Penetrációs tesztelés

Az informatikai rendszerek sérülékenységei, sebezhetőségei jelentős mértékben növelik a fenyegetettségek bekövetkezésének valószínűségét, vagyis a támadók, legyenek azok rossz szándékú hackerek, vírusok vagy egyéb károkozók, a sérülékenységeket kihasználva sikeresen megsérthetik az információk bizalmasságát, sértetlenségét és rendelkezésre állását. A sérülékenységek felderítésének legmegbízhatóbb módja az etikus hackelés, penetrációs tesztelés.

A megbízóink számára – akár önállóan, akár információbiztonsági kockázatelemzés részeként – végzett etikus hackelési vizsgálataink felderítésekkel, elemzésekkel és összegző jelentésekkel feltárjuk a megbízóink informatikai rendszereinek sérülékenységeit, sebezhetőségeit, így azok valós képet kapnak a rendszereiket fenyegető IT biztonsági kockázatokról, és ezzel lehetővé válik számukra azok elkerülése, minimalizálása.

Vizsgálati módszerek

A vizsgálatnak, illeszkedve a lehetséges támadók típusaihoz, kezdeti információbirtoklás szempontjából háromféle módja van.

A feketedoboz módszer esetében rendszerhozzáférések és infrastrukturális információk nélkül történik a vizsgálat, bemutatva elsősorban azt, hogy a legelterjedtebb, a megbízóink informatikai rendszereiről információkkal nem rendelkező, célzott vagy vaktában tevékenykedő külső támadások milyen fenyegetést jelentenek.

A szürke doboz módszerrel hozzáférési jogosultságok nélkül, de a megbízó által átadott infrastrukturális információk birtokában történik a vizsgálat, arról adva képet, hogy a legelterjedtebb külső hackertevékenységek és vírustámadások, és a hozzáférési jogosultságokkal nem, de a megbízó informatikai rendszereiről ismeretekkel rendelkező külső támadók, pl. a konkurencia, vagy egykori, rosszindulatú alkalmazottak milyen valódi kockázatokat jelenthetnek.

A fehér doboz módszerrel a megbízó által átadott szükséges hozzáférési jogosultságok és infrastrukturális információk birtokában történik a vizsgálat, amely bemutatja, hogy az összes lehetséges támadás, a legelterjedtebb külső támadók, a hozzáférési jogosultságokkal nem, de a megbízó informatikai rendszereiről ismeretekkel rendelkező támadók, és az olyan támadók, amelyek a megbízó rendszereihez megfelelő jogosultságokkal és ismeretekkel rendelkeznek, pl. felhasználók, rendszer-üzemeltetők vagy támogatók miként végezhetnek sikeres támadásokat, és azok hogyan védhetőek ki.

Vizsgálati irányok

A vizsgálat a támadási irányoknak megfelelően állhat külső vagy belső vizsgálatból.

A külső vizsgálat az internet irányából történik, kizárólag a kívülről elérhető, és így támadható elemek (eszközök, szolgáltatások, alkalmazások, információk, adatok stb.) fenyegetettségeire koncentrál, így a lehetséges külső támadások szemszögéből végzi az elemzéseket.

A belső vizsgálat a megbízó informatikai hálózatán belülről elérhető elemek kockázatait tárja fel, így a belső támadások szemszögéből végzi az elemzéseket.

A vizsgálatok részletessége és mélysége

A különböző részletességgel végrehajtott vizsgálatok különböző mélységben tárják fel a kockázatokat. A vizsgálat lehet megbízói információk elemzése, nyílt információk elemzése, normál sérülékenység-vizsgálat, ultimate sérülékenység-vizsgálat és penetrációs tesztelé, illetve alkalmazható még reverse engineering és social engineering.

A megbízói információk elemzése a megbízó által az informatikai infrastruktúráról átadott információkat, pl. rendszeradatokat, topológiai rajzokat, szabályokat és eljárásokat összegzi és vizsgálja kockázati szempontból.

A nyílt információk elemzése a megbízó informatikai rendszereiről publikusan, pl. internetről is elérhető információk összegyűjtéséből és elemzéséből áll, feltárva a szándékosan vagy figyelmetlenségből eredő információ-kiszivárogtatásokat.

A normál sérülékenység-vizsgálat a vizsgálandó elemek ismert sérülékenységeit tárja fel automatikus és kézi módszerekkel.

Az ultimate sérülékenység-vizsgálat a vizsgálandó elemek ismert, de nehezebben felderíthető sérülékenységeit tárja fel mélyebb automatikus és kézi módszerekkel.

A penetrációs tesztelés egy behatolási kísérletekkel igazolt sérülékenység-vizsgálat, amely bemutatja a feltárt sérülékenységek kihasználhatóságát, szimulálva az esetleges támadók által végzett hackelési módszereket.

A reverse engineering a vizsgálandó elemek még nem ismert sérülékenységeit is képes feltárni az elemek kommunikációs csomagjainak és forráskódjainak visszafejtésével és kódelemzésével. Komplexitása és mélysége révén kiemelt szakértelmet kíván, és rendkívül időigényes, ezért kifejezetten egy-egy elem vizsgálatára korlátozódik. A nem ismert, speciális alkalmazások (pl. saját fejlesztésű vagy megrendelésre készített programok és rendszerek) vizsgálata elsősorban reverse engineering technikákkal vizsgálható.

A social engineering megtévesztéses és manipulációs információgyűjtés a rendszer felhasználóitól, alkalmazottaktól, rendszer-üzemeltetőktől és támogatóktól személyes és technikai módszerekkel (pl. segítségkérő vagy utasító telefonhívások, és adathalász levelek alkalmazásával). A tevékenység elsősorban a felhasználók biztonság-tudatosságát teszteli.

Egy javasolt, optimális vizsgálat

A legnépszerűbb, legoptimálisabb vizsgálat a szürke doboz módszeres külső normál sérülékenység-vizsgálat, amely hozzáférési jogosultságok nélkül, de a megbízó által átadott infrastrukturális információk birtokában arról ad képet, hogy a legelterjedtebb külső támadások milyen sérülékenységeken keresztül képesek sikeresen végrehajtódni, és ezek milyen módon védhetőek ki.