Sérülékenységvizsgálat

A sérülékenységvizsgálatok során a klasszikus etikus hackelésnél bővebb, átfogóbb, az általános technológiai rendszerértékelés során is alkalmazott módszertant használunk, amely a pillanatfelvételszerű értékelésen túli biztonsági szempontokat is vizsgálja, de kevesebb dokumentációs követelményt ró a megbízóra, mint a hagyományos rendszerértékelés. A vizsgálat által nyújtott garanciák azonban sokkal bővebbek, mint a hagyományos etikus hackelés által nyújtottak.

A sérülékenységvizsgálat során több különböző megközelítés is van, amelyeket önállóan, vagy akár kombinált formában is alkalmazhatunk. A fekete doboz (blackbox) vizsgálat a külső, információkkal nem rendelkező támadásokat szimulálja. A szürke doboz (greybox) vizsgálat az általános belső felhasználók felől, korlátozott információkkal rendelkező támadásokat szimulálja. Míg a fehér doboz (whitebox) vizsgálat a teljes körű információkkal rendelkező, privilegizált belső felhasználók támadásai lehetőségeit elemzi.

Módszereit tekintve alkalmazunk automatizált vizsgálatokat célszoftverek felhasználásával, egyedi, manuálisan összeállított lekérdezésekkel végzett vizsgálatokat, ezek lehetnek általános felhasználói jogosultsággal, vagy adminisztratív jogosultságokkal végzett vizsgálatok a rendszer különböző belépési pontjairól.

A sérülékenységvizsgálatok során nemzetközi módszertanokat, ajánlásokat és legjobb gyakorlatokat követjük. Munkánk fontos alapját képezi az OWASP Top 10-nek megfelelő vizsgálat, a PTES (Penetration Testing Execution Standard) és az EC-Council Certified Ethical Hacker képzés módszertana.

A sérülékenységvizsgálatot végző munkatársaink mindegyike rendelkezik az EC-Council Certified Ethical Hacker vagy az EC-Council Certified Security Analyst minősítésével, emellett pedig fontos tagjai a rendszerértékelési projekteknek is, így széles körű információtechnikai biztonsági ismeretekkel rendelkeznek.