+36 70 516 5214 info@pacmed.hu

Sérülékenységvizsgálat

A biztonságnak adjon esélyt, ne a támadóknak!

A biztonságnak adjon esélyt, ne a támadóknak!

Egyetlen sikeres támadás romba dönthet egy egész vállalkozást.
Ne kockáztassa cége jövőjét – forduljon hozzánk, szívesen segítünk!

Professzionális sérülékenységvizsgálat – Elérhető áron – Rugalmas megoldásokkal
info@pacmed.hu

Miért fontos a sérülékenységvizsgálat?

Miért fontos a sérülékenység vizsgálat?

Vulnerability assessment, sebezhetőségi vizsgálat, biztonsági tesztelés

sérülékenységvizsgálat, sebezhetőségek azonosítása

Proaktív biztonsági intézkedések

A sérülékenységvizsgálat egy proaktív biztonsági tesztelés, melynek során az etikus hacker feltárja a célrendszerek, hálózatok és webalkalmazások gyenge pontjait, azonosítja a sebezhetőségeket és értékeli a potenciális kockázatokat.

A kibertámadások elleni hatékony védekezésben kritikus fontosságú, hogy rendszeresen azonosítsuk a sérülékenységeket, rávilágítsunk a biztonsági résekre és időben megkezdjük a javító intézkedéseket, kezeljük a kockázatokat.
Így a rendszer sebezhetőségeinek javítása még azelőtt megtörténhet, hogy a támadók kihasználhatnák azokat és súlyos károkat okoznának az egész szervezetre nézve.

NIS2 EIR sérülékenységvizsgálat

A sérülékenységek feltárása a szervezet információbiztonságát megalapozó kockázatelemzés elengedhetetlen és kötelező eleme, ezen felül a NIS2 irányelv mentén kidolgozott 7/2024. (VI. 24.) MK rendelet is felsorolja a védelmi intézkedések katalógusában, mint alapvető követelményt.

Ez azt jelenti, hogy a sérülékenységek ellenőrzése már az alap biztonsági osztályba sorolt EIR-ek (elektronikus információs rendszer) esetében is kötelező intézkedés.

Sérülékenységvizsgálati szolgáltatásaink

Sérülékenységvizsgálati szolgáltatásaink

Webes rendszerek és hálózatok vizsgálata, gyorsvizsgálat, felügyelet

WEBALKALMAZÁS SÉRÜLÉKENYSÉGVIZSGÁLAT

A webalkalmazásod az online üzleted motorja – de egyetlen hiba is elég lehet ahhoz, hogy a támadók hozzáférjenek az ügyféladatokhoz vagy leállítsák az alkalmazás működését. A webalkalmazás sérülékenységvizsgálat során alaposan átvizsgáljuk a rendszert, hogy időben felfedezzük azokat a biztonsági rést jelentő hibákat, amelyeket a támadók kihasználhatnának. A folyamat automatizált eszközöket és manuális elemzést is tartalmaz, így nemcsak a kódolási hibákat mutatja meg, hanem a logikai és konfigurációs gyengeségeket is. Az eredmény egy átlátható értékelési jelentés, amely nem csak hibákat sorol, hanem megoldási javaslatokat is ad, laikus számára is érthető módon. Ezzel pontos képet kapsz arról, hogy webalkalmazásod mennyire biztonságos és mit kell tenned a hatékony védelem kialakításához.

KÜLSŐ HÁLÓZATI SÉRÜLÉKENYSÉGVIZSGÁLAT

A vállalatod külső hálózata az utcafront, amelyen keresztül bárki megpróbálhat bejutni oda. Egy nyitva felejtett port, hibás beállítás vagy elavult rendszer is komoly kockázatot jelenthet. Külső hálózati sérülékenységvizsgálatunk során feltérképezzük, mit láthat és érhet el egy potenciális támadó az internet felől. Célzottan megvizsgáljuk a hálózati szolgáltatásokat, szervereket, tűzfalakat, VPN-eket és egyéb peremrendszereket, hogy kiderítsük, hol vannak gyenge pontok. A vizsgálat nem okoz leállást, mégis pontos képet ad arról, hogyan néz ki céged kitettsége a külvilág felé. Az eredmény egy világos, priorizált teendőlista, amely alapján azonnal elkezdheted a kockázatok csökkentését.

