Tudja meg, mit veszíthet –
és hogyan védheti meg

Mi a penetrációs tesztelés?

Penteszt, behatolás tesztelés, betörési teszt

A penetrációs tesztelés egy szisztematikusan felépített, célzott támadás szimuláció, melynek során az etikus hacker, valódi támadók módszereit és technikáit alkalmazva teszteli a megbízó vállalat célrendszereit. Természetesen mindezt alapos szervezés előzi meg, kitérve a megbízás és a munkafolyamatok minden aspektusára, többek között az üzletmenet folytonosságra, az adatvédelemre és persze a tesztelés szabályaira is.

Egy sérülékenységvizsgálathoz képest a behatolás tesztelés sokkal invazívabb folyamat, hiszen a penteszter nem áll meg a sebezhetőségek azonosításánál, hanem ki is használja azokat. Az adott rendszer biztonsági állapotától függően, a támadási lánc elérhet egészen a legmagasabb jogosultságig és a hozzáférés kiterjedhet a hálózat további rendszereire is.

A tesztelés eredményterméke egy részletes értékelési jelentés, melyből kiderül, hogy egy valós támadás – a rendszer feltörése – milyen súlyos hatással lenne a vállalat elektronikus információs rendszerére (EIR), illetve az ebben kezelt adatok bizalmasságára, sértetlenségére és rendelkezésre állására (CIA modell).

Az információbiztonság alapelvei, a CIA hármas elv:

Ezekre az elvárásokra épül az összes információbiztonsági szabvány és követelményeik.

Bizalmasság / Confidentiality:
A bizalmasság elve megköveteli, hogy az elektronikus információs rendszerben tárolt adatok és információk csak az arra jogosultak számára legyen elérhető és megismerhető.

Sértetlenség / Integrity:
Az integritás elve megköveteli az adatok pontosságát és teljességét, azaz minden adat tartalma és forrása az elvárttal teljes mértékben megegyezzen, mind az adatátvitel során, mind nyugalmi helyzetben (tárolás).

Rendelkezésre állás / Availability:
A rendelkezésre állás elve megköveteli, hogy az elektronikus információs rendszer és az abban kezelt adatok mindig elérhetőek és felhasználhatóak legyenek az arra jogosultak számára.

A PacMed Kiberbiztonság az alábbi pentesztek elvégzésében tud segíteni az Ön vállalatának:

WEBALKALMAZÁS (webes rendszerek) penetrációs tesztelés

INFRASTRUKTÚRA / külső és belső hálózati penetrációs tesztelés

ADATHALÁSZ támadás szimuláció – Phishing pentest (Remote Social Engineering)

REMEDÁCIÓS penetrációs tesztelés (re-test / javítások ellenőrzése)

PENTESTING PROGRAM (vulnerability management)

Miért fontos a penetrációs tesztelés?

Szabályozási megfelelés, robusztus biztonság

Robusztus kibervédelem

Egy alapos behatolás teszt rávilágít a rendszer összes gyengeségére, különösen a vállalkozás legkritikusabb pontjain, így nagyban hozzájárul, hogy az értékelés mentén bevezetett védelmi intézkedések és biztonsági javítások robusztus védelmet biztosítsanak a kibertámadások ellen.

A szolgáltatás üzletmenete

A szolgáltatás üzletmenete

1. Kapcsolatfelvétel és igényfelmérés

Az első lépés mindig a konzultáció.
Megbeszéljük milyen rendszert, webalkalmazást vagy hálózatot szeretne teszteltetni, majd feltérképezzük a vizsgálat:

• célját (compliance, belső ellenőrzés, ügyfélbiztonság, stb.)
• módszertanát (OWASP, PTES, NIST)
• hatókörét, a scope-ot (IP címek/tartományok, domain-ek, url címek, hosztok)
• módszertani megközelítését (black box, grey box, white box)

Célunk, hogy pontosan megértsük ügyfelünk elvárásait és a legmegfelelőbb vizsgálati típust ajánljuk számára.

2. Ajánlatadás és szerződéskötés

Az igények tisztázása után átlátható árajánlatot készítünk, amely tartalmazza:

• a vizsgálat típusát és terjedelmét
• az ütemezést (mikor és mennyi ideig tart a teszt)
• az árakat és a várható eredményeket

A szerződéskötést követően titoktartási megállapodás (NDA) biztosítja, hogy minden információ biztonságban marad. Hozzájárulási nyilatkozatban rögzítjük az engedélyeket és a tesztelés szabályait.

3. Tesztelés megkezdése

A vizsgálatot előre egyeztetett időpontban indítjuk, a napi működés megzavarása nélkül.

Webalkalmazás teszt esetén: feltérképezzük a funkciókat és valós támadási technikákat alkalmazunk (pl. SQL injection, XSS, jogosultságkezelés).

Hálózati teszt esetén: ellenőrizzük a külső és belső hálózatot, nyitott portokat, hibás konfigurációkat, hozzáféréseket.

Automatizált eszközöket (Nessus, Nmap, Burp Suite, ZAP) kombinálunk manuális szakértői teszteléssel, hogy validáljuk a sebezhetőségeket és megtaláljuk a rejtett gyengeségeket, logikai hibákat is.

Fontos: a tesztelés során kiemelten ügyelünk a biztonságra és az üzletmenetre, együttműködve ügyfelünkkel és a kommunikációs útvonalakkal.

4. Eredmények elemzése és riport készítése

A vizsgálat végén átfogó, részletes jelentést készítünk két szinten:

• Vezetői összefoglaló: rövid, közérthető áttekintés az üzleti kockázatokról.
• Technikai rész: minden sérülékenység részletes dokumentálása, súlyossági szintek, reprodukálási lépések és javítási javaslatok.

A jelentés priorizálva mutatja be a kockázatokat, így az illetékes személyek/szakemberek azonnal tudni fogják mi a legégetőbb probléma és a legsürgősebb feladat.

5. Utókövetés és támogatás

Nem hagyjuk magára a riporttal. Igény esetén:

• támogatást nyújtunk a hibák javításában
• ellenőrző tesztet végzünk a javítások után
• tanácsot adunk a hosszú távú biztonsági stratégia kialakításában

Ez biztosítja, hogy ne csak a hibák kerüljenek feltárásra, hanem valóban megszűnjenek a kockázatok.

A penetrációs tesztelés fázisai