Üdvözöljük a CypSec Csoportnál
Fejlett védelemre és intelligens megfigyelésre szakosodtunk, hogy védjük digitális eszközeit és üzleti műveleteit.
Minden olyan út feltárása, amelyet egy támadó megtehet, nem csupán a nyilvánvalókat.
Hamilton, Kanada – 2025. szeptember 20.
A hagyományos penetrációs tesztek csak azokat a támadási utakat tárnak fel, amelyeket az időkorlátos megbízások során véletlenül megtaláltak. Ez a hálózat támadási felületének nagy részét feltérképezetlenül és mennyiségileg nem meghatározottan hagyja. A SEAS és a CypSec determinisztikus megközelítése ezt a próba-szerencse modellt teljes támadási útvonal-felsorolásra cseréli formális hálózati gráfok segítségével.
A determinisztikus tesztelésben a hálózat csomópontok (gazdagépek, fiókok, szolgáltatások) és élek (bizalmi kapcsolatok, hitelesítő adatok, engedélyezett kommunikáció) gráfjaként jelenik meg. Minden élt átkelési feltételekkel látnak el, például szükséges jogosultságokkal vagy ismert kihasználásokkal. Ez a struktúra lehetővé teszi minden elméletileg érvényes út kiszámítását egy belépési ponttól a magas értékű célpontokig.
Ez a szegmentáció-alapú hálózati penetrációs tesztelési megközelítés megbízhatóan felfedi a rejtett útvonalakat, amelyeket a vörös csapatok gyakran kihagynak. A SEAS rendszeresen olyan többlépéses utakat azonosít, amelyek alacsony jogosultságú fiókokat, láncolt konfigurációs hibákat vagy elfeledett örökölt rendszereket érintenek, amelyeket a támadók teljes egészében kihasználhatnak a védelem megkerülésére. Ezek az utak általában láthatatlanok a heurisztikus pentest számára.
A determinisztikus modellezés szűkítőpontokat is feltár: olyan csomópontokat vagy hitelesítő adatokat, amelyek számos támadási úton megjelennek, és amelyek kompromittálása széles körű hozzáférést tenne lehetővé. Ezek kritikus kockázatcsökkentési pontok. Ezek megerősítése vagy elkülönítése gyakran egyszerre szüntet meg több tucat lehetséges támadási utat, sokkal nagyobb befolyást biztosítva, mint az izolált sebezhetőségek javítása.
„Nem tudsz megvédeni olyasmit, amit nem térképeztél fel. A determinisztikus támadási útvonal-gráfok megmutatják mindazt az utat, amelyet egy támadó megtehet, nem csupán azokat, amelyekre véletlenül bukkantunk” – mondta Frederick Roth, a CypSec vezető információbiztonsági tisztviselője.
Mivel a modell minden utat felsorol, nem csupán a próba során találtakat, teljes képet ad az oldalsó mozgás lehetőségéről. Ez kemény adatokkal szolgál a biztonsági építészek és kockázatkezelők számára a szegmentáció, a jogosultság-újratervezés és a monitorozási lefedettség prioritásainak meghatározásához maximális hatással.
A SEAS és a CypSec ezt az útvonal-modellezést beágyazza a CypSec kockázatkezelési platformjába, lehetővé téve a szervezetek számára, hogy minden utat hozzárendeljenek a kapcsolódó eszközökhöz, üzleti hatáshoz és meglévő vezérlőkhöz. Ez áthidalja a szakadékot a nyers pentest-megállapítások és a stratégiai kockázat-irányítás között.
Míg a hagyományos pentestek a „kompromittálódás bizonyítékánál” megállnak, a determinisztikus tesztelés a „minden lehetséges kompromittálódás bizonyítékáig” folytatódik. Ez a szervezetek számára védelmezhető alapot biztosít a lefedettség állítására és a fejlődés időbeli bemutatására.
A SEAS-ről: A SEAS Inc. kanadai kiberbiztonsági vállalat, amely determinisztikus penetrációs tesztelésre és összetett hálózati környezetek formális biztonsági modellezésére specializálódott. További információ: seas-inc.com.
A CypSec-ről: A CypSec kockázatkezelési, hozzáférés-irányítási és kiberbiztonsági megoldásokat szállít vállalati és kormányzati környezetekbe. Platformja integrálja a determinisztikus támadási útvonal-modellezést a strukturált kockázati döntések támogatása érdekében. További információ: cypsec.de.
Média kapcsolat: Daria Fediay, vezérigazgató, CypSec – daria.fediay@cypsec.de.
Fejlett védelemre és intelligens megfigyelésre szakosodtunk, hogy védjük digitális eszközeit és üzleti műveleteit.
