+36 70 516 5214 info@pacmed.hu

Gyakran ismételt kérdések

Kérdések és válaszok – Offenzív biztonsági szolgáltatások

Mi a különbség a sérülékenységvizsgálat és a penetrációs teszt között?

A sérülékenységvizsgálat automatizált eszközökkel és manuális teszteléssel történik: célja a gyenge pontok azonosítása, hasonlóan egy egészségügyi szűrővizsgálathoz. Megmutatja, milyen hibák lehetnek jelen, de nem minden esetben derül ki, hogy ezek valóban kihasználhatók-e.
Röviden: sebezhetőségek és kockázatok azonosítása (nincs kihasználás)

A penetrációs tesztelés (behatolás tesztelés) ezzel szemben sokkal mélyebb vizsgálat. Etikus hackerek manuálisan, valós támadási technikákat modellezve tesztelik, hogy a feltárt gyengeségeket ténylegesen ki lehet-e használni és milyen üzleti hatása lehet egy sikeres támadásnak. Így a szervezet pontos képet kaphat arról, mekkora a valódi kockázat.
Röviden: sebezhetőségek azonosítása és azok kihasználása, szervezett hacker-támadás szimuláció

Összefoglalva:
A kettő között tehát a fő különbség az, hogy a sérülékenységvizsgálat gyorsabb, széleskörűbb képet ad, de megáll a sebezhetőségek azonosításánál és nem szimulál tényleges támadásokat, míg a penteszt továbbmegy a sérülékenységek kihasználásától egészen akár a rendszer teljes átvételéig, így a penetrációs tesztelés egy lényegesen mélyebb és időigényesebb folyamat.

Sérülékenységvizsgálat vs. Penetrációs tesztelés

Miért fontos a webalkalmazás biztonsági tesztelése?

A weboldalak, ügyfélportálok és online szolgáltatások az egyik leggyakoribb támadási célpontok. Egyetlen hiba – például SQL injection, XSS vagy hibás jogosultságkezelés – elég lehet ahhoz, hogy illetéktelenek adatokat lopjanak, töröljék vagy módosítsák azokat, esetleg teljesen megbénítsák a szolgáltatást.

Egy webalkalmazás biztonsági tesztelése során pontosan ezeket a hibákat keressük és validáljuk, hogy Ön megelőzhesse az adatvédelmi incidenseket, bírságokat (GDPR), megfeleljen a szintén súlyos bírságokat hordozó NIS2/Kibertan tv. követelményeinek, valamint elkerülje az anyagi és reputációs károkat.

Mi a különbség a külső és belső hálózati teszt között?

Külső teszt: azt vizsgáljuk, mit érhet el egy támadó az internet felől. Ez hasonló ahhoz, mintha valaki az épület külsejét próbálná feltörni. Ide tartozik például a nyitott portok, hálózati szolgáltatások, hibás tűzfalbeállítások vagy rosszul védett VPN-ek ellenőrzése.

Belső teszt: azt modellezzük, hogy mi történik, ha egy támadó a belső hálózatra jut (például egy adathordozón bejuttatott kártevővel vagy egy kompromittált belső felhasználó által). Ez segít feltárni, mennyire tud terjedni egy támadás házon belül.

Mindkettő fontos, mert sok szervezetnél nem az a kérdés, hogy lesz-e támadás, hanem az, hogy mennyire tudnak gyorsan reagálni és minimalizálni a károkat.

Mit jelent a Black box és a Grey box módszer?
Lényegében különböző jogosultsági szintekről van szó, melyek maghatározzák a tesztelés kezdeti mélységét és az adott rendszer megközelítését.

Black box teszt: a támadó szemszögéből, teljesen kívülállóként, előzetes információ nélkül vizsgáljuk a rendszert. Ez modellezi legjobban egy külső támadó helyzetét.

Grey box teszt: részleges információval vagy hozzáféréssel dolgozunk (például kapunk egy normál felhasználói fiókot). Ez lehetővé teszi a mélyebb vizsgálatot és segít azonosítani olyan hibákat is, amelyeket csak belső felhasználók érhetnek el.

A választás attól függ, hogy Ön milyen kockázati forgatókönyvet szeretne szimulálni, illetve melyik módszer lenne a leghatékonyabb az adott rendszer biztonsági felméréséhez.

Mennyi ideig tart egy vizsgálat?
A vizsgálat időtartama függ a rendszer méretétől és összetettségétől, valamint az elérni kívánt céloktól is.

