A sérülékenység- és behatólásvizsgálatok olyan jellegű feladatokat foglalnak magukba, amelyek konkrét hálózatok vagy alkalmazások biztonsági kitettségét vizsgálják. Ezen tesztek széles skálán mozognak a vizsgálatok mélységétől és a megközelítési módtól függően.
Az ebbe a kategóriába tartozó vizsgálatok:
- Internet felőli sérülékenységvizsgálat;
- Belső hálózatról végzett vizsgálat;
- Webes alkalmazások vizsgálata;
- Kódelemzés
- Vastagkliens és környezetének vizsgálata
- Mobil alkalmazás vizsgálata
- Automatizált sérülékenységvizsgálat
- Konfigurációelemzés
INTERNET FELŐLI VIZSGÁLAT
Az internet felőli vizsgálat célja a publikusan elérhető szolgáltatások tesztelése. Ehhez automata eszközök is használatra kerülnek, azonban a vizsgálatok zöme manuálisan kerül végrehajtásra. A vizsgálat célja a lehető legtöbb hiba azonosítása, ehhez a vizsgálatok szolgáltatás, illetve technológia specifikusan kerülnek lefolytatásra.
A vizsgálat során szakembereink passzív, illetve aktív felderítési módszerekkel térképezik fel a célpontokon publikusan elérhető szolgáltatásokat.
A passzív módszerek többnyire nyíltforrású információszerzést (OSINT) jelentenek, melyek magukba foglalják többek között DNS rekordok alapján történő subdomainek felderítését, publikusan elérhető felhasználónevek begyűjtését, keresőmotorok segítségével fellelhető, verziókezelő és kódmegosztó platformokon (GitHub, Pastebin stb.) elérhető, illetve data breach-ekben szereplő információ vizsgálatát.
A vizsgálat aktív szakasza manuális és automatikus módszerekkel zajlik. Ezen módszerek magukba foglalják -többek között-, subdomain-ek enumerálását, a webszervereken elérhető szolgáltatások felderítését, azok technológiájának meghatározását és publikus sérülékenységeiknek azonosítását, valamint a passzív és aktív szakaszban szerzet információk összessége alapján elvégzendő vizsgálatot.
BELSŐ HÁLÓZATRÓL VÉGZETT VIZSGÁLAT
A belső hálózatról végzett vizsgálat során a kancellar.hu szakemberei hozzáférést kapnak az ügyfél publikusan nem elérhető hálózatához, amelyen végrehajtanak egy sor automatizált és manuális tesztet.
Ezen tesztek végezhetők felhasználói fiók átadása nélkül (black-box), valamint annak átadásával (gray-box). Lehetőség van továbbá ezen vizsgálatokat adathalász (phishing) kampánnyal is összekötni, amelynek kizárólagos célja felhasználói hozzáférés szerzése a hálózathoz.
Az automatizált tesztek elsődleges célja az információgyűjtés, valamint a manuális fázis megkönnyítése és gyorsítása. Többek között, de nem kizárólagosan, ebben a szakaszban kerülnek felderítésre a hálózaton elérhető host-ok (szerverek, munkaállomások, nyomtatók stb.), az ezeken fellelhető szolgáltatások, azok verziói és általános, valamint ismert sérülékenységei.
A manuális vizsgálatok során tesztelésre kerül a hálózati átjárhatóság, a fájlszervereken található érzékeny információk hozzáférhetősége, adott host-okon futó szolgáltatások alapos elemzése, azok publikus sérülékenységeinek, valamint azonosított hálózati konfigurációs hibák kihasználása, közbeékelődéses támadás (MitM) megkísérlése, a domain alapvető szolgáltatásait érintő hibák felderítése, valamint egyéb, a hálózathoz és az ott fellelhető szolgáltatásokhoz kapcsolódó vizsgálatok.
Ezen tesztek célja az érzékeny adatokhoz való hozzáférés, illetve a hálózaton elérhető lehető legmagasabb jogosultság megszerzése.
