Sérülékenységvizsgálat és penetrációs teszt szolgáltatás
OWASP, MITRE ATT&CK és PTES – Sérülékenység teszt hálózaton, szerveren, szoftveren, operációs rendszeren, forráskódon és mobilappon – NIST, NIS2, ISO 27001 és TISAX
Mit kínálunk Önöknek?
Sérülékenységvizsgálat és penetrációs teszt szolgáltatásunkkal beazonosítjuk és kijavítjuk rendszerei, szolgáltatásai és szoftverei azon sebezhetőségeit, amikkel a kiberbűnözők olyan károkat okoznak, amiknek jellegét és mértékét jelenleg el sem tudják képzelni.
Mit tartalmaz a szolgáltatás?
Mindenre kiterjedő, nemzetközi módszertan alapján elvégzett vizsgálatot, részletes kifejtéssel és javítási javaslatokkal ellátott vizsgálati jelentést, segítségnyújtást a javításokban, visszaellenőrzést és kapcsolódó tanácsadásokat – nemcsak most, de a jövőben is.
Miért válasszon minket?
Fontosnak tartjuk, hogy az általunk elvégzett vizsgálat, tanácsadás és segítségnyújtás a lehető legnagyobb hasznot jelentse ügyfeleink számára. Ennek megfelelően Önök partnerünkként profitálnak a területen szerzett sok éves tapasztalatunkból.
15+ év és több száz projekt tapasztalatával
Mi az a sérülékenységvizsgálat és penetrációs teszt?
A sérülékenységvizsgálat célja, hogy a szervezetek által üzemeltetett és általuk meghatározott rendszerek sebezhetőségei beazonosításra és javításra kerüljenek, ezzel csökkentve egy célzott vagy algoritmusok által tömegesen végrehajtott hackertámadás sikeres bekövetkezésének valószínűségét.
| Módszer | Sérülékenységvizsgálat | Penetrációs teszt |
|---|---|---|
| Sérülékenységek… | azonosítása | azonosítása + hatásvizsgálata |
| Kiindulás | külső / belső hálózati | külső / belső hálózati |
| Mélység | black‑ / gray‑ / white‑box | black‑ / gray‑ / white‑box |
A sérülékenységvizsgálat és a penetrációs teszt közötti lényegi különbség, hogy míg előbbi a sérülékenységek beazonosításánál megáll, addig az utóbbi már a felfedezett sérülékenységek gyakorlati próbáját, validálását is tartalmazza, aminek eredményei alapján meghatározható a sérülékenységekkel okozható károk típusa és kiterjedése. A penetrációs teszt szigorúan a Megbízó felügyeletével történik.
A sérülékenységvizsgálat általános típusai
Black-box sérülékenységvizsgálat
A black-box vizsgálat lényege, hogy nem használunk fel semmilyen belsős üzemeltetői és fejlesztői információt (platform, framework, stb.), kizárólag azokkal a lehetőségekkel élünk, amik egy külsős, távoli támadó rendelkezésére állnak: publikusan elérhető felületek, regisztrációs lehetőségek és űrlapok, kint felejtett tesztoldalak, keresőrobotok által indexelt (belsősnek szánt) információk.
Gray-box sérülékenységvizsgálat
A gray-box vizsgálat esetében már ügyfél és admin (kliens, regisztrált felhasználó, adminisztrátor stb.) oldali információkat, technikai részleteket, valamint dokumentációkat is felhasználunk, tehát a vizsgálat tárgyát képző rendszer kapcsolódási pontjaihoz, felületeihez teljes mértékben hozzáférünk – figyelembe véve a megbízó korlátozásait és kritériumait.
White-box sérülékenységvizsgálat
A white-box vizsgálat során már nemcsak ügyfél (kliens, regisztrált felhasználó, stb.) oldali információkat használunk fel, hanem a Megbízó részletes rendszerleírását is, ide értve a futtató infrastruktúrát, felhasznált keretrendszereket, a forráskódokat és a konfigurációs fájlokat is. Ezen ismeretekkel a szakembereink egy belsős kompromittálási kísérletet is megelőzhetnek, megakadályozhatnak.
Static Application Security Testing (SAST)
A szoftver forráskódjának vagy binárisának biztonsági vizsgálata annak aktív futtatása nélkül. Ebben a vizsgálati stratégiában kizárólag azok a sérülékenységek kerülnek beazonosításra, amik a forráskódból, vagy a bináris fájlból kiderül.
Dynamic Application Security Testing (DAST)
Ebben a vizsgálati stratégiában azok a sérülékenységek kerülnek beazonosításra, amik az aktív működésből, használatból derülhetnek ki. A mélyebb rétegeket, esetleg forráskód szintű sebezhetőségek beazonosítására nem mindig megfelelő.
