N E R E U S

Oldal betöltése

Penetration Testing — Nereus Lab
Offenzív biztonság

Találjuk meg a rést
mielőtt más megtalálja

Strukturált, mélységi biztonsági tesztelés valós támadói szemszögből — definiált hatókörben, részletes riporttal és remediation támogatással.

Ingyenes konzultáció Folyamat megtekintése
Web app testing Belső hálózat API testing Cloud infrastruktúra Külső perimeter
Findings összefoglaló — pentest riport
SQL Injection — /api/users endpoint
Kritikus
Broken Auth — admin panel
Magas
Exposed debug endpoint
Közepes
Outdated TLS configuration
Közepes
93%
A szervezetek többségénél legalább egy kritikus sérülékenység található
287
nap az átlagos idő egy incidens felismeréséig globálisan
100%
Manuális tesztelés — nem csak automatizált scanner
CVSS
v3.1 alapú priorizálás minden findings esetén
A szolgáltatásról

Valós támadói szemszög,
kontrollált körülmények között

A penetration testing során etikus hackerek — ugyanazokat az eszközöket és módszereket alkalmazva, mint egy valódi támadó — feltárják a rendszeredben rejlő sérülékenységeket, mielőtt azt egy rosszindulatú szereplő tenné meg.

  • Definiált hatókör és írásos engedélyező dokumentáció minden engagement előtt
  • Manuális tesztelés automatizált scannerek helyett — a valódi kockázatok feltárásáért
  • Bizonyított exploitálás — nemcsak listázzuk, hanem demonstráljuk a kockázatot
  • Remediation tanácsadás és utókövetési konzultáció a riport mellett
Pentest vs. Vulnerability Assessment
Pentest VA Scan
MódszerManuális + automatizáltCsak automatizált
MélységValódi exploitálásCsak azonosítás
False positiveMinimálisMagas
Üzleti kockázat BemutatvaNem értékelt
RiportTechnikai + vezetőiLista
Tesztelési területek

Milyen rendszereket tesztelünk?

A penetration testing különböző területeken alkalmazható — a hatókört mindig az ügyfél igényei és a rendszerek típusa alapján határozzuk meg.

Web alkalmazás
OWASP Top 10 alapú tesztelés — SQL injection, XSS, SSRF, auth bypass, business logic hibák feltárása.
API tesztelés
REST és GraphQL API-ok biztonsági vizsgálata — autentikáció, authorizáció, rate limiting, adatexponálás.
Külső perimeter
Interneten elérhető rendszerek, subdomainek, nyitott portok és expozált szolgáltatások vizsgálata.
Belső hálózat
Belső infrastruktúra, Active Directory, lateral movement lehetőségek és privilege escalation vizsgálata.
Cloud infrastruktúra
AWS, Azure, GCP konfigurációs hibák, IAM jogosultságok, storage bucket-ek és egyéb cloud specifikus kockázatok.
Mobil alkalmazás
iOS és Android alkalmazások biztonsági vizsgálata — adattárolás, kommunikáció, reverse engineering.
Deliverables

Mit kapsz az engagement végén?

Minden pentest engagement azonos minőségű dokumentációval zárul — két különböző célközönségnek szánva.

Technikai riport
Fejlesztőknek és IT csapatnak szóló részletes dokumentum — reprodukciós lépésekkel, proof-of-concept kódokkal és CVSS-alapú prioritással.
Executive összefoglaló
Technikai mélység nélküli, üzleti nyelvű összefoglaló a C-szint és board számára — kockázati szintekkel és üzleti hatással.
Debriefing call
Személyes vagy online megbeszélés a riport átadása után — kérdések, prioritások és következő lépések közös megvitatása.
Remediation tanácsadás
Konkrét javítási javaslatok minden egyes finding-re — prioritizálva, hogy a legkritikusabb problémák kerüljenek előre.
Mikor érdemes

Mikor van szükség penetration testre?

Nem kell várnod egy incidensig — ezek a szituációk jelzik, hogy itt az ideje egy tesztnek.

