Etikus hackelés során szakértőink valós támadók módszereit, technikáit elsajátítva vizsgálják a célpontot. Ez a leghatékonyabb módja annak, hogy ügyfelünk meggyőződhessen arról, milyen biztonsági réseket lehet feltárni a rendszereiben.
Minden egyes projekt egy-egy támadási megközelítést modellez, és tárja fel a releváns kockázatokat. Fontos, hogy ezek mind az ügyféllel előre egyeztetett szabályrendszer szerint zajlanak.
A vizsgálatoknak kiemelt célja részünkről, hogy általuk ügyfeleink rendszerei biztonságosabbá váljanak. Így fontosnak tartjuk kihangsúlyozni, hogy a feltárt hibák kijavításával tudnak ügyfeleink magasabb biztonsági szintre lépni.
Az informatika gyors változása miatt a biztonsági vizsgálatok nem a végtelenségig érvényesek. Újabb fenyegetettségek jelennek meg, a fejlesztés folyamatos, így javasoljuk az elvégzett tesztek periodikus megismétlését.
A projektjeink során a leggyakoribb vizsgálati területek:
- Behatolás tesztelés
- Alkalmazás vizsgálatok (web, vastag, mobil)
- Hálózati tesztek
- Vezeték nélküli hálózati tesztek
- Eszköz vizsgálatok (sérülékenység / konfiguráció vizsgálat)
- Forráskód vizsgálatok
- Kliens oldali biztonsági tesztek
- Social engineering vizsgálatok
- PCI DSS, PSD2, GDPR kapcsán felmerülő sérülékenységvizsgálatok
A fenti vizsgálatokat az ügyfeleink kockázatelemzésének megfelelően olyan információ bázissal hajtjuk végre, hogy megfelelően tárja fel a vélt támadói kör lehetőségeit. Ennek megfelelően a leggyakoribb megközelítések:
- Black-box vizsgálatok: csak minimális információ (pl. IP cím, cégnév, weboldal, stb.) áll a szakértők rendelkezésére
- Gray-box vizsgálatok: a vizsgált rendszer elérésén túl még plusz információk állnak a szakértők rendelkezésére
- White-box vizsgálatok: a lehető legszélesebb információ a szakértők rendelkezésére áll a vizsgált rendszerről
Szakértőink „Red team” megközelítéssel is tudják segíteni a szervezet biztonságát. Egy ilyen megbízás során a célpontok köre egy célzott vizsgálathoz képest rendkívül nagy, ezen belül a szakértők szabadon támadhatnak rendszereket és funkciókat. A cél minél magasabb szintű hozzáférés megszerzése, teljeskörűségre törekvés nélkül.
- Ennek megfelelően „Red team” megközelítést olyan szervezeteknek ajánljuk, ahol a biztonsági érettség eléri azt a szintet, hogy az egyes rendszerek önmagukban már jónak tekinthetők. Ilyenkor már érdemes azonosítani a teljes infrastruktúrát egyben nézve feltárható maradék réseket, beleértve a védelmi műszaki megoldások és emberi csapat hatékonyságát.
- Alacsony biztonsági érettség esetén, ahol arra érdemes iránymutatást adni, hogy mik a legkockázatosabb rendszerek, hol érdemes kezdeni a fejlesztést, behatolás tesztelést javaslunk.
- Mindenki másnak a „Red team” vizsgálatra való érettség eléréséig az egyes rendszereket külön-külön célzó teljes körű vizsgálatokat ajánlunk.
Mit kapnak Önök, miért hasznos az etikus hackelési vizsgálat?
Minden vizsgálatunk végterméke egy szakvélemény, mely tartalmazza
- az etikus hackelési csoport által végrehajtott vizsgálatok részleteit,
- a tesztek típusait,
- minden azonosított sérülékenységet, és
- a megrendelő igényeitől függően a megfelelő ellenintézkedéseket.
Célunk, hogy ügyfeleink időben felismerjék azokat a sérülékenységeket, kockázatokat, melyek kihasználása potenciális fenyegetést jelent üzleti célkitűzéseik elérésére. Az információbiztonsági rendszerek és folyamatok kialakítása, fenntartása és ellenőrzése összetett feladat.
Annak érdekében, hogy ezeket illetően diszkrét, halk jelzést (Silent Signal) tudjunk adni Önöknek, keressenek minket bizalommal. Kérjenek tőlünk tájékoztatást szolgáltatásainkkal kapcsolatban, még az előtt, hogy túl késő lenne!