WEBES ALKALMAZÁSOK VIZSGÁLATA
A webes alkalmazások vizsgálata OWASP módszertan szerint zajlik, amely során az automata és manuális módszerek segítségével térképezzük fel a célponton található sérülékenységek minél szélesebb skáláját.
A webes vizsgálatok történhetnek felhasználói fiók átadása nélkül (black-box), vagy fiók átadásával (gray-box), továbbá lehetőség van kóddal támogatott vizsgálat elvégzésére is. A kóddal támogatott vizsgálat lényege, hogy a manuális tesztelés minőségét növelje, valamint gyorsítsa azt, ugyanis a sérülékenység ténye és annak kihasználási módja egyértelműen megállapíthatóvá válik. Fontos megjegyezni, hogy a kóddal támogatott vizsgálat nem azonos a kódelemzéssel!
Felhasználói fiók nélküli vizsgálatok esetén megvizsgáljuk az alkalmazás publikusan elérhető pontjait. Ezek a tesztek tartalmazzák, de nem limitálódnak a webszerveren elérhető szolgáltatások felderítésére, alkalmazott technológiák és azok verzióinak megállapítására, az ezekhez tartozó ismert sérülékenységek feltárására és kihasználására, valamint authentikációs, konfigurációs és input validációs hibák azonosítására, illetve az elérhető funkciók és az ezekkel való esetleges visszaélések tesztelésére. Amennyiben egy alkalmazás rendelkezik publikus regisztrációval, úgy minden publikusan regisztrált felhasználóval elérhető funkció a vizsgálat részét képzi.
Felhasználói fiók birtokában végzett tesztek esetén mindig több jogosultsági szint kerül vizsgálatra. Ezen vizsgálatok mindig felhasználói fiók nélküli szemlélettel indulnak, így tartalmazzák az összes ott is alkalmazott tesztet, azonban kiegészülnek, többek között teljeskörűbb authentikáció, authorizáció, munkamenet-kezelés, és a vizsgált szerepkörrel elérhető összes funkció tesztelésével.
Az automatával végzett tesztek elsődleges lényege az audit gyorsítása és segítése, ugyanis a vizsgálat zöme manuális módszerekkel zajlik.
KÓDELEMZÉS
A kódelemzések során szakembereink számára átadásra kerül a vizsgált alkalmazás forráskódja.
A kód statikus módszerekkel, automata segítségével és manuálisan is kielemzésre kerül mely folyamatok során többek között az alkalmazás tervezése, felépítése, logikai implementációja és annak működése kerül középpontba.
Ezen főbb elemek részét képzik specifikus nyelvi, illetve alkalmazás technológiai vizsgálatok, melyek többek között kiterjednek a kritikus függvények által kezelt paraméterekre, az authentikációs és authorizációs folyamatokra, kriptográfiai műveletekre, az alkalmazott dependenciákra, a hálózati kommunikációra, a felhasználó által kontrollált adatokra, valamint egyéb, a szakértők által szükségesnek ítélt komponensekre.
Fontos megjegyezni, hogy a kódelemzés típusú vizsgálatok biztonsági szempontból vizsgálják az alkalmazást, így funkcionális tesztelés nem történik.
VASTAGKLIENS ÉS KÖRNYEZETÉNEK VIZSGÁLATA
A vastagkliens (thick client) vizsgálatok célja a legtöbb, az alkalmazásban fellelhető sérülékenységek azonosítása.
A vizsgálat olyan támadó szemszögéből zajlik, amely felhasználói szintű hozzáféréssel rendelkezik az alkalmazáshoz és annak működéséhez szükséges környezetéhez, azonban külön figyelem fordul olyan sérülékenységek felderítésére is, amelyek lehetővé teszik érzékeny adatok kompromittálását felhasználói hozzáférés nélkül.
