Penetration testing és Ethical Hacking
Vulnerability Assessment-re (Sérülékenység vizsgálatra) vagy Penetration test-re (Behatolás tesztre) van szükségem?
A sérülékenység vizsgálat
Egyfajta leltározás, melynek során összegyűjtésre és alapszinten kiértékelésre kerülnek egy rendszer vagy infrastruktúra lehetséges sérülékenységi pontjai és azok veszélyességi szintjei. A sérülékenység vizsgálatra nagyon sok szoftver automatizált módon képes lehet, de az adott környezetben vizsgálva olykor kiderülhet, hogy bár van sérülékenysége egy rendszernek, de a tényleges kihasználása a való életben nem, vagy csak rendkívül nehezen működne az adott rendszer esetében.
Itt jön a képbe a penetration test.
A penetration test során az etikus hacker az ügyfél által előre meghatározott körülményekhez igazodva és a szabályait betartva megpróbálja kihasználni az esetleges sérülékenységeket. A feltárt sérülékenységek éles körülmények között tesztelésre kerülnek.
Azonban egy régi, elavult és frissítetlen rendszereket tartalmazó infrastruktúra penetration test-elése rendkívül időigényes és költséges folyamat lehet. Ezért érdemes meghúzni egy határt, hogy milyen típusú vagy súlyosságú sérülékenységek legyenek tesztelve, ha az előzetes sérülékenység vizsgálat során túl sok került felderítésére.
Egyes magas kockázatú, problémásabb rendszerek esetében (ahol fennáll a rendszerösszeomlás esélye) azonban lehet, hogy érdemes csak sérülékenység vizsgálatot kérni, aktív tesztelés (tehát penetration test) nélkül.
Természetesen választható a teljes körű penetration tesztelés is, melynek során lehetőség szerint minden sérülékenység tesztelésre kerülhet.
Egy hiteles penetration test-hez
szükséges kritériumok
Hatókőr meghatározás
A hatókört (scope-ot) feltétlenül meg kell adniuk, hogy pontosan mikre terjedhet ki a tesztelés és mik tartoznak a tiltott zónába.
Kockázatok kiemelése
Érdemes a kockázatos és/vagy instabilabb rendszereket is teszteltetni, de ez esetben fel kell készülni a legrosszabbra is.
Penetration test típusok
Az alábbiakban közöljük az eddigi tapasztalatainkra alapozó – sok cég által megadottól eltérő – meghatározásainkat, leendő ügyfeleink döntésének megkönnyítésének érdekében.
A Nemzeti Sebezhetőségi Adatbázis (NVD) alakulása 2022-re, az elmúlt 5 évet figyelembe véve:
kiugróan sok új sérülékenységgel bővült a lista:
egy év alatt
ez 2021-hez képest, amikor az új esetszám 20.196 volt
ez a növekedés
ebből 80% közepes vagy nagy súlyosságú volt
míg a kritikus
Forrás: skyboxsecurity.com
- White box
- Grey box
- Black box
Célja | Olyan támadási szimuláció, melynek során a támadó már rendelkezik valamilyen privilégiummal. |
Hozzáférés szintje | Teljes, nyílt hozzáférés az alkalmazásokhoz és a rendszerekhez is. |
Időigénye | Rendkívül időigényes is lehet, ha sok a tesztelendő szolgáltatás, de alapvetően megspórolható vele a külső felderítésre szánt idő. |
Költség besorolása | Sok rendszer vagy szolgáltatás esetén költséges. |
Előnye(i) | Mindenre kiterjedő lehet. |
Ajánlás | Új ügyfeleink számára. Legyen bármilyen kicsi, vagy nagy. Mi készen állunk. |
Célja | Első sorban a belső fenyegetettség felmérésére szolgál, vagy célirányosan egy-egy rendszer tesztelésére. |
Hozzáférés szintje | Néhány belső információ és hozzáférés. |
Időigénye | Kevésbé időigényes. |
Költség besorolása | Kevésbé költséges. |
Előnye(i) | Hatékonyabb, mint a Black box, több sérülékenységet tárhat fel bent. |
Ajánlás | Már meglévő, visszatérő ügyfeleknek. |
Célja | Igazi, külsős hacker támadás szimulálása, ahol a támadó kintről próbál betörni. |
Hozzáférés szintje | Nincs hozzáférés és belső információ. |
Időigénye | Rendkívül időigényes a külső felderítések miatt. |
Költség besorolása | Költséges. |
Előnye(i) | Általános összeképet kaphatunk a külső támadási felületről. |
Ajánlás | Nagy cégeknek, akiknek nem számít a pénz és az idő, de mindent is tudni akarnak magukról kívülről nézve. |
Data Exfiltration felderítése
Utána nézhetünk, hogy találunk -e bármilyen kiszivárgott adatot, jelszót, stb Önöktől, Önökről. A felderítés ideális esetben nem produkál érdemi eredményt. Ha igen, akkor baj van és igyekszünk megtenni minden tőlünk telhetőt az Önök támogatására, a megfelelő reakciók megtételének érdekében.
