Keresés:
Adatmentés, adatvisszaállítás, IT biztonság, minőségbiztosítás | KÜRT

Legális (etikus) hackelés

Az informatikai rendszer gyengeségeinek, fenyegetettségeinek vizsgálata, melynek célja, hogy megelőzzük a bizalmas és nélkülözhetetlen vállalati adatok elvesztését, ellopását, illetve megakadályozzuk az ezekhez való illegális hozzáférést.

Mi van akkor, ha tinédzserek kényük-kedvük szerint tudják átszabni vállalata honlapját? Vagy ha a konkurencia akkor sétál be a céges adatbázisaiba, amikor csak akar? Vagy a bizalmas belső információk rendszeresen feltűnnek a folyosói pletykákban? Esetleg, ha a milliós értékeket előállító gyártósort vezérlő számítógépet a parkolóból egy egyszerû Wifi kapcsolattal át lehet programozni? Mi van akkor, ha Ön mindezekről ráadásul mit sem sejt?

Rossz még belegondolni is, pedig csak néhányat villantottunk fel abból a sok száz esettanulmányból, amelyekkel sérülékenység-vizsgálat projektjeink során találkoztunk. Az ilyen és hasonló esetek közös ismérve megbízóink döbbent tekintete, amikor eléjük tárjuk a vizsgálatok eredményeit, amelyek szinte mindig messze alulmúlják legrosszabb várakozásaikat. A sérülékenység-vizsgálat kíméletlenül leleplezi az informatikai rendszerekben tárva-nyitva hagyott biztonsági réseket, amelyeken egy nem túl elszánt támadó is kényelmesen besétálhat, hogy aztán kénye-kedve szerint garázdálkodjon a bizalmas vállalati adatainkkal.

Az informatikai rendszereket sokféle veszedelem fenyegeti. Hogy egy adott cég esetében ezek közül melyik milyen mértékű kockázatot jelent, az nagyban függ az informatikai rendszer biztonsági állapotától, sérülékenységétől. Ennek kiderítése, folyamatos figyelése minden szervezet számára létfontosságú, függetlenül attól, hogy pénzintézetről, termelővállalatról vagy államigazgatási intézményről van szó.

Miért létfontosságú a rendszeres sérülékenység-vizsgálat?

Mert ez adja a kiinduló információt a kockázatok kezeléséhez, a védekezéshez. Rámutat a rendszer gyenge pontjaira, a biztonsági résekre, amelyeken keresztül rosszindulatú támadók könnyedén okozhatnak akár katasztrofális mértékű károkat. A technológiai, szervezeti, strukturális változások, az emberi hanyagság, a szükséges rendszer frissítések bármelyikének elmaradása, mind megváltoztatják a biztonság szintjét és folyamatosan eredményeznek új kockázatokat és fenyegetéseket. Ezek feltárása, megnyugtató kezelése csak a rendszeresen elvégzett sérülékenység-vizsgálattal lehetséges.

Már maga az esetenként sokkoló eredményeket hozó vizsgálat illetve az erről készült jelentés is felbecsülhetetlen segítséget jelent a cég menedzsmentje számára, önmagában mégis kevés lenne a boldogsághoz. A feltárt biztonsági réseket minél előbb meg kell szüntetni, és a szükséges lépések meghatározása, idő- és erőforrásbeli ütemezése ugyancsak feladhatja a leckét az illetékeseknek.

Ezért a KÜRT által elvégzett vizsgálatok eredményei alapján intézkedési javaslatcsomag készül, amely fontosságuk szerint priorizálva tartalmazza a hibák és biztonsági rések felszámolása érdekében végrehajtandó teendőket.

Mit is takar pontosan a sérülékenység-vizsgálat kifejezés?

A védekezés biztonsága, a sebezhetőségek, a készültségi szint fenntartása, mind-mind olyan fogalmak, amelyek a harcászati gyakorlatban voltak használatosak, és innen kerültek át a mindennapi alkalmazásba.

A készültségi szint fenntartásának egyik legmeggyőzőbb, mérhető része a hadgyakorlat, ahol a védekezést és a támadást „jórészt” előre meghatározott körülmények között hajtják végre. A „jórészt” itt bizonyos mértékű moderálást jelent, azaz a bevetett támadó eszközök helyéről, idejéről és nagyságrendjéről a védekezőknek a semminél több információja van.

A KÜRT alapos gyakorlati tapasztalattal rendelkező szakemberei képesek előállítani e „hadgyakorlati” körülményeket az informatikai rendszerek vizsgálatához. Szaktudásukat a legjelentősebb multinacionális cégeknél a megrendelők legnagyobb megelégedésére elvégzett, nagyszámú projektben kamatoztatták és tökéletesítették.

A vizsgálatok során a legmesszebbmenőkig biztosítjuk, hogy az informatikai rendszer ne károsodjon, illetve az aktuális biztonsági és rendelkezésre állási szintek ne csökkenjenek. Minden vizsgálatról írásbeli jegyzőkönyvet vezetünk. Vizsgálatainkba bevonjuk az informatikai dolgozók általános informatikai kultúrájának felmérését, valamint azt is, hogy az alkalmazott informatikai biztonsági elôírások mennyire fedik le a behatolás elleni védekezés területeit.

Az állandóan változó vállalati illetve technológiai környezet miatt e „hadgyakorlat” rendszeres végrehajtása jelenthet egyedüli biztosítékot a védelmi rendszer naprakészségére, a védelmi szint folyamatos fenntartására.

A KÜRT Biztonsági Intelligencia Központja által végzett sérülékenység-vizsgálat az alábbi résztevékenységek önállóan vagy együtt történő elvégzéséből áll:

  • Külső, Internet felőli vizsgálat
  • Belső, hálózati vizsgálat
  • On-line webes alkalmazások sérülékenység-vizsgálata
  • Social engineering

Oldal tetejére

Nyomtatható verzió