01
Új rendszer élesítés előtt
Mielőtt egy új alkalmazás vagy infrastruktúra élesbe kerül, érdemes megbizonyosodni arról, hogy nem tartalmaz kritikus hibákat.
02
Compliance követelmény
ISO 27001, NIS2, PCI-DSS és más szabályozások rendszeres penetration testet írnak elő. Riportunk megfelel az audit elvárásoknak.
03
Nagyobb fejlesztés után
Ha jelentős változás történt a rendszerben — új funkció, architektúra-váltás, felvásárlás — érdemes újra tesztelni.
04
Ügyféligény vagy tender
Egyre több ügyfél és tender igényli a rendszeres biztonsági tesztelés igazolását — a riport ezt dokumentáltan bizonyítja.
05
Éves biztonsági audit
Rendszeres, éves penetration teszttel folyamatosan mérhető a biztonsági szint és az előző audit óta bevezetett javítások hatékonysága.
06
Incidens után
Ha már volt biztonsági incidens, a pentest segít megérteni hogyan jutott be a támadó, és hogy a javítások valóban lezárták-e a rést.
Penetration Testing — Folyamat
Kattints egy lépésre a részletekért
Összehasonlítás

Penetration Testing vs. Red Teaming

Mindkét szolgáltatás valós támadói módszereket alkalmaz — de más céllal, más hatókörrel és más mélységben.

Szempontok
Pentest
Penetration Testing
Definiált hatókörű, strukturált sérülékenység-feltárás
Red Team
Red Teaming
Valósághű, szabad hatókörű adversary szimuláció
Cél Sérülékenységek feltárása és priorizálása Detektálási és reagálási képesség mérése
Hatókör Előre definiáltMeghatározott rendszerek, IP-k, URL-ek Szabad, teljes szervezetNincs előre meghatározott célpont-lista
Időtartam 1–2 hét 4–12 hét
Módszer Technikai sérülékenységek manuális + automatizált feltárása Több vektoros támadás: social engineering, fizikai behatolás, lateral movement
IT csapat tudása Általában tud a tesztről Általában nem tud a tesztről (csak a megbízók)
Eredmény Technikai finding lista CVSS priorizálással Teljes attack path dokumentáció + detection gap analízis
Riport típusa Technikai riport + executive összefoglaló Attack narrative + executive briefing + purple team opció
Kinek ajánlott Compliance igény, élesítés előtt, fejlesztési fázis Érett biztonsági program, dedikált SOC vagy IT sec csapat
Belépési pont Kiindulási pont megadott Kiindulási pontot a red team maga keresi meg
Utókövetés Remediation tanácsadás Purple team workshop opció a Blue Teammel
Penetration Testing — ha...
  • Compliance audithoz (ISO 27001, NIS2, PCI-DSS) riport kell
  • Új rendszer vagy alkalmazás élesítés előtt áll
  • Konkrét rendszer sérülékenységeit szeretnéd feltárni
  • Nincs még dedikált IT biztonsági csapatod
  • Rövidebb határidőn belül kell eredmény
Red Teaming — ha...
  • Már van dedikált SOC vagy IT biztonsági csapatod
  • Tudni akarod, hogy a csapatod észreveszi-e a támadást
  • Érett biztonsági programot szeretnél tovább fejleszteni
  • Valósághű APT-szintű fenyegetésekkel szeretnél felkészülni
  • A detektálási és reagálási képességet is mérni akarod

KÉRDÉSEK

GYIK

Mennyi ideig tart egy pentest?

Egy átlagos web app pentest 5–10 munkanap, hálózati pentest 1–2 hét. A pontos időtartam a hatókör méretétől és komplexitásától függ — részletes becslést az igényfelmérés után adunk.

Megfelel a riport a NIS2 audithoz?

Igen — riportjaink megfelelnek a leggyakoribb compliance keretek elvárásainak. Igény esetén külön compliance-fókuszú összefoglalót is készítünk az audithoz.

Mi a különbség a pentest és a vulnerability assessment között?

A vulnerability assessment automatizált eszközökkel fut és ismert sérülékenységeket listáz. A pentest manuális — exploitáljuk és láncolják a hibákat, bizonyítva a valódi kockázatot.

Mikor kapom meg a riportot?

A tesztelés befejezése után 5 munkanapon belül elküldjük a végleges riportot. Kritikus, azonnali beavatkozást igénylő sérülékenységről még az tesztelés alatt értesítünk.

Elérhető remote és on-site tesztelés is?

Igen. Web app és API tesztelés teljesen remote végezhető. Belső hálózati tesztelésnél on-site jelenlét szükséges lehet — ezt egyedileg egyeztetjük.

Milyen típusú pentestek közül lehet választani?

Black-box (nincs előzetes ismeret), grey-box (részleges ismeret) és white-box (teljes hozzáféréssel). Minden megközelítésnek más az előnye — a konzultáción segítünk kiválasztani a megfelelőt.

Valósághű phishing szimulációk, melyek segítenek felmérni a kibertudatosságot a cégen belül.

Kapcsolat

+36 30 6357451

info@nereuslab.hu