Menü Bezárás

PENETRÁCIÓS TESZT

Az AXEN a penetrációs tesztjei során a német Információs Technológiai és Biztonsági Hivatal (BSI) ajánlásait követi valamint az OWASP tesztelési metodológiát alkalmazza. A tesztet minden esetben egy neves szakmai certifikációkkal rendelkező (OSCP, CEH) kiberbiztonsági szakértő végzi.

MI A PENETRÁCIÓS TESZT?

A Penetrációs teszt egy biztonsági incidenst megelőző vizsgálat, melynek során egy etikus hacker biztonságos keretek között térképezi fel és dokumentálja a tesztelt rendszer sérülékenységeit. A részletes dokumentáció és tanácsadás segít a cég technikai személyzetének kijavítani a biztonsági réseket, ezzel növelve a vállalkozás felkészültségét

A Penetrációs teszt mára az offenzív biztonsági tesztek gyűjtőfogalma lett. Ahhoz, hogy a legoptimálisabb eredményt kapja, segítünk kiválasztani, hogy milyen jellegű teszt a legoptimálisabb önnek.

Részletekért tekintse meg PENTEST Portfóliónkat.

 

MI A  PENETRÁCIÓS TESZT ELŐNYE?

Az offenzív tesztelés a leghatékonyabb módszer a biztonságosnak vélt rendszer/alkalmazás/eszköz a hackerek valós módszereivel történő vizsgálatának.

Egy adatszivárgás hatalmas kockázatot rejt egy vállalkozás számára, hiszen az anyagi veszteségen kívül a cég iránti bizalom is csökken, ami bizonyos szegmensek esetén akár csőd szélére is sodorhat.

A rendszeres penetrációs tesztelés segít radikálisan csökkenteni ennek a kockázatát.

Ha Ön úgy véli, hogy rendszere biztonságos, akkor teszteltesse az implementált biztonsági mechanizmusokat a gyakorlatban is

 

KÉRJEN AJÁNLATOT
MEGBESZÉLÉS ÜTEMEZÉSE

METODOLÓGIA

A Red Teaming során az AXEN Cyber a következő tesztelési fázisokat alkalmazza:

Információgyűjtés
A sikeres támadáshoz elengedhetetlen, hogy elegendő információ legyen a tesztelő birtokában. Ahhoz hogy előkészítse a támadást, feltérképezi a célrendszert és meghatározza a támadási vektort.

Szkennelés
Az összegyűjtött információk ismeretében a támadó megkezdi a szkennelést, melynek célja az alkalmazott technológiák és verziószámok gyűjtése. A szkennelés során a tesztelő bővebb információhoz jut a alkalmazásról/rendszerről/hálózatról, a használt szolgáltatásokról, beállítási hibákról. A tesztelő a verziószámok birtokában ismert sérülékenységeket keres, melyek segítségével támadásokat indíthat.

Exploitation
A korábbi munkafolyamatok során szerzett információk segítségével a tesztelő kidolgoz és végrehajt egy vagy több támadást, melynek során hozzáfér a célrendszerhez vagy hoszthoz.

Dokumentáció
Miután a tesztelő sikeres támadást hajtott végre, részletesen dokumentálja azt, hogy a fejlesztő csapat számára reprodukálható legyen. A magas szintű dokumentáció és javítási útmutató segít megoldani a problémát és megelőzni őket a továbbiakban.

Takarítás
A megbízás és a részletes dokumentáció végeztével a tesztelő eltávolít minden kódot, tool-t és egyéb támadás során használt eszközt, hogy azokat később ne lehessen felhasználni egy további támadás során.

Az AXEN a következő területeken végez tesztelést:

  • Web alkalmazások
  • Mobil alkalmazások
  • Infrastruktúra
  • Vezetéknélküli hálózatok
  • Internet of Things (IoT) eszközök

A következő kockázatok csökkenthetők egy penetrációs teszt során:

  • Operációs rendszerek hibái
  • Patch menedzsment hiánya
  • Web alkalmazások hibái
  • Mobil alkalmazások hibái
  • IoT eszközök hibái
  • Nem biztonságos Wi-fi hálózatok
  • Gyenge jelszavak
  • Veszélyes felhasználói magatartás
  • BSI Guide
  • OWASP Guide
  • OWASP Top 10
  • SANS Top 25

 

A támadónak nincsenek előzetes ismeretei a rendszerről. Ez a módszer modellezi legjobban a valódi hackertámadásokat, ám nagy az idő és forrásigénye.

A támadó rendelkezik némi ismerettel a rendszerről, például IP címek és használt technológia, infrastruktúra, felhasználói jogosultásgok.

A támadó teljes ismerettel rendelkezik a rendszerről, valamint van hozzáférése az adminisztrátori felületekhez és a back-end komponensekhez. White box teszthez tartozik tipikusan a code review. 

A PENETRÁCIÓS TESZT JELENTÉS

Részletes jelentésünk a következőket tartalmazza:

  • A felmerült sérülékenység bemutatása
  • A tesztelő értékelése a talált sérülékenységek kockázatairól
  • Javaslat a talált sérülékenységek javítására
  • Vélemény a vállalat javításainak pontosságáról
  • Tanácsok a belső sérülékenység-vizsgálati folyamat javításához

A záró meeting során a tesztelő bemutatja a teszt eredményeit, és Ön további információkat kérhet vagy felteheti a kérdéseit.

KOCKÁZATÉRTÉKELÉS

A sérülékenységek kockázatának értékelésekor a penetrációs tesztelők gyakran használják a Common Vulnerability Scoring System-et, amely számszerűsíti a sebezhetőség súlyosságát.

Az kockázatértékelés megkönnyítése érdekében jelentéseink a KRITIKUS, MAGAS, KÖZEPES, ALACSONY vagy INFO kockázati besorolást használják a kockázati szint csökkenő sorrendjében. Az ügyfél kívánsága szerint pontozási rendszerek, például CVSS is használhatók.

KÉRJEN AJÁNLATOT