Etikus hackelés

Infrastruktúrák, alkalmazások, hálózatok, szervezetek teljes körű technikai biztonsági vizsgálata kódelemzéstől a sérülékenység vizsgálaton át a social engineeringig.

Etikus hackelés során szakértőink valós támadók módszereit, technikáit elsajátítva vizsgálják a célpontot. Ez a leghatékonyabb módja annak, hogy ügyfelünk meggyőződhessen arról, milyen biztonsági réseket lehet feltárni a rendszereiben.

Minden egyes projekt egy-egy támadási megközelítést modellez, és tárja fel a releváns kockázatokat. Fontos, hogy ezek mind az ügyféllel előre egyeztetett szabályrendszer szerint zajlanak.

A vizsgálatoknak kiemelt célja részünkről, hogy általuk ügyfeleink rendszerei biztonságosabbá váljanak. Így fontosnak tartjuk kihangsúlyozni, hogy a feltárt hibák kijavításával tudnak ügyfeleink magasabb biztonsági szintre lépni.

Az informatika gyors változása miatt a biztonsági vizsgálatok nem a végtelenségig érvényesek. Újabb fenyegetettségek jelennek meg, a fejlesztés folyamatos, így javasoljuk az elvégzett tesztek periodikus megismétlését.

A projektjeink során a leggyakoribb vizsgálati területek:

  • Behatolás tesztelés
  • Alkalmazás vizsgálatok (web, vastag, mobil)
  • Hálózati tesztek
  • Vezeték nélküli hálózati tesztek
  • Eszköz vizsgálatok (sérülékenység / konfiguráció vizsgálat)
  • Forráskód vizsgálatok
  • Kliens oldali biztonsági tesztek
  • Social engineering vizsgálatok
  • PCI DSS, PSD2, GDPR kapcsán felmerülő sérülékenységvizsgálatok

A fenti vizsgálatokat az ügyfeleink kockázatelemzésének megfelelően olyan információ bázissal hajtjuk végre, hogy megfelelően tárja fel a vélt támadói kör lehetőségeit. Ennek megfelelően a leggyakoribb megközelítések:

  • Black-box vizsgálatok: csak minimális információ (pl. IP cím, cégnév, weboldal, stb.) áll a szakértők rendelkezésére
  • Gray-box vizsgálatok: az vizsgált rendszer elérésén túl még plusz információk állnak a szakértők rendelkezésére
  • White-box vizsgálatok: a lehető legszélesebb információ a szakértők rendelkezésére áll a vizsgálat rendszerről

Mit kapnak Önök, miért hasznos az etikus hackelési vizsgálat?

Minden vizsgálatunk végterméke egy szakvélemény, mely tartalmazza

  • az etikus hackelési csoport által végrehajtott vizsgálatok részleteit,
  • a tesztek típusait,
  • minden azonosított sérülékenységet, és
  • a megrendelő igényeitől függően a megfelelő ellenintézkedéseket.

Célunk, hogy ügyfeleink időben felismerjék azokat a sérülékenységeket, kockázatokat, melyek kihasználása potenciális fenyegetést jelent üzleti célkitűzéseik elérésére. Az információbiztonsági rendszerek és folyamatok kialakítása, fenntartása és ellenőrzése összetett feladat.

Annak érdekében, hogy ezeket illetően diszkrét, halk jelzést (Silent Signal) tudjunk adni Önöknek, keressenek minket bizalommal. Kérjenek tőlünk tájékoztatást szolgáltatásainkkal kapcsolatban, még az előtt, hogy túl késő lenne!

Oktatás

Megrendelő igényeire szabott IT biztonsági oktatások – legyen szó üzemeltetői, fejlesztői vagy általános felhasználóknak szóló oktatásról.

Az informatikai rendszerek sérülékenységi területei nem csak magukban a rendszerekben találhatók. Jelentős támadási felületet jelenthetnek a rendszereket használó munkatársak, rendszergazdák, fejlesztők.

Egy adott célcsoportra fókuszáló IT biztonsági oktatás hatékony eszköze lehet annak, hogy a korábban gyakran elkövetett biztonsági hibák megszűnjenek. A résztvevőknek bemutatásra kerül, hogy

  • a régi rossz gyakorlat milyen problémákhoz vezethet és
  • oktatásaink során megtanulhatják a jó gyakorlatokat.

Oktatásainkat

  • legyen az önálló oktatás vagy egy behatolástesztelés eredményére és tanulságaira épített tudásátadás,
  • szóljon az informatikai munkatársaknak vagy az átlag felhasználóknak,
  • minden esetben az Önök igényeihez, lehetőségeihez igazítjuk.

Tanácsadás

Segítünk kialakítani a biztonsági szempontból legjobb infrastrukturális megoldásokat, beállításokat szállítófüggetlen megközelítéssel.

Architektúrakialakítás-felülvizsgálat

A rendszerek kialakításának, valamint kapcsolatának felülvizsgálatával lényeges biztonsági hiányosságokra derülhet fény. Az ügyfeleink hálózati topológiájának részletes átvizsgálásával ellenőrizhető, megfelelően alkalmazzák-e a mélységi védelmet.

A behatolási teszt nem vizsgálja ezeket a problémákat, tehát rejtve maradhatnak a megbízó előtt. Azonban egy ilyen vizsgálat eredményeiből következtethetni lehet az ilyen típusú hiányosságokra is.

Hardening

Kritikus feladatokat ellátó szerverek, architektúrák esetében ajánlott biztonsági hardening beállításokat végrehajtani. A hardening során környezetfüggő konfigurációs módosításokat kell meghatározni. Ezek segítségével a rendszer biztonsági szintje növekszik, ezáltal csökken a sikeres kompromittálódás lehetősége. Nemzetközi ajánlások, valamint a legjobb gyakorlat és tapasztalatok segítségével hatásos védekezési módszer a hardening.