Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Kapcsolat

2310 Szigetszentmiklós, Jázmin u. 4/b.

info [kukac] focussolutions.hu

+1 -800-456-478-23

// sebezhetőségek feltárása

Penetration testing és Ethical Hacking

// mérnökök vagyunk

Vulnerability Assessment-re (Sérülékenység vizsgálatra) vagy Penetration test-re (Behatolás tesztre) van szükségem?

A sérülékenység vizsgálat

Egyfajta leltározás, melynek során összegyűjtésre és alapszinten kiértékelésre kerülnek egy rendszer vagy infrastruktúra lehetséges sérülékenységi pontjai és azok veszélyességi szintjei. A sérülékenység vizsgálatra nagyon sok szoftver automatizált módon képes lehet, de az adott környezetben vizsgálva olykor kiderülhet, hogy bár van sérülékenysége egy rendszernek, de a tényleges kihasználása a való életben nem, vagy csak rendkívül nehezen működne az adott rendszer esetében.

Itt jön a képbe a penetration test.

A penetration test során az etikus hacker az ügyfél által előre meghatározott körülményekhez igazodva és a szabályait betartva megpróbálja kihasználni az esetleges sérülékenységeket. A feltárt sérülékenységek éles körülmények között tesztelésre kerülnek.

Azonban egy régi, elavult és frissítetlen rendszereket tartalmazó infrastruktúra penetration test-elése rendkívül időigényes és költséges folyamat lehet. Ezért érdemes meghúzni egy határt, hogy milyen típusú vagy súlyosságú sérülékenységek legyenek tesztelve, ha az előzetes sérülékenység vizsgálat során túl sok került felderítésére.

Egyes magas kockázatú, problémásabb rendszerek esetében (ahol fennáll a rendszerösszeomlás esélye) azonban lehet, hogy érdemes csak sérülékenység vizsgálatot kérni, aktív tesztelés (tehát penetration test) nélkül.
Természetesen választható a teljes körű penetration tesztelés is, melynek során lehetőség szerint minden sérülékenység tesztelésre kerülhet.

Egy hiteles penetration test-hez
szükséges kritériumok

01
Hatókőr meghatározás

A hatókört (scope-ot) feltétlenül meg kell adniuk, hogy pontosan mikre terjedhet ki a tesztelés és mik tartoznak a tiltott zónába.

02
Kockázatok kiemelése

Érdemes a kockázatos és/vagy instabilabb rendszereket is teszteltetni, de ez esetben fel kell készülni a legrosszabbra is.

// szolgáltatásaink

Penetration test típusok

Az alábbiakban közöljük az eddigi tapasztalatainkra alapozó – sok cég által megadottól eltérő – meghatározásainkat, leendő ügyfeleink döntésének megkönnyítésének érdekében.

A Nemzeti Sebezhetőségi Adatbázis (NVD) alakulása 2022-re, az elmúlt 5 évet figyelembe véve:

kiugróan sok új sérülékenységgel bővült a lista:

egy év alatt
+

ez 2021-hez képest, amikor az új esetszám 20.196 volt

ez a növekedés
%

ebből 80% közepes vagy nagy súlyosságú volt

míg a kritikus
%

Forrás:  skyboxsecurity.com

CéljaOlyan támadási szimuláció, melynek során a támadó már rendelkezik valamilyen privilégiummal.
Hozzáférés szintjeTeljes, nyílt hozzáférés az alkalmazásokhoz és a rendszerekhez is.
IdőigényeRendkívül időigényes is lehet, ha sok a tesztelendő szolgáltatás, de alapvetően megspórolható vele a külső felderítésre szánt idő.
Költség besorolásaSok rendszer vagy szolgáltatás esetén költséges.
Előnye(i)Mindenre kiterjedő lehet. 
AjánlásÚj ügyfeleink számára. Legyen bármilyen kicsi, vagy nagy. Mi készen állunk.
CéljaElső sorban a belső fenyegetettség felmérésére szolgál, vagy célirányosan egy-egy rendszer tesztelésére.
Hozzáférés szintjeNéhány belső információ és hozzáférés.
IdőigényeKevésbé időigényes.
Költség besorolásaKevésbé költséges.
Előnye(i)Hatékonyabb, mint a Black box, több sérülékenységet tárhat fel bent.
AjánlásMár meglévő, visszatérő ügyfeleknek.
CéljaIgazi, külsős hacker támadás szimulálása, ahol a támadó kintről próbál betörni.
Hozzáférés szintjeNincs hozzáférés és belső információ.
IdőigényeRendkívül időigényes a külső felderítések miatt.
Költség besorolásaKöltséges.
Előnye(i)Általános összeképet kaphatunk a külső támadási felületről.
AjánlásNagy cégeknek, akiknek nem számít a pénz és az idő, de mindent is tudni akarnak magukról kívülről nézve. 
Data Exfiltration felderítése

