Bevezetés

A vizsgálat célja minél több feltárható és kihasználható sérülékenység megtalálása, dokumentálása, kockázatcsökkentő intézkedések megfogalmazása, valamint annak bemutatása, hogy egy rosszindulatú felhasználó milyen károkat okozhat. A szolgáltatás kiterjed: kiértékelésre, javítási javaslatok készítésére, esetleges későbbi remediációs vizsgálatra visszaméréssel.

Szolgáltatásunk

Felmérjük, teszteljük és megerősítjük rendszerei biztonságát a legmagasabb iparági standardoknak megfelelően. Szolgáltatásunk egyedi igényekre szabott; az OWASP Top 10, valamint a MITRE ATT&CK keretrendszer legjobb gyakorlatait egyaránt beépíti. A Black-box, White-box és Grey-box tesztelési módszerekkel sebezhetőségeket találunk, mielőtt a rosszindulatú támadók kihasználnák azokat.

1. Tesztelési Fázisok és Módszertan

1. Előkészítés és Scope meghatározás
• Követelmények áttekintése: rendszerek, alkalmazások, hálózatok listázása
• Tesztelési típus kiválasztása (Black/White/Grey-box)
• Engedélyek és jogi keretek tisztázása

2. Felderítés (Reconnaissance)
• Publikus információgyűjtés: WHOIS, DNS, weboldalak, social engineering
• Port- és szolgáltatásfelderítés: Nmap, masscan
• Webalkalmazás analízis: céloldalak, API-k, aldomain-ek

3. Elemzés és gyenge pontok azonosítása
• OWASP Top 10 kritikus hibáinak feltérképezése
• MITRE ATT&CK technikák mappingje: releváns technikák kiválasztása
• Forráskód elemzés (White-box esetén): statikus és dinamikus vizsgálatok

4. Kihasználás (Exploitation)
• Automatizált és kézi exploitok futtatása (Metasploit, Burp Suite)
• Egyéni exploit fejlesztés sebezhetőségekhez
• Jogosultságemelés (privilege escalation) tesztelése

5. Oldalirányú mozgás és fenntartás (Post-Exploitation)
• Lateral movement technikák: pass-the-hash, Kerberos powerview
• Adatkinyerés: adatbázis dump, fájlok vizsgálata
• Perzisztencia kialakítása: scheduled tasks, startup items

6. Jelentéskészítés és javítás
• Részletes, cselekvésorientált riport: hiba leírása, reproduce lépések, kockázatelemzés
• Javítási javaslatok: konfigurációs beállítások, kódpatch-ek, érzékeny adatok védelme
• Utóteszt (Retest) a javítások érvényesítéséhez

2. OWASP Top 10 Alapú Webalkalmazás-Teszt

Az OWASP Top 10 a webalkalmazások leggyakoribb és legveszélyesebb biztonsági kockázatait sorolja fel. Mi mélyreható, kézi tesztekkel és automatizált szkenneléssel kombinálva az alábbiakat vizsgáljuk:

3. MITRE ATT&CK Keretrendszer Alkalmazása

A MITRE ATT&CK világszerte elfogadott keretrendszer a támadási technikák osztályozására. A leggyakrabban szimulált taktikai lépések:

• Initial Access: Phishing, Exploit Public-Facing Application
• Execution: PowerShell, CLI parancsok
• Persistence: Service Registry Permissions, Scheduled Task
• Privilege Escalation: Sudo, UAC bypass, DLL hijacking
• Defense Evasion: Obfuscation, Timestomping
• Credential Access: Brute Force, Credential Dumping
• Discovery: Network Scan, System Info Discovery
• Lateral Movement: Pass-the-Hash, Remote Services
• Collection: Data from Local System, Screen Capture
• Exfiltration: Exfil over C2, Automated Exfiltration
• Impact: Ransomware, System Shutdown

4. Tesztelési Modellsémák

Black-box tesztelés
• Modellezés: külső támadók viselkedése
• Információ: csak publikus interfészek
• Előny: valós környezet szimulálása
• Kihívás: hosszabb fuzzing és trial–error

White-box tesztelés
• Modellezés: mély kód- és config elemzés
• Információ: forráskód, belső dokumentáció
• Előny: gyors, teljes lefedettség
• Kihívás: előzetes hozzáférés szükséges

Grey-box tesztelés
• Modellezés: korlátozott jogosultságú belső támadás
• Információ: részleges hozzáférés (pl. tesztfiók)
• Előny: egyensúly realitás és mélység között
• Kihívás: információhiány befolyásolhatja az eredményt