Regisztráció és bejelentkezés

Sérülékenység-azonosítás: Új Szemléletek és Fejlesztési Lehetőségek a Kibervédelemben

Az online tér fejlődésével és fontosságának növekedésével egyre nagyobb problémát jelent az adatokhoz való illetéktelen hozzáférés és a rendszerek illegális módon történő megkerülése. A szoftverbiztonsági incidensek nagy százalékát azok a támadók teszik ki, akik kihasználják a már ismert sebezhetőségeket [1].

A kiberbiztonság területén több fronton is védekeznek a szervezetek. A cégek sérülékenység-vizsgálókat alkalmaznak, akik legálisan végzik el ugyanazon tevékenységeket, melyeket egy hacker csinálna [2], majd ennek eredményéről egy riport keretein belül értesítik a megbízót.

Ezen tudás az Interneten elérhető eszközök és módszerek révén bármely felhasználó számára könnyen elsajátítható. Többféle módszertan is megtalálható a sérülékenységek felderítésére, melyek platformokonként különbözőek (webes felületen, mobilapplikációkon, IoT eszközökön,stb.). Dolgozatomban a weboldalak gyengeségeinek feltárására koncentrálok.

A sérülékenységek azonosítására számos hatékony metódus áll rendelkezésre, például az OWASP Web Security Testing Guide [3]. Ugyanakkor ezen technikák alkalmazása és szigorú betartása gyakran hosszadalmas, és a valóságban részlegesen vagy teljesen eltérnek azoktól [4]. Létrehozása értelmében egy új módszertan hasznos lenne a sérülékenység-vizsgálók számára, amely hatékonyabban kezelné az ilyen esetek lefolyását.

Az én megközelítésemben a cél az, hogy kidolgozzak egy eljárást, amely fejleszti a nagyvállalatok belső kibervédelmi műveleteit. Az eljárás fő irányvonala a kiemelkedően kritikus sebezhetőségek azonosítása, melyek kiemelt fontosságúak a sérülékenységvizsgálati folyamat során. Kutatásom közé tartozik ezeknek a gyengepontoknak az azonosítása és felderítésének lehetséges módjainak meghatározása, valamint megoldási javaslatok kifejlesztése. Jelenleg olyan módszertanon dolgozom, amely könnyen alkalmazható a specifikus munkakörnyezetben, ezzel növelve a munkavállalók tevékenységének hatékonyságát és termelékenységét.

Hivatkozások

[1] I. Sc Michael Felderer, Philipp Zech, Ruth Breu, Matthias Büchler, és Alexander Pretschner. „Model-Based Security Testing: A Taxonomy and Systematic Classification”, 2015. július. https://doi.org/10.1002/stvr.1580.

[2] PatriPatrick Engebretson. The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing. Syngress, 2011.

[3] „OWOWASP WSTG v4.2”, é. n. https://owasp.org/www-project-web-security-testing-guide/.

[4] Niek Jan van den Hout. „Standardised penetration testing? Examining the usefulness of current penetration testing methodologies.” Royal Holloway, University of London., 2019.

szerző

  • Ferencz Noémi
    Villamosmérnöki szak, alapképzés
    alapképzés (BA/BSc)

konzulens

  • Leiter Ákos
    Óraadó, Hálózati Rendszerek és Szolgáltatások Tanszék