Utána nézhetünk, hogy találunk -e bármilyen kiszivárgott adatot, jelszót, stb Önöktől, Önökről. A felderítés ideális esetben nem produkál érdemi eredményt. Ha igen, akkor baj van és igyekszünk megtenni minden tőlünk telhetőt az Önök támogatására, a megfelelő reakciók megtételének érdekében.

Védelem tesztelése

Írásbeli kérésére, az ügyfél teljes felelősség vállalása mellett készek vagyunk tesztelni a védelmi rendszereit. Legyen szó akár a felhasználókat vagy jelszavaikat érintő tesztelésekről, akár a levelezésük védelméről. Például Csoportos házirendek tesztelése, hiányosságok felderítése.

Támadások nyomainak keresése, visszakövetése

Ha már történt Önök ellen valós támadás, és/vagy feltételezhetően folyamatban van egy, segítünk felderíteni – a lehetőségekhez mérten – és nyomokat találni. Ezen adatok és nyomok segítségével később fordulhatnak a hatóságokhoz is.

// vulnerability
assessment

Ha csak sérülékenység vizsgálatra van szükség

A sérülékenységek vizsgálata alapvetően automatizált szkenneléseket jelent, melynek során az etikus hacker különböző szoftverek és tool-ok segítségével megvizsgálja az elérhető szolgáltatásokat és a rendszereket, majd pedig jelentést készít az esetlegesen feltárt sérülékenységekről, a hozzájuk tartozó referenciákkal együtt és lehetőség szerint ajánlásokat fogalmaz meg a probléma kezelésére.

// kiemelkedő

Miben vagyunk mások, mint a többi szolgáltató?

Rugalmasság és megfizethetőbb árak

Rengeteg előnyünk van, melyek sajnos üzleti titok részét képezik, de azért annyit elárulhatunk így publikus felületen keresztül, hogy bátran fordulhatnak hozzánk olyan cégek/szervezetek is, amelyek a hagyományos web app és on-prem infrastruktúrán kívül másabb szolgáltatásaikat, platformjaikat vagy eszközeiket is szeretnék pentest alá vetni.

Komplex üzemeltetés

A penetration test mellett, szakképzett kollégáink informatikai rendszerüzemeltetéseket is ellátnak, melyben törekszünk a mindenkor ipari standard-ek és best practicek alapján végezni. Ezen kívül további szolgáltatásaink keretén belül védelmet és monitorozást is nyújtunk, legyen szó akár irodai infrastruktúra felügyeletéről, akár felhőséről.

// Etikus vizsgálatainkon belül

Mivel nem foglalkozunk?

Jelszavak és WiFi feltörésével
Jelszavak és WiFi feltörésével

alapvetően nem szeretünk foglalkozni. Idő és erőforrás igényes, nem éppen költséghatékony dolog. 1-1 jelszó törési kísérlete beleférhet , de alapvető esetekben a szolgáltatás keretében célhardver bérlése történik, melynek teljes bérlési költsége az ügyfélre lenne terhelve.

On-site security
On-site security

teszteléssel. Nem lopakodunk be az épületbe mások háta mögött vagy „elhagyott” kártyájával, identitásával.

Social engineering
Social engineering

A Társadalom mérnökséggel, nem verjük át ügyfeleinket és alkalmazottaikat, illetve nem tévesztünk meg szánt szándékkal senkit sem (kivételt képez ez alól a megbízó által írásban megrendelt phising email-ekkel történő adathalászati kísérlet).

// Írjon nekünk röviden! Hamarosan keressük és megválaszoljuk kérdéseit.

Konzultációra van szüksége?