Informatikai biztonság

Informatikai biztonság

Információbiztonsági felelős

Biztonságtudatossági tesztek

Információbiztonsági felelős

Biztonságtudatossági tesztek
Sérülékenységvizsgálat
Penetrációs teszt - TLPT

Logelemzés

SOC

Hardening

Audit

Audit

Informatikai rendszer audit
Kiberbiztonsági tv audit és felkészítés
DORA (MNB) audit és felkészítés

Kockázatelemzés

NIS2 felkészítés

Adatvédelem

Adatvédelem

Adatvédelmi tisztviselő szolgáltatás

GDPR megfelelés és felkészítés

Ransomware védelem

Komplex IT szolgáltatás

Informatikai szabályzatok

Informatikai szabályzatok

IT biztonsági szabályzatok

Informatikai biztonsági incidenskezelés

Üzletfolytonossági tervezés (BCP & BCM)

Informatikai karasztrófa terv

Penetrációs teszt: A pentest valós képet ad a kihasználható kockázatokról

pentest

A vállalati IT-biztonság ma már nem merül ki abban, hogy van tűzfal, vírusvédelem és rendszeres frissítés. Ezek alapvető elemek, de önmagukban nem adnak választ arra a kérdésre, amely valójában a legfontosabb: egy valódi támadó képes lenne-e bejutni a rendszerbe, hozzáférni érzékeny adatokhoz, vagy üzleti kárt okozni?

Erre a kérdésre ad választ a penetrációs teszt, más néven pentest.

A penetrációs teszt az egyik leghasznosabb gyakorlati biztonsági vizsgálat, mert nem elméleti szinten beszél a kockázatokról, hanem azt mutatja meg, hogy egy támadás a gyakorlatban hogyan nézne ki, és milyen gyenge pontokat lehetne valóban kihasználni. Éppen ezért a pentest különösen fontos azoknak a vállalatoknak, amelyek nem pusztán hibákat akarnak listázni, hanem valós képet szeretnének kapni az IT-környezetük támadhatóságáról.

Mi az a penetrációs teszt?

A penetrációs teszt egy engedélyezett, ellenőrzött biztonsági vizsgálat, amely során szakértők egy támadó szemszögéből elemzik, hogy egy rendszer, alkalmazás, hálózat vagy egyéb IT-környezet mennyire ellenálló a kibertámadásokkal szemben.

A penetrációs teszt lényege, hogy nemcsak azonosítja a gyenge pontokat, hanem azt is ellenőrzi, hogy azok ténylegesen kihasználhatók-e. Ez a különbség teszi a pentestet különösen értékessé.

Másként fogalmazva: a pentest nemcsak azt kérdezi, hogy van-e hiba, hanem azt is, hogy mit tud kezdeni vele egy támadó.

Ez azért kulcsfontosságú, mert egy technikai gyengeség önmagában még nem mindig jelent kritikus üzleti kockázatot. Ugyanakkor több kisebb hibából összeállhat egy olyan támadási lánc, amely már súlyos következményekkel járhat. A penetrációs teszt pontosan ezt segít feltárni.

Mit jelent mindez a gyakorlatban?

A gyakorlatban a penetrációs teszt egy kontrollált támadási szimuláció. A szakértők előre egyeztetett keretek között, jogosultan és dokumentált módon vizsgálják a célrendszert. A cél nem a működés megzavarása vagy kár okozása, hanem annak megértése, hogy egy külső vagy belső támadó milyen módon tudna hozzáférést szerezni, jogosultságot emelni, adatot elérni vagy további rendszerek felé tovább haladni.

A penetrációs teszt jelentése tehát jóval több, mint egy technikai szkennelés. Egy olyan vizsgálat, amely valós támadási logika mentén mutatja meg a rendszer tényleges ellenálló képességét.

Ez a megközelítés azért különösen hasznos, mert a valódi támadók sem egy előre gyártott hibajegyzék alapján dolgoznak. Ők azt keresik, hogy:

  • hol van belépési pont,
  • milyen gyengeség használható ki,
  • hogyan lehet további hozzáférést szerezni,
  • milyen üzleti értékű célpontok érhetők el.

A penetrációs teszt pontosan ezt a gondolkodásmódot modellezi.

Miért fontos a penetrációs teszt?

A penetrációs teszt azért fontos, mert segít különbséget tenni az elméleti és a valós kockázatok között.

