Trust Shield Global
kapcsolat
EN

Sérülékenységvizsgálat végzése

Sérülékenységvizsgálat: sérülékenységmenedzsment eszköz vagy módszer, amely során informatikai rendszerek, hardverek és szoftverek biztonsági szempontból történő átvizsgálása zajlik, az ellenőrzést automatizált eszközökkel és közvetlen, szakértő által végzett vizsgálatokkal hajtják végre.

2024. évi LXIX. törvény 4§. 89.

Társaságunk szerepel az Alkotmányvédelmi Hivatal (AH) által vezetett, sérülékenységvizsgálatra jogosult szervezetek listáján. Az AH által végzett minősítés biztosítja, hogy a listán szereplő szervezetek megfelelő szakmai és biztonsági követelményeknek felelnek meg, így állami vagy kiemelt biztonságú rendszerek vizsgálatát is elvégezhetik. Ez garancia arra, hogy Társaságunk rendelkezik a szükséges engedélyekkel és szakértelemmel az ilyen jellegű biztonsági auditok elvégzésére. AH iktatószám: AH/93558-4/2024-2.

Sérülékenységvizsgálat és penetrációs tesztelés: az informatikai rendszerek védelmének alapja

white hat hackerAz informatikai rendszerek, eszközök, alkalmazások és hálózatok biztonsági megfelelőségének ellenőrzése elengedhetetlen a kiberfenyegetések hatékony kezeléséhez. A sérülékenységvizsgálatok és penetrációs tesztek célja, hogy feltárják az esetleges gyengeségeket, sebezhetőségeket, és lehetőséget biztosítsanak azok megszüntetésére még azelőtt, hogy egy rosszindulatú támadó kihasználhatná őket. Az ilyen vizsgálatok nemcsak az ismert sérülékenységeket azonosítják, hanem segítenek a rendszerek biztonsági architektúrájának megerősítésében, beleértve a konfigurációs hibák kiküszöbölését és a megfelelő hardening technikák alkalmazását.

Sérülékenységvizsgálati tevékenységünket a nemzetközileg elismert iparági szabványok és legjobb gyakorlatok alapján végezzük, hogy ügyfeleink a lehető legmegbízhatóbb és leghatékonyabb biztonsági értékelést kapják. Munkánkat az alábbi szabványok és előírások szerint végezzük:

  • NIST SP 800-115 – Az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézetének információbiztonsági tesztelési és értékelési útmutatója
  • OSSTMM 3 – A Nyílt Forráskódú Biztonsági Tesztelési Módszertan kézikönyve (ISECOM)
  • OWASP Testing Guide – A nyílt webalkalmazás-biztonsági projekt (OWASP) tesztelési útmutatója
  • PTES – A Penetration Testing Execution Standard (PTES) keretrendszere
  • Penetration Testing Framework – Az átfogó behatolási tesztelési módszertan
  • CIS Critical Security Controls – A Center for Internet Security (CIS) által meghatározott kritikus biztonsági kontrollok
  • ISA/IEC 62443-4-2 – Az ipari automatizálási és vezérlőrendszerek biztonsági követelményei
  • ISO/IEC 27001 – Információbiztonsági irányítási rendszer követelményei


A sérülékenységvizsgálat előkészítésének részeként meghatározzuk a vizsgálat célját, terjedelmét és módszertanát, figyelembe véve az ügyfél üzleti és biztonsági igényeit, valamint az irányadó előírásokat. A vizsgálati terjedelem (szkóp) egyértelműen kijelöli azokat a rendszereket, alkalmazásokat, hálózati elemeket és adatbázisokat, amelyekre a tesztelés kiterjed. Fontos, hogy a vizsgálat nem csupán egyetlen rendszerkomponenst, hanem az informatikai környezet egészét érintheti, biztosítva ezzel a teljes infrastruktúra biztonsági megfelelőségét.

