Műszaki sebezhetőség-vizsgálatok

Kockázatkezelés módszertanunk sérülékenység vizsgálattal is kiegészíthető, de ez a vizsgálat önmagában is Ügyfeleink rendelkezésére áll. A szakember szemével nézve egy jól beállított és jól működő rendszer is tartalmaz biztonsági hibákat, amiket a felhasználó nem érzékel, nem vesz észre. Ezeknek oka részben a gyári beállítások változatlan alkalmazása - ezek később sebezhető pontjai lesznek a rendszernek. Szintén a felhasználó számára "kényelmes" beállítások növelik a sebezhetőséget. Egy adott rendszerben feltárt sebezhetőségeket maguk a forgalmazók is nyilvántartják és kezelik, rendszeresen javításokat tesznek közzé, vagy közlik a biztonsági probléma kezelésének módját. Jelenlegi alkalmazott módszertanunk 4 fő elemből áll: Szabályzat és dokumentáció elemzés, rendszer szoftveres ellenőrzése, konfiguráció analízis és kérdőíves interjú. A sebezhetőség vizsgálat során felmérésre kerül a kijelölt rendszer a fenti szempontok szerint. Így nemcsak a nyitott port-okat és a rosszul konfigurált operációs rendszereket tárjuk fel, hanem az egyes informatikai rendszerek olyan hiányosságait is, amelyeken keresztül véletlen, vagy szándékos károkozás történhet. A vizsgálat történhet hálózat felől (LAN, WAN, Wireless), vagy belső konfigurációs beállítás elemzéssel, különféle rendszeraudit programokkal. Ez a vizsgálat kiegészül egy tételes ellenőrzéssel is, amelyet egy, a PROTAN Zrt. szakemberei által kidolgozott kérdéssor segítségével kerül elvégzésre, ezekre a kérdésekre a rendszergazda válaszol. Így kiderülhetnek olyan sebezhetőségek is, amiket az automatikus rendszerrel nem lehet felderíteni. Része még a vizsgálatnak az egyes eszközök konfigurációjának tételes vizsgálata is, amit csak megfelelő kompetenciával rendelkező szakember tud elvégezni, mert ennek analízise nem automatizálható. A négy, egymást kiegészítő vizsgálat és a minden részletre kiterjedő helyszíni audit biztosítja azt, hogy a vizsgált rendszerrel kapcsolatban később nem érheti kellemetlen meglepetés a felhasználót. A vizsgálati eredményekről írásos jelentést készítünk Megrendelő számára. A vizsgálat igény szerint további módszertani elemekkel bővíthető, ilyen például egy rendszer bevezetésekor/átvételekor végzett biztonsági audit megállapításai teljesülésének ellenőrzése. A kitűzött biztonsági szint elérésének érdekében egy adott szervezetnél szükséges számba venni minden informatikai rendszert és a műszaki sebezhetőség-vizsgálatokat ciklikusan alkalmazni. Ennek érdekében szükséges a cikluson belül végzendő vizsgálatok megtervezése a ciklus elején. Szükséges a belső folyamat kidolgozása a műszaki sebezhetőség-vizsgálatok eredményei szervezet által történő feldolgozásának előmozdítása érdekében, különös tekintettel arra a tényre, hogy a biztonsági szint fokozása vagy fenntartása pénzügyi erőforrásokat is igényelhet a szervezet részéről. Egy jól kidolgozott folyamat követése által biztosítható, hogy a pénzügyi vagy egyéb erőforrások a kellő mértékben, időben rendelkezésre álljanak, ezáltal pedig közép- vagy hosszútávon növelhető vagy szinten tartható a biztonsági szint.

Módszertan:

  • rendszer dokumentáció átnézése, analízis,
  • szoftveres sérülékenység-vizsgálat,
  • konfiguráció elemzés,
  • kérdőíves felmérés személyes interjú keretében,
  • beruházás során történt biztonsági auditokban előírtak teljesülése,
  • korábbi vizsgálatok eredményeinek figyelembe vétele,
  • a feltárt sebezhetőségek kezelésére vonatkozó tanácsadás, költségbecslés,
  • műszaki sebezhetőség-vizsgálatokra vonatkozó ciklikus tervek készítése,
  • műszaki sebezhetőség-vizsgálatok folyamatának kidolgozása.