Sok szervezet rendelkezik sérülékenységlistákkal, szkennelési eredményekkel és különféle biztonsági riportokkal. Ezek hasznosak, de gyakran nem derül ki belőlük egyértelműen:

  • mely hibák kritikusak valójában,
  • melyeket lehet kihasználni,
  • milyen támadási útvonalak léteznek,
  • milyen üzleti hatása lenne egy sikeres kompromittálásnak.

A pentest itt ad valódi értéket. Segít megérteni, hogy a technikai hibák közül melyek jelentenek azonnali vagy kiemelt kockázatot, és hol kell sürgősen beavatkozni.

Vállalati szempontból ez azért lényeges, mert a biztonsági erőforrások mindig korlátozottak. Nem lehet mindent egyszerre javítani azonos prioritással. A penetrációs teszt segít abban, hogy a szervezet ne általános “biztonsági teendőlisták” alapján működjön, hanem a valóban kihasználható gyengeségekre koncentráljon.

A penetrációs teszt jelentősége ma már nemcsak biztonsági, hanem megfelelőségi szempontból is kiemelt. Számos szervezet számára a pentest nem pusztán ajánlott gyakorlat, hanem olyan ellenőrzési vagy bizonyítási eszköz, amely audit, felügyeleti vizsgálat vagy jogszabályi megfelelés során is releváns lehet. Különösen igaz ez a pénzügyi szektorban, valamint a NIS2-hatály alá tartozó vagy kritikus digitális szolgáltatásokat nyújtó szervezetek esetében, ahol a kockázatalapú biztonsági tesztelés egyre inkább elvárt működési elem.

Penetrációs teszt és sérülékenységvizsgálat: mi a különbség?

A két fogalmat sokan összekeverik, pedig a sérülékenységvizsgálat és a penetrációs teszt nem ugyanaz.

A sérülékenységvizsgálat elsődleges célja a biztonsági hibák és gyenge pontok azonosítása. Ilyenek lehetnek például:

  • elavult szoftververziók,
  • hibás konfigurációk,
  • ismert sebezhetőségek,
  • nem megfelelő jogosultságkezelés,
  • fejlesztési vagy implementációs hibák.

Ez rendkívül fontos kiindulópont, mert segít átlátni a rendszer általános biztonsági állapotát. A sérülékenységvizsgálat azonban jellemzően nem arra fókuszál, hogy ezek a hibák a gyakorlatban hogyan használhatók ki.

A penetrációs teszt ezzel szemben azt vizsgálja, hogy az azonosított gyengeségek közül melyek alkalmasak tényleges támadásra. A cél itt már nem pusztán a hibák listázása, hanem annak demonstrálása, hogy egy támadó:

  • be tud-e jutni,
  • hozzáfér-e érzékeny adatokhoz,
  • tud-e jogosultságot emelni,
  • tud-e további rendszerekre terjeszkedni.

Röviden: a sérülékenységvizsgálat azt mutatja meg, hol lehet probléma, a penetrációs teszt pedig azt, mi használható ki a valóságban.

Milyen területeken végezhető penetrációs teszt?

A penetrációs teszt többféle technológiai környezetre is alkalmazható. Az, hogy pontosan milyen típusú vizsgálatra van szükség, attól függ, milyen rendszereket használ a szervezet, milyen üzleti folyamatokat támogat az IT-környezet, és hol a legnagyobb a támadási kitettség.

A leggyakoribb pentest típusok a következők:

Külső penetrációs teszt

A külső pentest az internet felől elérhető rendszereket vizsgálja. Ide tartozhatnak például:

  • weboldalak,
  • ügyfélportálok,
  • távoli hozzáférési megoldások,
  • publikus szerverek,
  • e-mailhez vagy VPN-hez kapcsolódó infrastruktúraelemek.

Ez a vizsgálat azt mutatja meg, hogy egy külső támadó milyen lehetőségekkel rendelkezhet a vállalat peremén.

Belső penetrációs teszt

A belső penetrációs teszt azt modellezi, hogy mi történik akkor, ha a támadó már valamilyen módon bekerült a belső környezetbe. Ez lehet például egy kompromittált munkaállomás, egy belső hozzáférés, vagy akár egy rosszindulatú belső szereplő szcenáriója.

Ez a típusú vizsgálat különösen hasznos annak megértésére, hogy:

  • mennyire szegmentált a hálózat,
  • milyen könnyű további rendszerekhez hozzáférni,
  • mennyire korlátozzák a jogosultságok az oldalirányú mozgást.

