Sérülékenység-azonosítás: Új Szemléletek és Fejlesztési Lehetőségek a Kibervédelemben
Az online tér fejlődésével és fontosságának növekedésével egyre nagyobb problémát jelent az adatokhoz való illetéktelen hozzáférés és a rendszerek illegális módon történő megkerülése. A szoftverbiztonsági incidensek nagy százalékát azok a támadók teszik ki, akik kihasználják a már ismert sebezhetőségeket [1].
A kiberbiztonság területén több fronton is védekeznek a szervezetek. A cégek sérülékenység-vizsgálókat alkalmaznak, akik legálisan végzik el ugyanazon tevékenységeket, melyeket egy hacker csinálna [2], majd ennek eredményéről egy riport keretein belül értesítik a megbízót.
Ezen tudás az Interneten elérhető eszközök és módszerek révén bármely felhasználó számára könnyen elsajátítható. Többféle módszertan is megtalálható a sérülékenységek felderítésére, melyek platformokonként különbözőek (webes felületen, mobilapplikációkon, IoT eszközökön,stb.). Dolgozatomban a weboldalak gyengeségeinek feltárására koncentrálok.
A sérülékenységek azonosítására számos hatékony metódus áll rendelkezésre, például az OWASP Web Security Testing Guide [3]. Ugyanakkor ezen technikák alkalmazása és szigorú betartása gyakran hosszadalmas, és a valóságban részlegesen vagy teljesen eltérnek azoktól [4]. Létrehozása értelmében egy új módszertan hasznos lenne a sérülékenység-vizsgálók számára, amely hatékonyabban kezelné az ilyen esetek lefolyását.
Az én megközelítésemben a cél az, hogy kidolgozzak egy eljárást, amely fejleszti a nagyvállalatok belső kibervédelmi műveleteit. Az eljárás fő irányvonala a kiemelkedően kritikus sebezhetőségek azonosítása, melyek kiemelt fontosságúak a sérülékenységvizsgálati folyamat során. Kutatásom közé tartozik ezeknek a gyengepontoknak az azonosítása és felderítésének lehetséges módjainak meghatározása, valamint megoldási javaslatok kifejlesztése. Jelenleg olyan módszertanon dolgozom, amely könnyen alkalmazható a specifikus munkakörnyezetben, ezzel növelve a munkavállalók tevékenységének hatékonyságát és termelékenységét.
Hivatkozások
[1] I. Sc Michael Felderer, Philipp Zech, Ruth Breu, Matthias Büchler, és Alexander Pretschner. „Model-Based Security Testing: A Taxonomy and Systematic Classification”, 2015. július. https://doi.org/10.1002/stvr.1580.
[2] PatriPatrick Engebretson. The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing. Syngress, 2011.
[3] „OWOWASP WSTG v4.2”, é. n. https://owasp.org/www-project-web-security-testing-guide/.
[4] Niek Jan van den Hout. „Standardised penetration testing? Examining the usefulness of current penetration testing methodologies.” Royal Holloway, University of London., 2019.
szerző
-
Ferencz Noémi
Villamosmérnöki szak, alapképzés
alapképzés (BA/BSc)
konzulens
-
Leiter Ákos
Óraadó, Hálózati Rendszerek és Szolgáltatások Tanszék