A vizsgálat iránya a feltételezett támadási vektoroktól függően lehet külső vagy belső. Külső tesztelés esetén a szakértők az interneten vagy más külső hálózatokon keresztül próbálnak behatolni a rendszerbe, modellezve egy távoli támadó tevékenységét. Belső vizsgálat esetén a cél annak feltárása, hogy milyen veszélyeket jelenthetnek a vállalat belső hálózati szegmensei, vezetékes vagy vezeték nélküli hálózatai, illetve a munkaállomásokat érintő fenyegetések.

A megfelelően kiválasztott sérülékenységvizsgálati stratégia lehetővé teszi az ügyfelek számára, hogy megelőzzék a kibertámadásokat, csökkentsék a biztonsági kockázatokat és biztosítsák az informatikai rendszerek folyamatos védelmét. Cégünk szakértői segítenek az optimális vizsgálati módszertan meghatározásában és a teljes folyamat lebonyolításában, hogy ügyfeleink informatikai rendszerei mindig a legmagasabb szintű biztonsági követelményeknek feleljenek meg.

Sérülékenységvizsgálatok típusai

white hat hackerA vizsgálat lehet eseti vagy rendszeres, attól függően, hogy egy adott időpontban történik, vagy folyamatosan biztosítja a rendszer biztonsági megfelelőségét. A tesztelés módja szerint lehet átfogó vagy gyors, valamint eltérhet a vizsgált rendszerhez való hozzáférés mértéke alapján is. Ennek megfelelően három fő típust különböztetünk meg: black box, grey box és white box tesztelést.

A black box vizsgálat során szakértőink külső támadókhoz hasonló környezetben tesztelik a rendszert, minden előzetes ismeret és jogosultság nélkül. A vizsgálat előnye a gyorsaság, mivel kizárólag külső hálózatokból elérhető információkra és komponensekre támaszkodik. Az így kapott eredmények pontos képet adnak arról, hogy egy támadó milyen eszközöket és technikákat alkalmazhat a rendszer ellen. Ugyanakkor ez a módszer nem veszi figyelembe a belső támadók lehetséges tevékenységeit, például a privilegizált felhasználók, fejlesztők vagy rendszergazdák által végzett esetleges visszaéléseket. Emellett kevésbé alkalmas a laterális mozgásra épülő támadások felderítésére, amikor egy támadó egy már megszerzett hozzáférést kihasználva próbál további rendszerelemekhez eljutni.

A grey box vizsgálat esetén a megbízó részleges jogosultságot vagy előzetes információkat biztosít a tesztelést végző szakértők számára. Ez a módszer különösen hasznos olyan rendszerek vizsgálatára, ahol regisztrációval vagy korlátozott felhasználói hozzáféréssel már végrehajthatók bizonyos műveletek. A grey box megközelítés lehetővé teszi, hogy a szakértők hatékonyabban és célzottabban azonosítsák azokat a biztonsági réseket, amelyeket egy bejelentkezett felhasználó vagy egy belső támadó kihasználhat.

A white box vizsgálat során a megbízó teljes (privilegizált) hozzáférést biztosít a vizsgált rendszerhez, beleértve a konfigurációs beállításokat, forráskódot és egyéb érzékeny információkat. Ez a módszer lehetőséget ad arra, hogy a szakértők mélyrehatóan elemezzék a rendszer biztonsági architektúráját, azonosítsák a potenciális hibákat és sebezhetőségeket még azelőtt, hogy azok kihasználhatóvá válnának. Bizonyos esetekben a white box vizsgálat stressztesztet és túlterheléses tesztelést is magában foglalhat, amely során a szakértők azt elemzik, hogy a rendszer hogyan reagál nagy terhelésre vagy erőforrás-kimerülésre. Ennek a módszernek az egyik hátránya, hogy idő- és erőforrás-igényes, gyakran külön tesztrendszer alkalmazását igényli, amely bizonyos jellemzőiben eltérhet az éles környezettől.

A megfelelő vizsgálati módszer kiválasztása az ügyfél céljaitól, a rendszerek biztonsági szintjétől és a rendelkezésre álló erőforrásoktól függ. Egy jól megtervezett sérülékenységvizsgálat segít feltárni és kiküszöbölni a biztonsági kockázatokat, így hozzájárul az informatikai rendszerek megbízhatóságához és védelméhez.