Webalkalmazás pentest

A webalkalmazások ma az egyik leggyakoribb támadási felületet jelentik. Egy webes pentest feltárhatja többek között:

  • autentikációs hibákat,
  • jogosultsági problémákat,
  • inputkezelési hibákat,
  • adatkezelési hiányosságokat,
  • üzleti logikai sérülékenységeket.

Ez különösen fontos olyan cégeknél, ahol ügyféladatok, üzleti tranzakciók vagy belső folyamatok webes felületeken keresztül érhetők el.

API penetrációs teszt

Az API-k sok esetben háttérben működnek, mégis kritikus támadási felületet jelentenek. Egy API pentest során ellenőrizhető például:

  • a hitelesítés és autorizáció megfelelősége,
  • a végpontok védettsége,
  • az adatszivárgási lehetőségek,
  • a hibakezelés biztonsága,
  • a túlzott jogosultságok és adatlekérdezések kockázata.

Vezeték nélküli hálózatok vizsgálata

A Wi-Fi környezetek hibás konfigurációi, gyenge hitelesítési beállításai vagy elégtelen szegmentációja szintén támadási lehetőséget jelenthetnek. A penetrációs teszt itt is valós képet tud adni arról, hogy mennyire védett a vezeték nélküli infrastruktúra.

Hogyan zajlik egy penetrációs teszt?

Bár a pontos folyamat szolgáltatónként és projekttől függően eltérhet, egy professzionális pentest jellemzően több szakaszból áll.

  1. Célok és keretek meghatározása

Az első lépés mindig annak tisztázása, hogy:

  • mi a vizsgálat célja,
  • mely rendszerek tartoznak a scope-ba,
  • milyen módszertan alkalmazható,
  • milyen időablakban történjen a tesztelés,
  • milyen kockázatcsökkentő szabályok legyenek érvényben.

Ez azért kritikus, mert a penetrációs teszt csak világosan meghatározott keretek között végezhető biztonságosan és hatékonyan.

Ebben a szakaszban azt is szükséges tisztázni, hogy a vizsgálat üzleti, biztonsági vagy megfelelőségi célból történik-e. Más elvárásoknak kell megfelelni például egy élesítés előtti biztonsági teszt, egy DORA- vagy MNB-megfelelőséghez kapcsolódó vizsgálat, illetve egy NIS2-hatály alá tartozó szervezet audit-támogató tesztje esetén. A scope, a dokumentáció mélysége, a bizonyítás módja és a javítási prioritások is eltérhetnek attól függően, hogy a pentest belső kockázatcsökkentést, ügyfélbizalmi igazolást vagy szabályozói megfelelést támogat.

  1. Információgyűjtés és feltérképezés

Ebben a szakaszban a szakértők feltérképezik a támadási felületet. Ennek része lehet az elérhető szolgáltatások, alkalmazások, belépési pontok, technológiák és lehetséges gyenge pontok azonosítása.

  1. Elemzés és támadási lehetőségek azonosítása

Itt történik annak vizsgálata, hogy a feltárt hibák közül melyek lehetnek alkalmasak tényleges kihasználásra. Nem minden hiba egyformán veszélyes, ezért a pentest egyik legfontosabb értéke éppen az, hogy elválasztja a valóban kockázatos elemeket az alacsony jelentőségűektől.

  1. Kontrollált kihasználás

A penetrációs teszt egyik sajátossága, hogy a szakértők bizonyos sérülékenységeket ellenőrzött keretek között ki is próbálnak. A cél itt nem a károkozás, hanem a bizonyítás: valóban működik-e a támadási útvonal, és milyen következményekkel járhat.

  1. Dokumentálás és riportálás

A teszt végén a megrendelő egy riportot kap, amely nemcsak a hibákat sorolja fel, hanem értelmezi is azokat. Egy jó riport megmutatja:

  • a kihasználható sérülékenységeket,
  • a támadási láncokat,
  • az üzleti hatásokat,
  • a javítási javaslatokat,
  • a prioritásokat.

Mitől értékes egy penetrációs teszt riport?

Sokszor nem is maga a teszt, hanem a riport minősége dönti el, hogy mennyit profitál belőle a szervezet.

Egy jó penetrációs teszt riport:

  • világosan megfogalmazza a kockázatokat,
  • elkülöníti a kritikus és a csekélyebb veszélyt jelentő problémákat,
  • technikai és vezetői szempontból is értelmezhető,
  • konkrét javítási javaslatokat ad,
  • támogatja a döntéshozatalt és a priorizálást.