Interactive Application Security Testing (IAST)
Ötvözi a statikus és a dinamikus vizsgálatok jellemzőit. Egy kifinomult, célzott támadásnál a felkészült támadók is ennek a stratégiának megfelelően felépített taktikával derítik ki a szoftverek, rendszerek és szolgáltatások támadható sebezhetőségeit.
Mobilapp sérülékenységvizsgálat
- Áruházi APK és IPA csomagok vizsgálata
- Obfuszkáció, root detection és certification pinning nélküli APK és IPA csomagok vizsgálata
- A mobilapp forráskódjának vizsgálata
- OWASP Mobile Application Security Testing Guide (MASTG) módszertannal
- OWASP Mobile Application Security Verification Standard (MASVS) követelményrendszernek való megfelelés ellenőrzése
- Kotlin, Swift, Flutter, Xamarin, React stb. nyelvek támogatásával
- Backend API-k sérülékenységvizsgálata és penetrációs tesztje
Operációs rendszer szintű biztonsági audit, hardening-ellenőrzés Windowson és Linuxon
- CIS Benchmark és MITRE ATT&CK alapján
- Automatizált CIS hardening parancsok segítségével
- Rendszerszintű sérülékenységvizsgálat, operációs rendszer audit
- Védelmi megoldások működésének ellenőrzése
- Fiókjogosultságok ellenőrzése
- Hálózati kapcsolatok ellenőrzése
- Titkosítási megoldások (Bitlocker, LVM, LUKS) ellenőrzése
- Frissítések ellenőrzése
- Telepített szoftverek ellenőrzése, szoftvernyilvántartással való összevetése
- Üzemeltetési hiányosságok beazonosítása
Egyéb sérülékenységvizsgálati szolgáltatásaink
- Egyszerűsített (WordPress, Joomla, Drupal, PrestaShop stb.) sérülékenységvizsgálat
- Red Teaming, Threat-Led Penetration Testing (TLPT) szolgáltatás
- Cloud, felhő (AWS, Azure) sérülékenységvizsgálat és penetrációs teszt
- Firmware sérülékenységvizsgálat
- Feltört weboldal vagy rendszer hátsó bejáratainak (backdoor) azonosítása
- Automatikus sérülékenységvizsgálati jelentés felülvizsgálata
- Forráskódvizsgálat, source code review
- Kiszervezett sérülékenység-menedzsment szolgáltatás
Ingyenes sérülékenységvizsgálat, penetrációs teszt
Ingyenes HACKR sérülékenységkeresőnket azoknak a cégeknek ajánljuk, akik kételkednek a sérülékenységvizsgálat szükségességében. A célunk az, hogy a szervezetek olyan szemmel láthassák kiszolgálóikat, ahogyan azokat a kiberbűnözők és az automatikus támadótechnológiák is látják.
Magas és kritikus kockázatú sérülékenységek az elmúlt 1 hónapból
A leggyakoribb sérülékenységtípusok
Bár az általunk felfedezett sérülékenységek rendkívül széles típuspalettába sorolhatóak (pl. Common Weakness Enumeration (CWE), OWASP Top 10), meghatároztunk három fő csoportot, amiknek tagjai szinte minden vizsgálat során jelentésre kerülnek.
Konfigurációs hiányosságok
A kiszolgálók üzemeltetése során olyan konfigurációs beállítások kerülhetnek alkalmazásra, amik csökkentik a rendszer és az általa kezelt adatok biztonságát.
Egyedi fejlesztések hibái
Az egyedi fejlesztésű vagy biztonsági tanúsítvánnyal nem rendelkező szoftverekben olyan sérülékenységek lehetnek, amik kockáztatják a rendszer és az általa kezelt adatok biztonságát.
Gyártói sérülékenységek
A szoftverekben rendszeres időközönként találnak magas és kritikus kockázatú sérülékenységeket, amiknek javítása és frissítéssel való megszüntetése a frissítési ciklusok miatt időben elhúzódhat.
Miért fontos a rendszeres ellenőrzés?
- A támadásoknak való megnövekedett kitettség: A támadók már automatikus eszközökkel, online adatbázisok alapján, válogatás nélkül támadnak meg mindenkit.
- A törvényeknek való megfelelés (GDPR, 8/2020. (VI.22.) MNB ajánlás stb.): A Szervezetek számára nemcsak a reputáció miatt fontos az adatok védelme.
- Elavuló, sérülékennyé váló szoftverek: A szoftverek akkor is sérülékennyé válhatnak, ha nem nyúltak hozzájuk.
