EN | HU

Biztonsági betörési tesztek

A szolgáltatás bemutatása

Ki az akit nem érdekel, hogy vajon egy hacker fel tudná-e törni valamelyik kritikus üzleti rendszerét?

Természetesen, ez a kérdés minden szervezet üzleti és informatikai vezetését foglalkoztatja, ezért majdnem mindegyik biztonsági tanácsadó cég szolgáltatásai között megtalálható a biztonsági betörési teszt, avagy „etical hacking” szolgáltatás.

A biztonsági betörés teszt megbízatás alatt cégünk munkatársai ellenőrzött körülmények között egy szimulált betörési tesztet hajtanak végre az ügyfél által meghatározott célrendszer ellen. A betörési teszt során használt eszközöket, módszereket dokumentáljuk, a teszt eredményeként feltárt hiányosságokat egy jelentésben összefoglaljuk, majd átadjuk az ügyfél részére.

A biztonsági teszt elvégzése során a birtokunkba jutott összes ügyféladatot megsemmisítjük, ami magában foglalja a jelentés alapjául szolgáló összes ügyféladat, illetve a teszteléshez használt informatikai eszközök teljes, alacsony szintű törlését.

A biztonsági betörési teszteket szokás minősíteni aszerint, hogy mennyi információt ad át az ügyfél a tesztelendő rendszerről a teszteket végző szakembereknek. Az információátadás két szélsőértékét a „white box”, illetve a „black box” tesztek jelölik, ugyanis „white box” tesztek esetén az ügyfél átadja a tesztelendő rendszer teljes dokumentációját a tesztelőknek, míg a „black box” tesztek esetén a tesztelő semmilyen részletes információval nem rendelkezhet a tesztelendő rendszerről.

A biztonsági betörési teszteknek egy további felbontása is kialakult aszerint, hogy milyen technológia biztonsági vizsgálatára kerül sor. Ezek szerint beszélhetünk:

  • infrastruktúra betörési tesztektől,
  • webes alkalmazások betörési tesztjeiről,
  • vezeték nélküli („wireless”) infrastruktúrák betörési tesztjeiről, illetve
  • „social engineering” típusú betörési tesztekről, ahol nem az informatikai technológiát tesztelik, hanem különböző trükkös módszerekkel igyekeznek bizalmas információkat megszerezni a szervezet munkatársaitól, illetve rávenni azokat visszaéléshez vezető tevékenységek elvégzésére.

Annak ellenére, hogy a biztonsági betörési teszt a leglátványosabb audit típusú biztonsági szolgáltatás, - mivel sikeres behatolás esetén megkérdőjelezhetetlen bizonyítékot szolgáltat a biztonsági kockázatok mértékéről, - sok esetben a tesztek megrendelésének a megfontolását javasoljuk ügyfeleinknek. Érdemes szem előtt tartani, hogy a biztonsági betörési teszt csupán egy lehetőség az audit technikák közül, amelynek számos korlátja van:

  • a biztonsági betörési tesztek általában nem tárják fel az összes biztonsági kockázatot, hiszen a tesztelő a sikeres törésre fókuszál, nem az összes lehetséges törési út, azaz biztonsági kockázat feltárására,
  • a szervezetek számára általában a legfontosabb kockázatokat, a rendszerkieséssel kapcsolatos kockázatokat a biztonsági betörési teszt nem tudja helyesen felmérni, hiszen produkciós rendszerek tesztelése esetén sok esetben kiveszik a megbízás terjedelméből a rendszerkiesési kockázatokkal járó tesztek (pl. DOS, DDOS) elvégzését,
  • olyan szervezeteknél, ahol a információbiztonsági keretrendszer nincsen megfelelően kiépítve, a biztonsági betörési tesztek eredménye előre borítékolható, így – hacsak nem a szervezet vezetésének szóló figyelemfelhívásként – nem érdemes erőforrást biztosítani biztonsági tesztek elvégzésére, hanem először az információbiztonsági keretrendszert célszerű kiépíteni,
  • míg a sikeres tesztek eredménye könnyen interpretálható, addig a sikertelen betörési kísérleté annál nehezebben, hiszen mindig ott marad a gyanú árnyéka afelett, hogy a teszteket végző szakemberek nem rendelkeztek elegendő szaktudással, vagy nem töltöttek elegendő időt az adott biztonsági teszt elvégzésével.

Kinek ajánljuk a szolgáltatást?

  • Nagyrészt kiépített információbiztonsági keretrendszerrel rendelkező szervezetek számára, ahol fontos a visszacsatolás a védelmi intézkedések hatékonyságáról, illetve a becsült kockázatok helyességéről;
  • új webes alkalmazás bevezetése esetén bármilyen szervezet számára;
  • kiterjedt vezeték nélküli („WiFi”) technológia használata esetén;
  • szervezeteknek, amelyek számára fontos a munkatársak biztonságtudatos magatartása, ezért „social engineering” tesztek elvégzésével kívánnak visszajelzést kapni erről a területről.

Miért minket válasszanak?

  • Mert minősített szakemberekkel rendelkezünk biztonsági tesztek elvégzésében;
  • mert nem csak biztonsági tesztek elvégzésében vagyunk járatosak, hanem a feltárt kockázatok megszüntetését célzó megoldások bevezetésében is;
  • mert módszertanunk garantálja, hogy a biztonsági tesztek elvégzése minimális kockázatot jelent az ügyfelünk produkciós rendszerének a folyamatos működésére;
  • mert a tesztek elvégzése során a birtokunkba került szenzitív ügyféladatokat a legmagasabb biztonsági szinten kezeljük, ezért azok nem kerülhetnek harmadik félhez.