Ez kiemelten fontos, mert a biztonsági csapat, az IT-üzemeltetés, a fejlesztők és a vezetők nem feltétlenül ugyanabból a nézőpontból olvassák ugyanazt az anyagot. Egy jól strukturált pentest riport mindegyik célcsoport számára használható információt biztosít.

Mikor érdemes penetrációs tesztet végezni?

A penetrációs tesztet nem érdemes egyszeri, kipipálandó feladatként kezelni. Akkor ad valódi értéket, ha tudatos biztonsági működés részeként jelenik meg, tervezetten, rendszeresen végrehajtásra kerül.

Különösen indokolt lehet pentestet végezni:

  • új rendszer, alkalmazás vagy szolgáltatás bevezetése előtt,
  • jelentős fejlesztés vagy infrastruktúraváltozás után,
  • audit vagy megfelelőségi elvárás teljesítéséhez,
  • ügyféloldali vagy partneri elvárások miatt,
  • akkor, ha a szervezet valós képet akar kapni a kihasználható kockázatairól.

Sok esetben egy új alkalmazás funkcionalitása üzletileg már kész, de biztonsági szempontból még nem validált. Ilyenkor a penetrációs teszt különösen hasznos, mert még éles kockázat nélkül megmutatja a problémákat.

A penetrációs teszt időzítése nemcsak technológiai, hanem megfelelőségi kérdés is. A gyakorlatban pentest elvégzése különösen indokolt, illetve sok esetben elvárható:

  • új internet felől elérhető rendszer vagy üzletileg kritikus alkalmazás élesítése előtt,
  • jelentős fejlesztés, verzióváltás, infrastruktúra- vagy architektúraváltozás után,
  • külső kapcsolat, partneri integráció vagy új API bevezetése előtt,
  • felhőmigráció, hálózati átalakítás, identitáskezelési változás vagy jogosultsági modell módosítása után,
  • biztonsági incidens, incidensközeli esemény vagy súlyos sérülékenység feltárása után,
  • rendszeres, kockázatalapú biztonsági felülvizsgálat részeként,
  • audit, ügyfél- vagy hatósági megfelelőségi vizsgálat előtt.

A „mikor kell penetrációs tesztet végezni” kérdésre ezért a legpontosabb válasz az, hogy a penetrációs tesztet nem egyszeri ellenőrzésként, hanem az érdemi technológiai változásokhoz, a kockázati szinthez és a vonatkozó szabályozási környezethez igazítva kell tervezni. Minél kritikusabb egy rendszer üzleti, adatvédelmi vagy rendelkezésre állási szempontból, annál kevésbé indokolt pusztán sérülékenységszkennelésre hagyatkozni.

Mikor kötelező vagy erősen indokolt a pentest jogszabályi vagy felügyeleti oldalról?

A pentest jogi státusza nem minden szervezetnél azonos. Van, ahol kifejezett tesztelési kötelezettségből következik, máshol a kockázatalapú védelem, az auditálhatóság vagy a felügyeleti elvárások miatt válik de facto szükségessé.

A pénzügyi szektorban az (EU) 2022/2554 rendelet, vagyis a DORA alapján a pénzügyi szervezeteknek digitális működési reziliencia-tesztelési programot kell kialakítaniuk, fenntartaniuk és rendszeresen felülvizsgálniuk. A rendelet 2025. január 17. óta alkalmazandó, és bizonyos kijelölt szervezetek esetében legalább háromévente threat-led penetration testinget is előír. A TLPT részletszabályait a 2025/1190/EU felhatalmazáson alapuló rendelet pontosítja.

Magyarországon a NIS2-höz kapcsolódó szabályozási környezetet elsősorban a 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, valamint a 418/2024. (XII. 23.) Korm. rendelet és annak módosításai adják. Ezek kockázatmenedzsmentet, védelmi intézkedéseket, auditot, felülvizsgálatot és bizonyos esetekben kiberbiztonsági gyakorlatokat írnak elő. A pentest itt nem minden szervezetnél jelenik meg név szerint, önálló kötelezettségként, de a kockázatalapú biztonsági tesztelés és a megfelelőség igazolása miatt sok esetben indokolt vagy ténylegesen szükséges kontrollá válik.