- Általános változások: A fejlesztési, konfigurációs és strukturális változtatások, de még a javítások is hozhatnak új sebezhetőségeket.
A kiberbiztonsági szakértők területtől függetlenül általában legalább éves rendszerességű, de biztonság szempontjából kritikusabb, szenzitív adatokat nagyobb mennyiségben kezelő, infrastrukturálisan vagy szoftveresen gyakrabban változó környezetben, még ennyél is gyakoribb vizsgálatot javasolnak.
Sérülékenységvizsgálat és penetrációs teszt lépései, folyamata
- Konzultáció és megbízás (Pre-engagement Interactions): Az ingyenes konzultáció során meghatározásra kerül a vizsgálat(ok) típusa, mélysége, hatóköre, időintervalluma (összes paraméter) és ezek függvényében az ára.
- Feltérképezés (Intelligence Gathering, Information Gathering): A Megbízó által meghatározott hatókörbe tartozó kiszolgálók és egyéb hálózati pontok funkcionalitása alapján megtervezzük a vizsgálati stratégiát.
- Stratégiatervezés (Threat Modeling): A vizsgálat megkezdése előtt feltérképezzük a hatáskörbe tartozó kiszolgálókat és azok nyitott portjait, hogy ne terheljük feleslegesen a futtató infrastruktúrát és ne akadályozzuk a rendelkezésre állást.
- Sérülékenységvizsgálat (Vulnerability Assessment): A szerződésben meghatározott módszerekkel, automatikus és manuális eszközök segítségével elvégezzük a vizsgálatot a kiválasztott kiszolgálókon.
- Sérülékenységvalidálás (Exploitation): A Megbízó engedélyezheti a felfedezett sebezhetőségek hitelesítését (validálás szintű kihasználását), amivel átfogóbb képet kaphat azok valódi súlyosságáról.
- Penetrációs teszt (Penetration Testing): A szerződésben meghatározott módszerekkel, automatikus és manuális eszközök segítségével elvégezzük a sérülékenységvizsgálat során beazonosított potenciális sérülékenységek gyakorlati hatásvizsgálatát és ennek megfelelő súlyozását.
- Jelentés (Reporting): Minden részletre kiterjedő vezetői és szakértői jegyzőkönyvben (magyar és/vagy angol nyelven) magyarázzuk el a felfedezett sebezhetőségek típusát (CVE, OWASP), kihasználhatóságát (CVSS, EPSS), pontos helyét és javításának módját, kiegészítve a vizsgálat során generált naplófájlokkal, igazolva a munkánk körülményeit.
- Konzultáció: Amennyiben olyan sérülékenységek is szerepelnek a vizsgálati jegyzőkönyvben, amiknek javítása további konzultációt igényel, közös egyeztetéssel egészítjük ki a Megbízó javítási tervét.
- Remediációs vizsgálat (Remediation Testing): A felfedezett sebezhetőségek javítása után ellenőrizzük a javítások sikerességét.
- Zárójelentés és konzultáció (Final audit report, consultation): A remediációs vizsgálat eredményeit részletesen ismertetjük a Megbízóval az alapjelentés formájában, további konzultáció igénye esetén pedig közösen dolgozzuk ki a további lépéseket.
Sérülékenységvizsgálati módszertanok és ajánlások
A Makay Kiberbiztonsági Kft. szakemberei által végzett vizsgálatok az alábbi módszertanoknak, ajánlásoknak és követelményrendszereknek megfelelően, vagy azokat alapul véve kerülhetnek megvalósításra:
- Web Security Testing Guide – OWASP WSTG
- Mobile Application Security Testing Guide – OWASP MASTG (korábban MSTG)
- Application Security Verification Standard – OWASP ASVS
- Mobile Application Security Verification Standard – OWASP MASVS
- Technical Guide to Information Security Testing and Assessment – NIST SP 800-11
- MITRE ATT&CK knowledge base
- The Penetration Testing Execution Standard – PTES
- CIS Benchmarks – CIS
- Open Source Security Testing Methodology Manual – OSSTMM
- Information Systems Security Assessment Framework – ISSAF
- B.A.S.E – A Security Assessment Methodology – SANS
- Penetration Testing Guidance – PCI DSS
- The Vulnerability Assessment & Mitigation Methodology – RAND
- Penetration Test Guidance – FedRAMP
- MSZ ISO/IEC 15408 – Magyar Szabványügyi Testület
- TISAX (Trusted Information Security Assessment Exchange) – VDA Information Security Assessment
Sérülékenységvizsgálat szolgáltatás árajánlat
Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!