • Kedvezményes felülvizsgálati lehetőség
  • Black‑box, gray‑box vagy white‑box mélység
  • Sérülékenységvizsgálat vagy penetrációs teszt módszer
  • OWASP WSTG, MASTG, MITRE ATT&CK és PTES ajánlás szerint
  • OWASP ASVS vagy MASVS keretrendszereknek való megfelelés ellenőrzése
Egyedi ajánlat
Kék csomag

KÉK CSOMAG


  • 1-5 kiszolgálóra
  • 3 éves szerződéssel
  • Évente 1 teljes vizsgálat
  • Évente 1 felülvizsgálat
  • Black‑box mélység
  • Sérülékenységvizsgálat módszer
  • OWASP WSTG, MASTG, MITRE ATT&CK és PTES ajánlás szerint
399 999 Ft / év
Narancs csomag

NARANCS CSOMAG


  • 6-15 kiszolgálóra
  • 3 éves szerződéssel
  • Évente 1 teljes vizsgálat
  • Évente 1 felülvizsgálat
  • Black‑box vagy gray‑box mélység
  • Sérülékenységvizsgálat vagy penetrációs teszt módszer
  • OWASP WSTG, MASTG, MITRE ATT&CK és PTES ajánlás szerint
  • OWASP ASVS vagy MASVS keretrendszereknek való megfelelés ellenőrzése
699 999 Ft / év
Konfigurációs hiányosságok

ZÖLD CSOMAG


  • 16-25 kiszolgálóra
  • 3 éves szerződéssel
  • Évente 1 teljes vizsgálat
  • Évente 1 felülvizsgálat
  • Black‑box, gray‑box vagy white‑box mélység
  • Sérülékenységvizsgálat vagy penetrációs teszt módszer
  • OWASP WSTG, MASTG, MITRE ATT&CK és PTES ajánlás szerint
  • OWASP ASVS vagy MASVS keretrendszereknek való megfelelés ellenőrzése
1 199 999 Ft / év

Figyelem! A feltüntetett (nettó) árak a 27% ÁFÁ-t nem tartalmazzák.
Amennyiben a fenti csomagok nem fedik le tökéletesen az igényeit, kérjen egyedi ajánlatot az Árajánlat gombbal!

Mi az a sérülékenységvizsgálat?

A sérülékenységvizsgálat célja, hogy a szervezetek által üzemeltetett és általuk meghatározott rendszerek kiberbiztonsági sérülékenységei és potenciális fenyegetettségei beazonosításra, majd javításra kerüljenek, ezzel csökkentve egy esetleges kompromittálódás, adatszivárgás, vagy egyéb sikeres hackertámadás bekövetkezésének valószínűségét.

A leggyakoribb sérülékenységtípusok

Bár az általunk felfedezett sérülékenységek rendkívül széles típuspalettába sorolhatóak (pl. OWASP Top 10), meghatároztunk három fő csoportot, amiknek tagjai szinte minden vizsgálat során jelentésre kerülnek, még az évente ellenőrzött információs rendszerek esetén is az üzemeltetés és a fejlesztések során bekövetkező változások miatt.

Konfigurációs hiányosságok

Konfigurációs hiányosságok

A kiszolgálók üzemeltetése során olyan konfigurációs beállítások kerülhetnek alkalmazásra, amik csökkentik a rendszer és az általa kezelt adatok biztonságát. Ezekre jellemzően csak a vizsgálatok során derül fény, mert az üzemeltetők nincsenek tisztában a belőlük származó támadási potenciállal.

Egyedi fejlesztések hibái

Egyedi fejlesztések hibái

Amennyiben a Szervezet egyedi fejlesztésű, a piacon nem forgalmazott, illetve biztonsági tanúsítvánnyal nem rendelkező szoftvert használ és/vagy gyárt, a szoftverben olyan sérülékenységek lehetnek, amik kockáztatják a rendszer és az általa kezelt adatok biztonságát, valamint rendelkezésre állását.

Gyártói sérülékenységek

Gyártói sérülékenységek

Minden forgalomban lévő szoftverben rendszeres időközönként találnak magas és kritikus kockázatú sérülékenységeket, amiknek javítása és frissítéssel való megszüntetése a frissítési ciklusok miatt időben gyakran elhúzódhat, emiatt pedig a rendszer és az általa kezelt adatok súlyos fenyegetésnek vannak kitéve.

