Sérülékenység vizsgálat
A sérülékenység vizsgálat egy tevékenység, amely vagy folyamatosan – monitorozó jelleggel – vagy pedig időszakosan (jellemzően havonta) kerül elvégzésre előre egyeztetett és tervezett módon és időpontban.
A sérülékenység vizsgálat célja az, hogy az ismert technikai réseket, sérülékenységeket megtaláljuk még az előtt, hogy azokat a támadók találnák meg és használnák ki. Az infokommunikációs rendszerről különböző módon begyűjtött technikai adatok kiértékelésre kerülnek az ismert sérülékenységek azonosítása céljából.
A sérülékenységet vizsgáló szakember számos eszközt használhat az adatok összegyűjtésére és kiértékelésére. Ezek lehetnek automatizált eszközök, amelyeket helyileg, vagy felhőben futtathatnak; de lehetnek manuális módszerek is. A sérülékenység vizsgálat eredménye a sérülékenységek listája. A sérülékenység vizsgálat kimenete a sérülékenység menedzsment egyik legfontosabb bemenete.
Sérülékenység menedzsment
A sérülékenység menedzsment nem egy projekt, aminek kezdete és vége van.
A sérülékenység menedzsment egy szakértői támogató tevékenység, amely biztosítja, hogy a szervezet rendszerei folyamatos monitorozás és korrigálás alatt álljanak.
A folyamat célja, hogy a szervezet rendszereit folyamatosan a lehető legbiztonságosabban tartsa az állandóan változó körülmények ellenére. A sérülékenység menedzsment legfontosabb bemenete az ide vonatkozó publikációk követése és a sérülékenység vizsgálat eredményei.
A sérülékenység vizsgálat eredményei a sérülékenység menedzsment keretében a szervezeti viszonyokat is figyelembe véve priorizálásra és a szervezettel együtt működve kezelésre kerülnek.
Etikus hacking
Az etikus hacking egy olyan, előre(!) egyeztetett tevékenység, ahol a szakember nem elégszik meg a potenciális lehetőségek listázásával, hanem egy vagy több etikus hacker segítségével és szakértelmével megpróbál bejutni az informatikai rendszerbe és/vagy kibővíteni a meglévő jogosultságait. Ennek módját és a talált vagyonelemeket alaposan dokumentálja, hogy azok felhasználhatóak legyenek a hibák kijavítására.
Az etikus hackelés eredménye a sikeres bejutás vagy jogosultság kibővítés ténye és módja. Ezen dokumentáció szintén a sérülékenység menedzsment egy fontos bemenete.
Etikus hacking tevékenységet rendszeresen végző hatóság a Nemzeti Kibervédelmi Intézet.
A megállapításait saját hatáskörben történő elhárításra átadja az Egyetem Információbiztonsági Felelősének.
Az Informatikai Biztonsági Központ rendszeresen és ad-hoc végez belső sérülékenység vizsgálatot, aminek eredményéről tájékoztatja az Egyetem informatikai infrastruktúra üzemeltetését végző szervezeti egységeket.