BELSŐ HÁLÓZATI SÉRÜLÉKENYSÉGVIZSGÁLAT

Nem csak kívülről fenyegethet veszély. Sok támadás a belső hálózaton keresztül terjed – akár véletlen emberi hibából, akár rosszindulatú kód miatt. A belső hálózati sérülékenységvizsgálat során úgy nézünk rá a rendszereidre, mintha egy belső támadó vagy egy fertőzött gép szemszögéből vizsgálnánk őket. Ellenőrizzük a szervereket, fájlmegosztásokat, jogosultságokat és jelszókezelési gyakorlatokat, hogy kiderüljön, hol lehetne továbbterjedni a vállalati hálózaton vagy érzékney adatokat szerezni. A vizsgálat eredményeként pontos képet kapsz arról, milyen biztonsági szintet képvisel a belső infrastruktúrád és mely területeket szükséges azonnal megerősíteni.

SÉRÜLÉKENYSÉG MENEDZSMENT

Sérülékenység menedzsment szolgáltatás keretében, proaktív módon felügyeljük rendszereid állapotát, azonosítjuk az újonnan megjelenő sebezhetőségeket és kockázatokat, majd segítünk ezek priorizálásában és javításában. Ez olyan, mintha folyamatosan lenne egy „digitális biztonsági orvosod”, aki időben figyelmeztet a problémákra, mielőtt azok komoly gondot okoznának. A havi vagy negyedéves riportok nem csupán technikai listák: konkrét, röviden megfogalmazott teendőket tartalmaznak, így a döntéshozók is azonnal megértik a helyzetet és a szükséges lépéseket.

SEBEZHETŐSÉGI GYORSVIZSGÁLAT

Ha gyorsan szeretnél képet kapni arról, hol tart a céged biztonsága, a sebezhetőségi gyorsvizsgálat a legjobb kiindulópont. Egy-másfél nap alatt azonosítjuk a rendszer támadási felületét és feltárjuk a nyilvánvaló biztonsági kockázatokat. Ez nem egy mélyreható teszt, hanem egy gyors állapotfelmérés, amely megmutatja, alapvetően mire érdemes fókuszálni. Ideális kis- és középvállalatoknak, vagy azoknak, akik most kezdenék komolyabban venni a kiberbiztonságot. A kimenet egy rövid, értékelési jelentés, sebezhetőségi listával és javítási prioritásokkal: mit kell sürgősen javítani és mi ütemezhető későbbre.

WEBOLDAL BIZTONSÁGI VIZSGÁLAT

Egy weboldal nem csak marketingeszköz, hanem potenciális belépési pont a támadók számára. A weboldal biztonsági vizsgálat során megvizsgáljuk azokat az elemeket, amelyeket a legtöbb hacker először ellenőriz: HTTPS beállítások, űrlapok, adminisztrációs felületek, szerverkonfigurációk és harmadik féltől származó bővítmények. A cél, hogy a látogatók biztonságban böngészhessenek, a rendszered pedig ellenálló legyen az automatizált támadásokkal szemben. A vizsgálat végeredménye egy rövid, érthető biztonsági jelentés, amely azonnal hasznos lépéseket tartalmaz a védelem megerősítésére.

A szolgáltatás üzletmenete

A szolgáltatás üzletmenete

1. Kapcsolatfelvétel és igényfelmérés

Az első lépés mindig a konzultáció.
Megbeszéljük milyen rendszert, webalkalmazást vagy hálózatot szeretne teszteltetni, majd feltérképezzük a vizsgálat:

  • célját (compliance, belső ellenőrzés, ügyfélbiztonság, stb.)
  • módszertanát (OWASP, PTES, NIST)
  • hatókörét, a scope-ot (IP címek/tartományok, domain-ek, url címek, hosztok)
  • módszertani megközelítését (black box, grey box, white box)

Célunk, hogy pontosan megértsük ügyfelünk elvárásait és a legmegfelelőbb vizsgálati típust ajánljuk számára.

 

2. Ajánlatadás és szerződéskötés

Az igények tisztázása után átlátható árajánlatot készítünk, amely tartalmazza:

  • a vizsgálat típusát és terjedelmét
  • az ütemezést (mikor és mennyi ideig tart a teszt)
  • az árakat és a várható eredményeket

A szerződéskötést követően titoktartási megállapodás (NDA) biztosítja, hogy minden információ biztonságban marad. Hozzájárulási nyilatkozatban rögzítjük az engedélyeket és a tesztelés szabályait.

