Etikus hackelés

Infrastruktúrák, alkalmazások, hálózatok, szervezetek teljes körű technikai biztonsági vizsgálata kódelemzéstől a sérülékenység vizsgálaton át a social engineeringig.

Etikus hackelés során szakértőink valós támadók módszereit, technikáit elsajátítva vizsgálják a célpontot. Ez a leghatékonyabb módja annak, hogy ügyfelünk meggyőződhessen arról, milyen biztonsági réseket lehet feltárni a rendszereiben.

Minden egyes projekt egy-egy támadási megközelítést modellez, és tárja fel a releváns kockázatokat. Fontos, hogy ezek mind az ügyféllel előre egyeztetett szabályrendszer szerint zajlanak.

A vizsgálatoknak kiemelt célja részünkről, hogy általuk ügyfeleink rendszerei biztonságosabbá váljanak. Így fontosnak tartjuk kihangsúlyozni, hogy a feltárt hibák kijavításával tudnak ügyfeleink magasabb biztonsági szintre lépni.

Az informatika gyors változása miatt a biztonsági vizsgálatok nem a végtelenségig érvényesek. Újabb fenyegetettségek jelennek meg, a fejlesztés folyamatos, így javasoljuk az elvégzett tesztek periodikus megismétlését.

A projektjeink során a leggyakoribb vizsgálati területek:

  • Behatolás tesztelés
  • Alkalmazás vizsgálatok (web, vastag, mobil)
  • Hálózati tesztek
  • Vezeték nélküli hálózati tesztek
  • Eszköz vizsgálatok (sérülékenység / konfiguráció vizsgálat)
  • Forráskód vizsgálatok
  • Kliens oldali biztonsági tesztek
  • Social engineering vizsgálatok
  • PCI DSS, PSD2, GDPR kapcsán felmerülő sérülékenységvizsgálatok

A fenti vizsgálatokat az ügyfeleink kockázatelemzésének megfelelően olyan információ bázissal hajtjuk végre, hogy megfelelően tárja fel a vélt támadói kör lehetőségeit. Ennek megfelelően a leggyakoribb megközelítések:

  • Black-box vizsgálatok: csak minimális információ (pl. IP cím, cégnév, weboldal, stb.) áll a szakértők rendelkezésére
  • Gray-box vizsgálatok: a vizsgált rendszer elérésén túl még plusz információk állnak a szakértők rendelkezésére
  • White-box vizsgálatok: a lehető legszélesebb információ a szakértők rendelkezésére áll a vizsgált rendszerről

Szakértőink „Red team” megközelítéssel is tudják segíteni a szervezet biztonságát. Egy ilyen megbízás során a célpontok köre egy célzott vizsgálathoz képest rendkívül nagy, ezen belül a szakértők szabadon támadhatnak rendszereket és funkciókat. A cél minél magasabb szintű hozzáférés megszerzése, teljeskörűségre törekvés nélkül.

  • Ennek megfelelően „Red team” megközelítést olyan szervezeteknek ajánljuk, ahol a biztonsági érettség eléri azt a szintet, hogy az egyes rendszerek önmagukban már jónak tekinthetők. Ilyenkor már érdemes azonosítani a teljes infrastruktúrát egyben nézve feltárható maradék réseket, beleértve a védelmi műszaki megoldások és emberi csapat hatékonyságát.
  • Alacsony biztonsági érettség esetén, ahol arra érdemes iránymutatást adni, hogy mik a legkockázatosabb rendszerek, hol érdemes kezdeni a fejlesztést, behatolás tesztelést javaslunk.
  • Mindenki másnak a „Red team” vizsgálatra való érettség eléréséig az egyes rendszereket külön-külön célzó teljes körű vizsgálatokat ajánlunk.

Mit kapnak Önök, miért hasznos az etikus hackelési vizsgálat?

Minden vizsgálatunk végterméke egy szakvélemény, mely tartalmazza

  • az etikus hackelési csoport által végrehajtott vizsgálatok részleteit,
  • a tesztek típusait,
  • minden azonosított sérülékenységet, és
  • a megrendelő igényeitől függően a megfelelő ellenintézkedéseket.

Célunk, hogy ügyfeleink időben felismerjék azokat a sérülékenységeket, kockázatokat, melyek kihasználása potenciális fenyegetést jelent üzleti célkitűzéseik elérésére. Az információbiztonsági rendszerek és folyamatok kialakítása, fenntartása és ellenőrzése összetett feladat.

Annak érdekében, hogy ezeket illetően diszkrét, halk jelzést (Silent Signal) tudjunk adni Önöknek, keressenek minket bizalommal. Kérjenek tőlünk tájékoztatást szolgáltatásainkkal kapcsolatban, még az előtt, hogy túl késő lenne!

Oktatás

Az informatikai rendszerek sérülékenységi területei nem csak magukban a rendszerekben találhatók. Jelentős támadási felületet jelenthetnek a rendszereket használó munkatársak, rendszergazdák, fejlesztők. Ezért minden téren kiemelt figyelmet fordítunk az emberi tényező biztonságtudatosságának fejlesztésére is.

Oktatási palettánkon megtalálhatók a klasszikus tudatosító képzések, illetve a speciális célcsoportok számára releváns oktatások is, úgy mint:

  • biztonságtudatossági képzések és oktatási anyagok különböző felhasználói csoportok számára, akár tantermi előadások, akár e-learning tartalmak formájában,
  • különböző biztonságtudatosságot fokozó programok és kampányok tartalmi elemeinek kidolgozása, illetve teljes körű lemenedzselése klasszikus, valamint a napjainkban egyre elterjedtebb gamifikációt, játékosítást alkalmazó elemekkel,
  • biztonságos fejlesztést és üzemeltetést támogató IT biztonsági tréningek,
  • üzletfolytonosság menedzsment kialakításához és fenntartásához kapcsolódó képzések.