Milyen gyakorisággal ajánlott sérülékenységvizsgálatot végeztetni?

13.1.4. e) a belső és elkülönített hálózati zónákban lévő rendszerekre vonatkozó sérülékenységvizsgálatok az intézmény belső szabályzati rendszerében meghatározott folyamat szerint legkésőbb évente, a bankkártya rendszerek, webes ügyfélkiszolgáló rendszerek, mobilalkalmazások és az azokat kiszolgáló rendszerek vonatkozásában legkésőbb negyedévente ismételve, valamint a kockázatként meghatározott kritikus hibák javítása haladéktalanul, a nem kritikus hibák javítása a kockázatokkal arányos ütemezés szerint megtörténik;
13.1.4. f) az Internet felől elérhető alkalmazások penetrációs tesztje a kockázatként meghatározott hibák javítása után, az üzembe állítást megelőzően, illetve bármely a biztonságot érintő változtatás alkalmával, majd legkésőbb évente ismételve megtörténik;
” – 8/2020. (VI.22.) MNB ajánlás

A Magyar Nemzeti Bank ajánlása természetesen számos informatikai környezetben nem életszerű, de az tény, hogy még a kevésbé kritikus rendszereket és szolgáltatásokat is ajánlott legalább éves rendszerességgel, valamint jelentősebb változásokat követően sérülékenységvizsgálatnak alávetni.

Miért fontos a rendszeres ellenőrzés?

A támadásoknak való megnövekedett kitettség

Az elmúlt néhány évben az online weboldalak, a szolgáltatások és a hálózati infrastruktúrák ellen irányuló támadások száma megsokszorozódott. Jelenleg már olyan eszközök állnak az elkövetők rendelkezésére, amikkel a támadások a potenciális áldozatok válogatása nélkül tömegesen, automatizáltan is elvégezhetőek, így egy néhány fős kisvállalkozás és egy multinacionális vállalat egyaránt célpontnak tekinthető.

A törvényeknek való megfelelés (GDPR, MNB 8/2020. stb.)

Az adatok védelmének garantálása ráadásul nemcsak a jó hírnév megóvása miatt fontos, hanem a törvényi előírásoknak való megfelelőség miatt is. A személyes adatok védelméért az adatkezelőknek és az üzemeltetőknek felelősséget kell vállalniuk. Kiberbiztonsági incidens esetén a védelmi intézkedések hiányosságai hatósági úton kerülnek kivizsgálásra és szankcionálva – amit a 2018-ban bevezetésre kerülő Általános Adatvédelmi Rendelet (GDPR) még súlyosabb mulasztásként kezel.

Elavuló, sérülékennyé váló szoftverek

Egy rendszer egy idő után akkor is sebezhetővé válik, ha a fejlesztők semmit sem változtatnak. Az üzemeltetői oldalon jellemző az „ami működik, ahhoz nem nyúlunk” szemlélet, így sem a futtató rendszerek, sem a keretrendszerek nem kerülnek frissítésre. Ez viszont azt is jelenti, hogy az újonnan felfedezett sérülékenységek sem kerülnek javításra. Emiatt nem elegendő az egyszeri vizsgálat, a műveletet legalább évente, vagy jelentősebb változtatás esetén megismétlendő.

Fejlesztési, konfigurációs és strukturális változtatások

Amennyiben a vizsgálandó rendszerben valamilyen változás kerül bevezetésre, legyen az bármilyen fejlesztés (javítás), konfigurációs módosítás, vagy strukturális változtatás, fennáll annak a lehetősége, hogy valamilyen kódszintű vagy koncepcionális sérülékenység is megjelenik.

A sérülékenységvizsgálat általános típusai

Black-box sérülékenységvizsgálat

Black-box

A black-box vizsgálat lényege, hogy nem használunk fel semmilyen belsős üzemeltetői és fejlesztői információt (platform, framework, stb.), kizárólag azokkal a lehetőségekkel élünk, amik egy külsős, távoli támadó rendelkezésére állnak: publikusan elérhető felületek, regisztrációs lehetőségek és űrlapok, kint felejtett tesztoldalak, keresőrobotok által indexelt (belsősnek szánt) információk.

