Az AXEN a penetrációs tesztjei során a német Információs Technológiai és Biztonsági Hivatal (BSI) ajánlásait követi valamint az OWASP tesztelési metodológiát alkalmazza. A tesztet minden esetben egy neves szakmai certifikációkkal rendelkező (OSCP, CEH) kiberbiztonsági szakértő végzi.
MI A PENETRÁCIÓS TESZT?
A Penetrációs teszt egy biztonsági incidenst megelőző vizsgálat, melynek során egy etikus hacker biztonságos keretek között térképezi fel és dokumentálja a tesztelt rendszer sérülékenységeit. A részletes dokumentáció és tanácsadás segít a cég technikai személyzetének kijavítani a biztonsági réseket, ezzel növelve a vállalkozás felkészültségét
A Penetrációs teszt mára az offenzív biztonsági tesztek gyűjtőfogalma lett. Ahhoz, hogy a legoptimálisabb eredményt kapja, segítünk kiválasztani, hogy milyen jellegű teszt a legoptimálisabb önnek.
Részletekért tekintse meg PENTEST Portfóliónkat.
MI A PENETRÁCIÓS TESZT ELŐNYE?
Az offenzív tesztelés a leghatékonyabb módszer a biztonságosnak vélt rendszer/alkalmazás/eszköz a hackerek valós módszereivel történő vizsgálatának.
Egy adatszivárgás hatalmas kockázatot rejt egy vállalkozás számára, hiszen az anyagi veszteségen kívül a cég iránti bizalom is csökken, ami bizonyos szegmensek esetén akár csőd szélére is sodorhat.
A rendszeres penetrációs tesztelés segít radikálisan csökkenteni ennek a kockázatát.
Ha Ön úgy véli, hogy rendszere biztonságos, akkor teszteltesse az implementált biztonsági mechanizmusokat a gyakorlatban is
METODOLÓGIA
A Red Teaming során az AXEN Cyber a következő tesztelési fázisokat alkalmazza:
Információgyűjtés
A sikeres támadáshoz elengedhetetlen, hogy elegendő információ legyen a tesztelő birtokában. Ahhoz hogy előkészítse a támadást, feltérképezi a célrendszert és meghatározza a támadási vektort.
Szkennelés
Az összegyűjtött információk ismeretében a támadó megkezdi a szkennelést, melynek célja az alkalmazott technológiák és verziószámok gyűjtése. A szkennelés során a tesztelő bővebb információhoz jut a alkalmazásról/rendszerről/hálózatról, a használt szolgáltatásokról, beállítási hibákról. A tesztelő a verziószámok birtokában ismert sérülékenységeket keres, melyek segítségével támadásokat indíthat.
Exploitation
A korábbi munkafolyamatok során szerzett információk segítségével a tesztelő kidolgoz és végrehajt egy vagy több támadást, melynek során hozzáfér a célrendszerhez vagy hoszthoz.
Dokumentáció
Miután a tesztelő sikeres támadást hajtott végre, részletesen dokumentálja azt, hogy a fejlesztő csapat számára reprodukálható legyen. A magas szintű dokumentáció és javítási útmutató segít megoldani a problémát és megelőzni őket a továbbiakban.
Takarítás
A megbízás és a részletes dokumentáció végeztével a tesztelő eltávolít minden kódot, tool-t és egyéb támadás során használt eszközt, hogy azokat később ne lehessen felhasználni egy további támadás során.
Az AXEN a következő területeken végez tesztelést:
- Web alkalmazások
- Mobil alkalmazások
- Infrastruktúra
- Vezetéknélküli hálózatok
- Internet of Things (IoT) eszközök
A következő kockázatok csökkenthetők egy penetrációs teszt során:
- Operációs rendszerek hibái
- Patch menedzsment hiánya
- Web alkalmazások hibái
- Mobil alkalmazások hibái
- IoT eszközök hibái
- Nem biztonságos Wi-fi hálózatok
- Gyenge jelszavak
- Veszélyes felhasználói magatartás
- BSI Guide
- OWASP Guide
- OWASP Top 10
- SANS Top 25
A támadónak nincsenek előzetes ismeretei a rendszerről. Ez a módszer modellezi legjobban a valódi hackertámadásokat, ám nagy az idő és forrásigénye.
A támadó rendelkezik némi ismerettel a rendszerről, például IP címek és használt technológia, infrastruktúra, felhasználói jogosultásgok.
A támadó teljes ismerettel rendelkezik a rendszerről, valamint van hozzáférése az adminisztrátori felületekhez és a back-end komponensekhez. White box teszthez tartozik tipikusan a code review.
A PENETRÁCIÓS TESZT JELENTÉS
Részletes jelentésünk a következőket tartalmazza:
- A felmerült sérülékenység bemutatása
- A tesztelő értékelése a talált sérülékenységek kockázatairól
- Javaslat a talált sérülékenységek javítására
- Vélemény a vállalat javításainak pontosságáról
- Tanácsok a belső sérülékenység-vizsgálati folyamat javításához
A záró meeting során a tesztelő bemutatja a teszt eredményeit, és Ön további információkat kérhet vagy felteheti a kérdéseit.
KOCKÁZATÉRTÉKELÉS
A sérülékenységek kockázatának értékelésekor a penetrációs tesztelők gyakran használják a Common Vulnerability Scoring System-et, amely számszerűsíti a sebezhetőség súlyosságát.
Az kockázatértékelés megkönnyítése érdekében jelentéseink a KRITIKUS, MAGAS, KÖZEPES, ALACSONY vagy INFO kockázati besorolást használják a kockázati szint csökkenő sorrendjében. Az ügyfél kívánsága szerint pontozási rendszerek, például CVSS is használhatók.