 

3. Tesztelés megkezdése

A vizsgálatot előre egyeztetett időpontban indítjuk, a napi működés megzavarása nélkül.

Webalkalmazás teszt esetén: feltérképezzük a funkciókat és valós támadási technikákat alkalmazunk (pl. SQL injection, XSS, jogosultságkezelés).

Hálózati teszt esetén: ellenőrizzük a külső és belső hálózatot, nyitott portokat, hibás konfigurációkat, hozzáféréseket.

Automatizált eszközöket (Nessus, Nmap, Burp Suite, ZAP) kombinálunk manuális szakértői teszteléssel, hogy validáljuk a sebezhetőségeket és megtaláljuk a rejtett gyengeségeket, logikai hibákat is.

Fontos: a tesztelés során kiemelten ügyelünk a biztonságra és az üzletmenetre, együttműködve ügyfelünkkel és a kommunikációs útvonalakkal.

 

4. Eredmények elemzése és riport készítése

A vizsgálat végén átfogó, részletes jelentést készítünk két szinten:

  • Vezetői összefoglaló: rövid, közérthető áttekintés az üzleti kockázatokról.
  • Technikai rész: minden sérülékenység részletes dokumentálása, súlyossági szintek, reprodukálási lépések és javítási javaslatok.

A jelentés priorizálva mutatja be a kockázatokat, így az illetékes személyek/szakemberek azonnal tudni fogják mi a legégetőbb probléma és a legsürgősebb feladat.

 

5. Utókövetés és támogatás

Nem hagyjuk magára a riporttal. Igény esetén:

  • támogatást nyújtunk a hibák javításában
  • ellenőrző tesztet végzünk a javítások után
  • tanácsot adunk a hosszú távú biztonsági stratégia kialakításában

Ez biztosítja, hogy ne csak a hibák kerüljenek feltárásra, hanem valóban megszűnjenek a kockázatok.

A sérülékenységvizsgálat fázisai

A sérülékenység vizsgálat fázisai

Recon / Enum →

információgyűjtés, feltérképezés

Vuln Scanning →

sebezhetőségi szkennelés

Web Attack →

manuális vizsgálat

Validálás →

sérülékenységek bizonyítása

Értékelés →

találatok súlyossági besorolása

Jelentés elkészítése

részletes vizsgálati dokumentáció

Webalkalmazás sérülékenységvizsgálat

Webalkalmazás sérülékenység vizsgálat

webszerver – webalkalmazás – weboldal biztonsági értékelés

Milyen ellenőrzéseket tartalmaz a sérülékenységvizsgálat?

Tesztelési módszertan: OWASP Web Security Testing Guide (WSTG)

A teljes ellenőrzési lista megtekinthető itt: PentestH WSTG

Információgyűjtés

Konfiguráció tesztelése

Identitáskezelés tesztelése

Autentikáció tesztelése

Autorizáció tesztelése

Munkamenet kezelés tesztelése

Input érvényesítés tesztelése

Hibakezelés tesztelése

Gyenge titkosítás tesztelése

Logikai hibák tesztelése

Kliens oldal tesztelése

OWASP TOP 10 webalkalmazás biztonsági kockázat

Forrás: OWASP Top Ten

A általunk nyújtott sérülékenységvizsgálatnak kiemelt része az OWASP Top 10-es kockázatok lefedése. Ezzel együtt, alkalmazott módszertanunk minden esetben túlmutat ezen és az adott rendszer összes sérülékenységét hivatott feltárni. Kivétel ez alól, ha ügyfelünk kifejezetten az OWASP Top 10-re szeretne tesztelni és erre fókuszálva kéri a vizsgálat elvégzését.

A1: Hibás hozzáférés-szabályozás
Lásd a blogban: Hozzáférés-szabályozási hiba kihasználása

A2: Gyenge titkosítás

A3: Injektálási támadások

A4: Tervezési hibák

A5: Hibás konfiguráció

A6: Sebezhető és elavult összetevők

A7: Azonosítási és hitelesítési hibák

A8: Szoftver- és adatintegritási hibák

A9: Naplózás és felügyeleti hibák

A10: Szerveroldali kéréshamisítás (SSRF)