Gray-box sérülékenységvizsgálat

Gray-box

A gray-box vizsgálat esetében már ügyfél és admin (kliens, regisztrált felhasználó, adminisztrátor stb.) oldali információkat, technikai részleteket, valamint dokumentációkat is felhasználunk, tehát a vizsgálat tárgyát képző rendszer kapcsolódási pontjaihoz, felületeihez teljes mértékben hozzáférünk – figyelembe véve a megbízó korlátozásait és kritériumait.

White-box sérülékenységvizsgálat

White-box

A white-box vizsgálat során már nemcsak ügyfél (kliens, regisztrált felhasználó, stb.) oldali információkat használunk fel, hanem a Megbízó részletes rendszerleírását is, ide értve a futtató infrastruktúrát, felhasznált keretrendszereket, a forráskódokat és a konfigurációs fájlokat is. Ezen ismeretekkel a szakembereink egy belsős kompromittálási kísérletet is megelőzhetnek, megakadályozhatnak.

Penetrációs teszt vagy sérülékenységvizsgálat?

Bizonyos esetekben szükség van sérülékenységvizsgálat során felfedezett sebezhetőségek validálására is, hogy kiderüljön, mely sérülékenységek milyen módszerekkel használhatók ki. Ez nagyban segíti a javítási procedúra megtervezését és a javítások alkalmazását.

Sérülékenységvizsgálat Penetrációs teszt
Sérülékenységek… azonosítása azonosítása + hatásvizsgálata
Hálózati irány külső / belső hálózati külső / belső hálózati
Támadókompetencia black‑ / gray‑ / white‑box black‑ / gray‑ / white‑box

A sérülékenységvizsgálat és a penetrációs teszt közötti lényegi különbség, hogy míg előbbi a sérülékenységek beazonosításánál megáll, addig az utóbbi már a felfedezett sérülékenységek gyakorlati próbáját, validálását is tartalmazza, aminek eredményei alapján meghatározható a sérülékenységekkel okozható károk típusa és kiterjedése a vizsgálat tárgyát képező informatikai környezetre vonatkozóan.

A penetrációs teszt szigorúan a Megbízó felügyeletével történik, ugyanis a vizsgált kiszolgálók rendelkezésre állását, valamint a rajtuk található adatok bizalmasságát és épségét semmilyen körülmények között nem kockáztatjuk.

Egyéb sérülékenységvizsgálati szolgáltatásaink

Ingyenes sérülékenységvizsgálat, penetrációs teszt szolgáltatás

Az ingyenes HACKR sérülékenységvizsgálati szolgáltatásunkat azoknak a szervezeteknek ajánljuk, amik kételkednek a sérülékenységvizsgálat elvégzésének szükségességében és egy ilyen szolgáltatás megvásárlásának értelmében.

A vizsgálati eredmények az ingyenesség jegyében magas szinten kerülnek ismertetésre, tehát a jelentésből nem derül ki az, hogy pontosan hol, mit és hogyan kellene javítani ahhoz, hogy a sebezhetőség megszüntetésre kerüljön. Az elsődleges cél az, hogy a szervezet egy általános képet kapjon a kiválasztott kiszolgáló biztonsági állapotáról.

Riportolt sérülékenységtípusok:

HACKR INDÍTÁSA

Egyszerűsített (WordPress, Joomla, Drupal, PrestaShop stb.) sérülékenységvizsgálat

Számos területen találkozhatunk biztonságilag kritikus, viszont folyamatos fejlesztés és változtatás alatt álló infrastruktúrákkal, amiknél nem elegendő az évente elvégzett teljes sérülékenységvizsgálat, viszont az esetleges változtatások valumene nem elég ahhoz, hogy a teljes vizsgálatok gyakoriságát növelje az üzemeltető és/vagy fejlesztő szervezet.

Ezekben az esetekben lehet hasznos az egyszerűsített sérülékenységvizsgálat (Rapid Vulnerability Assessment, Rapid Penetration Test), ami negyedévente (vagy gyakrabban) kerül elvégzésre és csak a rendszerben bekövetkezett változások esetleges negatív biztonsági hatásaira fókuszál.

Rendszerszintű sérülékenységvizsgálat, operációs rendszer audit

A rendszerszintű sérülékenységvizsgálat során magán az operációs rendszeren végezzük el a vizsgálatot, kitérve minden olyan technikai paraméterre és üzemeltetési lépésre, ami befolyásolhatja a célpont biztonságát kibervédelmi szempontból.

