RELEVÁNS SZOLGÁLTATÁSOK:
Mi a különbség a penetrációs teszt és a sérülékenység vizsgálat között?
Az etikus hackerek, penetrációs tesztek és a sérülékenység vizsgálatok világa az átlag ember számára csupa misztikum. Cégvezetőként és CTO-ként viszont nem árt tiszta vizet önteni a pohárba. A penetrációs teszt és a sérülékenység vizsgálat mind nagyon hasznos a vállalkozás biztonságossá tételében, mégis más-más feladatok megoldására alkalmazzák őket.
A sérülékenység vizsgálat
A sérülékenység vizsgálat egy fejlesztés alatt álló vagy elkészült termék (honlap, alkalmazás, szoftver, hálózat) tesztelése. A teszt során az etikus hackerek olyan bug-okat (hibákat) keresnek, amivel egy rosszindulatú támadó vissza tud élni (XSS, RCE, LFI, SQLi). A vizsgálatnak nem célja az egyes hibák kiaknázása, csupán a bug valódiságát állapítják meg. A sérülékenység vizsgálat során a lehető legtöbb bugot igyekszik összegyűjteni a tesztelő, ezáltal biztonságosabbá téve a perifériát. Jellemzően vegyesen alkalmazunk automata és manuális módszereket.
Mikor érdemes alkalmazni?
Ha még nem teszteltek egy rendszert, akkor érdemes sérülékenység vizsgálattal kezdeni, valamint ha a vállalkozás kisebb büdzsével rendelkezik, akkor ez a teszt fajta nyújtja a legtöbb hozzáadott értéket.
Penetrációs teszt
A penetrációs teszt egy hacker támadás szimulációja. A tesztelés korai szakasza hasonló a sérülékenység vizsgálathoz, a tesztelő sérülékenységeket keres, ám a penetrációs tesztnek mindig van egy adott célja, például rendszer szintű jogosultságok szerzése, hozzáférés a céges mail szerverhez, vagy adatbázisokhoz. A hacker kiaknázza a talált sérülékenységet és behatol a rendszerbe, majd próbálja végrehajtani az adott feladatot. A penetrációs teszt összetett, idő- és költségigényes teszt, ám a pénzintézetek kötelezettek időnként penetrációs tesztet csináltatni.
Mikor érdemes alkalmazni?
A penetráció tesztet jellemzően olyan kellően biztosított rendszereken alkalmazzuk, ahol az ügyfél megbízik a biztonsági rendszerében és élőben szeretné azt próbára tenni. Mivel a penetrációs teszt költséges vizsgálat, ezért jellemzően a nagyvállalati ügyfelek veszik igénybe. Minden olyan esetben elengedhetetlen egy ilyen vizsgálat, ha pénzügyi tranzakciók, kényes adatok, (egészségügyi) vannak veszélynek kitéve.