A NIS2 uniós végrehajtási szabályai kifejezetten nevesítik a biztonsági tesztek között a penetrációs tesztet, a sérülékenységvizsgálatot, a statikus és dinamikus alkalmazásbiztonsági vizsgálatokat, a konfigurációs teszteket és a biztonsági auditot. Ezeket a szervezetek a rendszer bevezetésekor, jelentős fejlesztések vagy módosítások után, illetve karbantartást követően is alkalmazhatják.

A magyar pénzügyi szektorban emellett az MNB 1/2025. (I.13.) számú ajánlása egyértelműen elvárja, hogy a megváltoztatott informatikai rendszerek, rendszerelemek és paraméterek éles üzembe állítása előtt dokumentált, elvárható gondosságú tesztelés történjen, beleértve az informatikai biztonsági teszteket is. Ez nem minden esetben azonos a klasszikus külső pentesttel, de erős felügyeleti alapot ad arra, hogy érdemi változásoknál a pentest vagy más mély biztonsági vizsgálat be legyen tervezve.

Kiknek érdemes pentestben gondolkodniuk?

A penetrációs teszt nemcsak nagyvállalatoknak releváns. Minden olyan szervezet számára hasznos lehet, ahol:

  • üzletileg kritikus rendszerek működnek,
  • ügyféladatokat vagy érzékeny információkat kezelnek,
  • webes vagy hálózati szolgáltatások érhetők el,
  • fontos a rendelkezésre állás és az üzletmenet folytonossága,
  • az IT-biztonság reputációs és üzleti kérdés is.

Különösen indokolt a pentest olyan szervezeteknél, amelyek pénzügyi szolgáltatást nyújtanak, felügyeleti ellenőrzés alatt állnak, NIS2-hatály alá tartoznak, vagy olyan digitális szolgáltatást működtetnek, amelynek kiesése, kompromittálása vagy manipulációja jelentős üzleti, jogi vagy reputációs hatással járhat. Ilyen környezetben a penetrációs teszt már nem pusztán technikai opció, hanem a vezetői felelősség és a bizonyítható kockázatkezelés része.

Milyen üzleti előnye van a penetrációs tesztnek?

A pentestet sokan hajlamosak tisztán technikai szolgáltatásként kezelni, pedig valójában komoly üzleti értéke is van.

Egy jól elvégzett penetrációs teszt:

  • csökkentheti az incidensek valószínűségét,
  • segíthet elkerülni adatvédelmi és üzletmeneti károkat,
  • támogatja a fejlesztési és üzemeltetési prioritások meghatározását,
  • növeli a biztonsági döntések megalapozottságát,
  • javíthatja az ügyfél- és partnerbizalmat.

A vezetői oldal számára a legnagyobb érték általában nem maga a technikai részletesség, hanem az, hogy a pentest megmutatja: hol van valódi kockázat és mit kell vele kezdeni.

Összegezve

A penetrációs teszt azért kiemelten fontos a vállalati IT-biztonságban, mert nemcsak a hibákat tárja fel, hanem azt is megmutatja, hogy egy támadó mit tudna ezekkel kezdeni a valóságban.

Míg a sérülékenységvizsgálat segít azonosítani a gyenge pontokat, a pentest feltárja, hogy ezek közül melyek jelentenek tényleges, kihasználható kockázatot. Ez pedig sokkal közelebb viszi a szervezetet ahhoz, hogy ne csak megfelelőségi szinten foglalkozzon a biztonsággal, hanem valóban csökkentse a támadási felületét.

A penetrációs teszt tehát nem pusztán technikai vizsgálat, hanem olyan eszköz, amely segít üzletileg is értelmezhető módon megérteni a kiberbiztonsági kockázatokat, és támogatja a célzott, hatékony védekezést.

A jelenlegi szabályozási környezetben a penetrációs teszt szerepe tovább erősödött: a pénzügyi szektorban a DORA és az MNB elvárások, a szélesebb szervezeti körben pedig a NIS2-höz kapcsolódó magyar kiberbiztonsági szabályok is abba az irányba mutatnak, hogy a biztonsági intézkedések hatékonyságát rendszeres, dokumentált és a kockázatokhoz igazított teszteléssel kell alátámasztani.

Vegye fel még ma a kapcsolatot szakértőinkkel! 

További tartalmaink

A felhő nem biztonsági mentés!

A felhő nem biztonsági mentés!

A Google Drive, OneDrive vagy Microsoft 365 kényelmes, de nem helyettesíti a valódi biztonsági mentést. Egy hiba vagy támadás esetén az adatok könnyen elveszhetnek.