Sérülékenységvizsgálat (vulnerability assessment)
Időtartam: 2–3 nap kisebb környezetben, 3–5 nap nagyobb hálózat vagy több webalkalmazás esetén.
Ebben benne van az értékelési jelentés elkészítése is.

Penetrációs teszt (Penetration Testing)
Időtartam: 3–7 nap egy webalkalmazás vagy kisebb hálózat esetén, 2–3 hét komplex rendszerekben.
Ebben benne van a penteszt riport elkészítése is.

A pontos ütemtervet előre egyeztetjük, hogy a tesztelés a lehető legkisebb fennakadással járjon.

Mennyire biztonságos a teszt? Okozhat kiesést?

A tesztelés során ellenőrzött és biztonságos módszereket alkalmazunk. Célunk, hogy valós támadási szcenáriókat modellezzünk, de ne okozzunk szolgáltatás-kiesést, fennakadást vagy adatvesztést. Ha egy adott vizsgálati technika mégis kockázatos lehet, arról minden esetben egyeztetünk az erre kijelölt személlyel, a tesztelési szabályzat előírásainak megfelelően.

Tehát az ilyen teszteket csak az ügyfél kifejezett engedélyével hajtjuk végre.

Mit kapok a vizsgálat végén?
Egy részletes értékelési jelentést, kétszintű riportot:

Vezetői összefoglaló:
Közérthető formában, az üzleti kockázatokra fókuszálva, a vezetőség számára.

Technikai részletek:
Minden sérülékenység listázva, súlyossági szintekkel, reprodukálási lépésekkel és javítási javaslatokkal.

Ez lehetővé teszi, hogy az IT csapat azonnal intézkedhessen, a vezetőség pedig átlássa a kockázatok mértékét.

Mennyibe kerül egy penetrációs tesztelés?

A sérülékenységvizsgálat és penetrációs tesztelés árát a teszt típusa (webalkalmazás, hálózat, wifi, mobil), a vizsgált rendszer mérete és bonyolultsága határozza meg.
Egy egyszerű weboldal tesztelése jóval kevesebb erőforrást igényel, mint egy több alrendszerből álló vállalati környezet vizsgálata.

A költségeket mindig előre, átlátható módon határozzuk meg és igény szerint fix áras ajánlatot adunk.

Árajánlatkérés

Milyen gyakran érdemes sérülékenységvizsgálatot vagy pentesztet végezni?

Javaslatunk szerint évente legalább egyszer minden szervezetnek szükséges lenne egy biztonsági tesztelésre, hogy naprakész maradjon és minimalizálja a kockázatokat, amit kiberfenyegetések jelentenek a mai digitális térben.

Kiemelt esetekben: új funkciók élesítésekor, nagyobb rendszerfrissítések után vagy ha a szabályozói megfelelőség – mint a NIS2, GDPR, DORA – megköveteli.

! Olvassa el a blogban:
DORA: Miért kötelező a penetrációs tesztelés és a sérülékenységvizsgálat?

DORA megfelelés 2025

Milyen szabványoknak és jogszabályoknak felel meg a tesztelés?

A vizsgálatok az iparág legjobb gyakorlataira épülnek – OWASP, NIST, OSSTMM, PTES – és segítik az olyan szabályozásoknak való megfelelést, mint:

NIS2 (hálózat- és információbiztonság)

GDPR (adatvédelem)

DORA (digitális pénzügyi reziliencia)

Ennek mentén, a kiberbiztonsági előnyök mellett, jogi szempontból és a tanúsítási auditokra való felkészülésben is segítjük ügyfeleinket.

Hogyan biztosítják a titoktartást és az adatok védelmét?

Minden vizsgálatot titoktartási megállapodás (NDA) és adatvédelmi nyilatkozat mellett végzünk. Az összes adat és eredmény kizárólag az ügyfelünk áll rendelkezésére. A riportokat biztonságos csatornán adjuk át és a szükségesnél nem tároljuk hosszabb ideig.

Hogyan kezdődik egy ilyen projekt?

A folyamat általában így néz ki:

 

  1. Igényfelmérés és scope meghatározása (mely rendszereket, milyen módszerrel kell tesztelni)
  2. Ajánlatadás és szerződéskötés
  3. Tesztelés végrehajtása (egyeztetett időkeretben)
  4. Eredmények dokumentálása és riport átadás
  5. Utókövetés, újratesztelés – kérés esetén segítünk a hibák javításának ellenőrzésében is