Red Teaming, Threat-Led Penetration Testing (TLPT) szolgáltatás

A Red Teaming szolgáltatásunkkal a szervezetek saját észlelési és reagálási képességeit tesztelhetik, ugyanis ezen támadási stratégia sokkal kifinomultabb és óvatosabb annál, hogy azt a védelmi megoldások egyértelműen támadásként kezeljék.

Az úgynevezett APT-típusú (Advanced Persistent Threat) támadássorozattal nagyobb időablakban, elsősorban manuális, nem-offenzív eszközökkel próbálunk a vizsgált infrastruktúrába behatolni és onnan evidenciákat szerezni.

A vizsgálat rámutathat azon támadási vektorokra, amiket a szervezet által alkalmazott védelmi megoldások és eljárások még nem képesek észlelni, azonosítani és megfelelően kezelni.

Felhő (AWS, Azure) sérülékenységvizsgálat és penetrációs teszt

A felhőben hosztolt szolgáltatások vizsgálata némiképp eltér a hagyományos értelemben vett sérülékenységvizsgálatok és penetrációs tesztek folyamatától, ezért dedikált stratégiával és eszközökkel készültünk fel azokra az esetekre, amikor ügyfeleink Amazon Web Servicesben vagy Microsoft Azure-ban futtatják fejlesztéseiket.

Feltört weboldal vagy rendszer hátsó bejáratainak (backdoor) azonosítása

Fennáll a lehetősége, hogy a korábban kibertámadás áldozatává vált, de az incidens után javított kiszolgálón továbbra is megtalálható egy hátsó bejárat (backdoor), amin a támadók bejárhatnak a rendszerbe. A forráskódok és a könyvtárstruktúrák átvizsgálásával beazonosítjuk ezeket a kártevő kódokat, hogy teljes mértékben kizárjuk az elkövetőket a rendszerből.

Jelentés-felülvizsgálat

Mivel jelenleg nincs olyan sérülékenységvizsgáló szoftver a piacon, ami komplexebb környezetben is képes alacsony fals-pozitív és fals-negatív hibarátát teljesíteni, ügyfeleink igényelhetik a saját üzemeltetésű szkennereik jelentéseinek (riportjainak) értelmezését és felülvizsgálatát.

Belső hálózati menedzselt keretrendszer

A Makay Kiberbiztonsági Kft. saját fejlesztésű HACKWELL sérülékenységvizsgáló keretrendszerével a szervezetek automatikus, a piaci szkennerreknél jóval részletesebb vizsgálatokkal tarthatják ellenőrzés alatt a belső hálózati infrastruktúra elemeit, amiknek állapotát szakértőink elemzik ki, majd állítják össze a szükséges intézkedési javaslatokat.

A sérülékenységvizsgálat és a penetrációs teszt lépései

Konzultáció és megbízás
(Pre-engagement Interactions)

Az ingyenes (személyes, e-mail, Signal, WhatsApp, Telegram) konzultáció során meghatározásra kerül a vizsgálat(ok) típusa, hatóköre, időintervalluma és ezek függvényében az ára.

A kiválasztott vizsgálat(ok) hatásköre, órapontosságú időintervalluma és ára rögzítésre kerül a megbízási szerződésben. Titoktartási és a fenyegetésmentességi nyilatkozattal garantáljuk az adatok és eredmények biztonságát, a Megbízó pedig a jogi nyilatkozattal hozzájárul a művelet elvégzéséhez.

Feltérképezés
(Intelligence Gathering, Information Gathering)

A Megbízó által meghatározott hatókörbe tartozó kiszolgálók és egyéb hálózati pontok funkcionalitása alapján megtervezzük a vizsgálati stratégiát.

Stratégiatervezés
(Threat Modeling)

A vizsgálat megkezdése előtt feltérképezzük a hatáskörbe tartozó kiszolgálókat és azok nyitott portjait, hogy ne terheljük feleslegesen a futtató infrastruktúrát és ne akadályozzuk a rendelkezésre állást.

Sérülékenységvizsgálat
(Vulnerability Analysis)

A szerződésben meghatározott módszerekkel, automatikus és manuális eszközök segítségével elvégezzük a vizsgálatot a kiválasztott kiszolgálókon.