Legyen szó bármely képzésünkről, minden esetben lehetőség van előzetes felmérés, illetve teszt - sérülékenységvizsgálat, Social Engineering audit - végrehajtására. Ennek eredményeként oktatásaink még inkább a feltárt hiányosságok és nem-megfelelőségek kezelésére fókuszálnak.

Egy adott célcsoportra fókuszáló információbiztonsági oktatás hatékony eszköze lehet annak, hogy

  • a korábban gyakran elkövetett biztonsági hibák, hiányosságok megszűnjenek,
  • a humán kockázat jelentős mértékben csökkenthető legyen.

Képzéseinken a résztvevőknek bemutatásra kerül, hogy

  • milyen szerepet tölt be az emberi tényező az információbiztonságban, miért fontos a biztonságtudatos felhasználói magatartás,
  • milyen szabályok, előírások vonatkoznak az adott szervezetre, milyen kontrollok és miért kerültek bevezetésre,
  • miért szükséges ezen előírások betartása,
  • a régi rossz gyakorlat milyen problémákhoz vezethet és
  • a kötelező szabályzati pontokon túl melyek az alkalmazandó jó gyakorlatok – nem csak a munkahelyen, hanem akár a magánéletben is.

Oktatásainkat

  • legyen az akár önálló oktatás, akár egy előzetes felmérés vagy behatolástesztelés eredményére és tanulságaira épített tudásátadás,
  • szóljon az informatikai munkatársaknak vagy az átlag felhasználóknak,
  • minden esetben az Önök igényeihez, lehetőségeihez igazítjuk.

Tanácsadás

Információbiztonsági tanácsadási szolgáltatásainkkal segítünk felülvizsgálni és kialakítani a szervezetre vonatkozó releváns külső jogszabályoknak és szabványoknak megfelelő szabályozási környezetet. Előzetes felméréseinkkel támogatjuk a kockázatarányos védelmi intézkedések bevezetését, valamint a biztonsági szempontból legjobb infrastrukturális megoldásokat, beállításokat szállítófüggetlen megközelítéssel.

Kapcsolódó jogszabályoknak, szabványoknak való megfelelés támogatása

A szervezetre vonatkozó információbiztonsági relevanciájú törvények (pl. 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról, továbbiakban: Ibtv.), valamint szabványok (pl. ISO 27001) követelményeinek teljesítése érdekében

  • felmérjük a szervezet jelenlegi helyzetét és
  • értékeljük a bevezetett kontrollok megfelelőségét, majd
  • akciótervet készítünk a módosítandó vagy bevezetendő intézkedésekre és
  • igény esetén támogatjuk azok megvalósítását.

Ezen szolgáltatásunk keretében el tudjuk látni a következő feladatokat:

  • információbiztonsági szabályzat elkészítése, felülvizsgálata, frissítése
  • információbiztonsági irányítási rendszer bevezetése, kapcsolódó folyamatok kialakítása
  • belső rendszeres felülvizsgálatok, auditok lefolytatása
  • adatvagyon és folyamatfelmérések végrehajtása, kockázatelemzés elkészítése, védelmi intézkedések tervezése és bevezetésének támogatása
  • kapcsolódó oktatások és workshopok tartása
  • információbiztonsági felelős egyéb feladatainak ellátása vagy támogatása

Üzletfolytonosság menedzsment támogatása

Az üzletfolytonosság tervezés során a szervezet

  • felkészül a kritikus üzleti folyamatokat fenyegető rendkívüli események bekövetkezésére, ezáltal
  • a kritikus támogató erőforrások sérülésének vagy leállásának esetére alternatív folyamatokat és visszaállítási akcióterveket dolgoz ki annak érdekében, hogy
  • a folyamatos működés fenntartható legyen a lehető legkisebb idő, pénz és erőforrás ráfordítással.

Az üzletfolytonosság menedzsment rendszer kialakításában és működtetésében a következőkkel tudjuk támogatni ügyfeleinket:

  • üzletfolytonosság menedzsment rendszer bevezetése, szabályozás kialakítása – amennyiben releváns, figyelembe véve a szervezetre vonatkozó követelményeket (pl. Ibtv) és szabványokat (pl. ISO 22301)
  • folyamatfelmérés és üzleti hatáselemzés végrehajtása, kritikus folyamatok és támogató erőforrásaik azonosítása
  • alternatív folyamatok akcióterveinek (BCP), illetve erőforrás helyreállítási tervek (DRP) kidolgozása
  • akciótervek tesztelésének támogatása
  • üzletfolytonossági oktatások és tréningek tartása

Architektúrakialakítás-felülvizsgálat

A rendszerek kialakításának, valamint kapcsolatának felülvizsgálatával lényeges biztonsági hiányosságokra derülhet fény. Az ügyfeleink hálózati topológiájának részletes átvizsgálásával ellenőrizhető, megfelelően alkalmazzák-e a mélységi védelmet.

A behatolási teszt nem vizsgálja ezeket a problémákat, tehát rejtve maradhatnak a megbízó előtt. Azonban egy ilyen vizsgálat eredményeiből következtethetni lehet az ilyen típusú hiányosságokra is.

Hardening

Kritikus feladatokat ellátó szerverek, architektúrák esetében ajánlott biztonsági hardening beállításokat végrehajtani. A hardening során környezetfüggő konfigurációs módosításokat kell meghatározni. Ezek segítségével a rendszer biztonsági szintje növekszik, ezáltal csökken a sikeres kompromittálódás lehetősége. Nemzetközi ajánlások, valamint a legjobb gyakorlat és tapasztalatok segítségével hatásos védekezési módszer a hardening.