Védelem tesztelése
Írásbeli kérésére, az ügyfél teljes felelősség vállalása mellett készek vagyunk tesztelni a védelmi rendszereit. Legyen szó akár a felhasználókat vagy jelszavaikat érintő tesztelésekről, akár a levelezésük védelméről. Például Csoportos házirendek tesztelése, hiányosságok felderítése.
Támadások nyomainak keresése, visszakövetése
Ha már történt Önök ellen valós támadás, és/vagy feltételezhetően folyamatban van egy, segítünk felderíteni – a lehetőségekhez mérten – és nyomokat találni. Ezen adatok és nyomok segítségével később fordulhatnak a hatóságokhoz is.
assessment
Ha csak sérülékenység vizsgálatra van szükség
A sérülékenységek vizsgálata alapvetően automatizált szkenneléseket jelent, melynek során az etikus hacker különböző szoftverek és tool-ok segítségével megvizsgálja az elérhető szolgáltatásokat és a rendszereket, majd pedig jelentést készít az esetlegesen feltárt sérülékenységekről, a hozzájuk tartozó referenciákkal együtt és lehetőség szerint ajánlásokat fogalmaz meg a probléma kezelésére.
Miben vagyunk mások, mint a többi szolgáltató?
Rugalmasság és megfizethetőbb árak
Rengeteg előnyünk van, melyek sajnos üzleti titok részét képezik, de azért annyit elárulhatunk így publikus felületen keresztül, hogy bátran fordulhatnak hozzánk olyan cégek/szervezetek is, amelyek a hagyományos web app és on-prem infrastruktúrán kívül másabb szolgáltatásaikat, platformjaikat vagy eszközeiket is szeretnék pentest alá vetni.
Komplex üzemeltetés
A penetration test mellett, szakképzett kollégáink informatikai rendszerüzemeltetéseket is ellátnak, melyben törekszünk a mindenkor ipari standard-ek és best practicek alapján végezni. Ezen kívül további szolgáltatásaink keretén belül védelmet és monitorozást is nyújtunk, legyen szó akár irodai infrastruktúra felügyeletéről, akár felhőséről.
Mivel nem foglalkozunk?
Jelszavak és WiFi feltörésével
alapvetően nem szeretünk foglalkozni. Idő és erőforrás igényes, nem éppen költséghatékony dolog. 1-1 jelszó törési kísérlete beleférhet , de alapvető esetekben a szolgáltatás keretében célhardver bérlése történik, melynek teljes bérlési költsége az ügyfélre lenne terhelve.
On-site security
teszteléssel. Nem lopakodunk be az épületbe mások háta mögött vagy „elhagyott” kártyájával, identitásával.
Social engineering
A Társadalom mérnökséggel, nem verjük át ügyfeleinket és alkalmazottaikat, illetve nem tévesztünk meg szánt szándékkal senkit sem (kivételt képez ez alól a megbízó által írásban megrendelt phising email-ekkel történő adathalászati kísérlet).
// Írjon nekünk röviden! Hamarosan keressük és megválaszoljuk kérdéseit.