Ezen tesztek során fokozott figyelem fordul a hálózati kommunikáció vizsgálatára, mely során a szakértők megkísérlik feltárni az alkalmazás és a szerver közötti kommunikációs, valamint titkosítási hibákat.
Magának a kliensnek a vizsgálata többek között kiterjed az authentikációs és authorizációs hibák feltárására, a megfelelő inputvalidációra, amely vizsgálatok magukba foglalják, de nem limitálódnak SQL injection, brute-force és egyéb szükségesnek ítélt támadások elleni védelem tesztelésre. A kliens oldalról elérhető futtatható, valamint konfigurációs állományok is auditálásra kerülnek.
MOBILALKALMAZÁS VIZSGÁLATA
A mobilalkalmazások vizsgálata OWASP mobil módszertan alapján zajlik, amely magába foglal dinamikus és statikus analízist, továbbá törekszik az alkalmazásban fellelhető sérülékenységek minél szélesebb skálájának felfedésére.
A mobilalkalmazások statikus vizsgálata többek között kiterjed az alkalmazás által eltárolt kulcsok és azonosítók vizsgálatára, az eltárolt URL-ek kinyerésére, valamint feltárásra kerülnek a használt könyvtárak sérülékenységei és a nem biztonságos metódus hívások is.
A dinamikus analízis az alkalmazás sikeres futtatását követően kitér a program működésének elemzésére, az eltárolt adatok jellegére és helyére, az alkalmazás által folytatott kommunikációra, valamint az implementált kliens oldali megkötések és korlátozások elemzésére.
A vizsgálatok során tesztelésre kerül a hálózati kommunikáció és a backend szerver is, beleértve azonosított API-ok részletes vizsgálatát is.
AUTOMATIZÁLT SÉRÜLÉKENYSÉGVIZSGÁLAT
Az automatizált sérülékenységvizsgálat a Tenable gyártó eszközén (Nessus) alapuló, a kancellar.hu saját fejlesztésű elemeivel kiegészített vizsgálat, általunk előre definiált javaslatokkal.
A vizsgálat kiterjed a megadott célpontokon futó szolgáltatások és ezek ismert sérülékenységeinek azonosítására, tartalmaz webalkalmazás specifikus elemeket, valamint egyéb olyan teszteket, amelyek alkalmassá teszik az MNB 8/2020 ajánlás által megkövetelt ügyfélkiszolgáló rendszerek sérülékenységvizsgálatának elvégzésére.
KONFIGURÁCIÓELEMZÉS
A konfigurációelemzés magába foglalja a meghatározott szolgáltatásokat érintő informatikai háttérrendszerek és azok kulcsfontosságú környezeti elemeinek konfigurációs beállításainak vizsgálatát annak érdekében, hogy felderítse azok esetleges implementációs és konfigurációs, biztonsági szempontból releváns hibáit. A konfigurációelemzéses vizsgálati módszer lehetőséget biztosít arra, hogy például az internet irányából végrehajtott sérülékenységvizsgálat során fel nem tárt sérülékenységek, illetve implementációs hibák is beazonosításra kerüljenek. A vizsgálat további célja annak megállapítása, hogy az alkalmazott informatikai eszközök konfigurációja és üzemeltetése során figyelembe veszik-e a CIS és gyártói ajánlásokat, illetve az úgynevezett iparági jó gyakorlatot.
Ezen vizsgálatsorozat során privilegizált felhasználóként futtatunk biztonsági teszteket, begyűjtünk minden, a vizsgálat szempontjából fontos konfigurációs és szoftververzió információt, majd ezeket az adatokat összefüggéseikben is elemezzük.
PHISHING
FIZIKAI BEJUTÁS
MEGSZEMÉLYESÍTÉSES VIZSGÁLAT
FERTŐZÖTT ÁLLOMÁNY BEKÜLDÉSE
FIZIKAI BEJÁRÁS ÉS KUKABÚVÁRKODÁS