Sérülékenységvalidálás
(Exploitation)

A Megbízó engedélyezheti a felfedezett sebezhetőségek hitelesítését (validálás szintű kihasználását), amivel átfogóbb képet kaphat azok valódi súlyosságáról.

Sérülékenységek kihasználása
(Post Exploitation)

A Megbízó engedélyezheti a felfedezett sebezhetőségek gyakorlati (ellenőrzött körülmények között történő) kihasználását, a kompromittált gép értékének meghatározása, a gép feletti ellenőrzés fenntartása, valamint későbbi felhasználás céljából.

Jelentés
(Reporting)

Minden részletre kiterjedő vezetői és szakértői jegyzőkönyvben (magyar és/vagy angol nyelven) magyarázzuk el a felfedezett sebezhetőségek típusát, kihasználhatóságát és pontos helyét, kiegészítve a vizsgálat során generált naplófájlokkal, igazolva a munkánk körülményeit.

Amennyiben olyan sérülékenységek is szerepelnek a vizsgálati jegyzőkönyvben, amiknek javítása további konzultációt igényel, közös egyeztetéssel egészítjük ki a Megbízó javítási tervét.

Remediációs vizsgálat
(Remediation Testing)

A felfedezett sebezhetőségek javítása után ellenőrizzük a javítások sikerességét.

Zárójelentés és konzultáció
(Final audit report, consultation)

A remediációs vizsgálat eredményeit részletesen ismertetjük a Megbízóval az alapjelentés formájában, további konzultáció igénye esetén pedig közösen dolgozzuk ki a további lépéseket.

Sérülékenységvizsgálati módszertanok és ajánlások

A Makay Kiberbiztonsági Kft. szakemberei által végzett vizsgálatok az alábbi módszertanoknak és ajánlásoknak megfelelően, vagy azokat alapul véve kerülhetnek megvalósításra:

Etikus hacker és egyéb kiberbiztonsági minősítéseink

A sérülékenységvizsgálat során felhasznált eszközök

Az általunk szolgáltatott sérülékenységvizsgálat és penetrációs teszt nem csupán valamelyik nagyobb szkenner (Nessus, Nexpose, Acunetix, Burp Suite Professional stb.) futtatásából áll. Vizsgálataink során a legfejlettebb feltérképező, analitikai, vizsgálati és támadó céleszközök, valamint saját fejlesztésű megoldások kerülnek felhasználásra – amiknek eredményei alapján felülvizsgált, laikusok számára is érthető, részletes jelentéseket állítunk össze.

A vizsgálat minden egyes lépését egy hálózati monitorozó naplózza, ezzel téve átláthatóvá tevékenységünk részleteit, bizonyítva a vizsgálat ideje alatt esetlegesen fellépő üzemzavarok tőlünk való függetlenségét.

Biztonsági minősítés, tanúsítvány szoftverekre, rendszerekre és szolgáltatásokra

Az elvégzett vizsgálatok által tett megállapítások ügyféloldali feldolgozását és szakértőink általi visszaellenőrzését követően a Makay Kiberbiztonsági Kft. digitális aláírással ellátott dokumentummal igazolja a zárási állapotot és az alkalmazott vizsgálati ajánlás vagy keretrendszernek való megfelelést, esetleg az attól való eltéréseket.

Sérülékenységvizsgálat szolgáltatás árajánlat

Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!

Rapid sérülékenységvizsgálat és penetrációs teszt webfejlesztők számára Home office távmunka biztonsági vizsgálata, ellenőrzése, auditálása Penetrációs teszt, behatolásteszt, sérülékenységek validálása Internetes kiszolgálók DDoS terheléstesztelése Kiberfenyegetési riasztások – Cyber Threat Intelligence Social engineering vizsgálat és biztonságtudatossági oktatás Sérülékenységvizsgáló szoftver vagy manuális vizsgálat és penetrációs teszt
Ne maradjon le a legújabb kiberbiztonsági hírekről, fejlesztésekről, kutatási eredményekről és fenyegetési riasztásokról!
KATTINTSON IDE és iratkozzon fel ingyenes hírlevelünkre, hogy a legfontosabb információk biztosan eljussanak Önhöz!
Árajánlat