Tietoturvatestaus

Onko järjestelmässäsi hakkerin mentäviä aukkoja? Otamme asiasta selvää ja neuvomme miten ne tilkitään.

Testaamme järjestelmäsi tietoturvan ja toimitamme sinulle selkeän raportin tietoturvan nykytilasta sekä mahdollisista toimenpiteistä joilla tilannetta kannattaa parantaa. Toimitamme tekemämme havainnot priorisoituna listana, josta sinun on helppo poimia korjattaviksi ne, jotka parantavat järjestelmäsi tietoturvaa eniten.

Valtteri Lehtinen tekemässä verkon penetraatiotestausta

Tarjoamamme testauspalvelut

Tarjoamme tietoturvan auditointia ja hyökkäyksen simulointia.

Tietoturvan auditointi / penetraatiotestaus

Tietoturvan auditoinnilla saat selville yksittäisen järjestelmän tai järjestelmäkokonaisuuden teknisen tietoturvan tason ja saat ohjeet tilanteen parantamiseksi. Auditoinnissa hyökkäämme järjestelmäänne vastaan järjestelmällisesti yrittäen löytää kaikki tietoturva-ongelmat.

Toimeksiannon päätteeksi saat raportin teknisistä toimista joilla järjestelmän tietoturvaa voidaan parantaa. Raportista selviää tarkasti mm. testauksen laajuus, käytetyt tekniikat sekä työmäärä.

Esimerkki 1: Black-box testaus

Testaamme järjestelmän ulkopuolisen hyökkääjän silmin ilman pääsyä järjestelmän lähdekoodiin tai muuhun tietoon infrastruktuurista. Hyökkäämme suoritettavaan järjestelmään ulkopuolelta. Tällaista testausta kutsutaan myös nimellä Dynamic application security testing (DAST).

Esimerkki 2: White-box testaus

Testaamme järjestelmän sellaisen hyökkääjän silmin, jolla on pääsy järjestelmän lähdekoodiin ja jolla on tietoa infrastruktuurista jossa järjestelmää suoritetaan.

Sen lisäksi, että hyökkäämme järjestelmään ulkopuolelta (DAST), katselmoimme ohjelman lähdekoodin ja mahdolliset konfiguraatiot tietoturva-aukkojen varalta. Lähdekoodiin ja konfiguraatioihin keskittyvää testausta kutsutaan myös nimellä Static application security testing (SAST).

Hyökkäyksen simulointi

Hyökkäyksen simuloinnilla voit selvittää miten organisaatiosi tai hankkimasi palvelut reagoivat hyökkääjään ja kuinka voit parantaa suojautumistasi hyökkääjää vastaan. Simuloinnissa hyökkäämme järjestelmäänne vastaan kuten aito hyökkääjä ja yritämme saada jonkin tehtävän tehtyä. Hyökkäyksen aikana seuraamme miten hyökkäykseen reagoidaan organisaatiossasi.

Toimeksiannon päätteeksi saat raportin sekä teknisistä että hallinnollisista toimista, joilla yrityksesi tietoturvaa voidaan parantaa. Raportista selviää tarkasti miten simuloitu hyökkääjä eteni tehtävän suorittamiseksi.

Esimerkki 1: Red teaming

Yritämme, haluaminne rajoituksin ja alkutiedoin, suorittaa antamanne tehtävän. Simuloimme esimerkiksi tilannetta, jossa yrityksenne työasema on varastettu. Yritämme murtautua tätä työasemaa käyttäen yrityksenne tietojärjestelmiin esimerkiksi varastaaksemme kaikkien käyttäjienne salasanatiivisteet.

Esimerkki 2: Tietojen kalastelu

Yritämme kalastella henkilöstöltänne määrittelemiänne yrityksellenne arkaluontoisia tietoja sähköpostitse, puhelimitse ja/tai muilla keinoin.

Mitä kannattaa testata?

Mikä valvottaa sinua öisin? Tietoturvassa on kyse riskien hallinnasta. Heikentynyt tietoturva aiheuttaa riskejä yritykselle ja tietoturvatestauksen avulla pyritään pienentämään näitä riskejä.

Tietoturvariskien suuruuteen vaikuttaa järjestelmän tärkeys yritykselle, järjestelmän sisältämän tiedon arkaluontoisuus sekä tietoturvan taso. Tietoturvatestauksella voidaan vaikuttaa tietoturvan tasoon.

Yrityksen kannattaa aloittaa riskien hallinta suurimmista ja siirtyä sitten pienempiin. Täten yrityksen ydinliiketoiminnan kannalta välttämättömät järjestelmät sekä ne jotka sisältävät arkaluontoista tietoa kannattaa testauttaa ensin.

Järjestelmät ovat kuitenkin harvoin täysin toisistaan erillisiä, jolloin jokaisen järjestelmän tietoturva vaikuttaa muiden järjestelmien tietoturvaan. Sen vuoksi testaukseen kannattaa myöhemmin sisällyttää myös muita järjestelmiä.

Me avustamme mielellämme mahdollisten riskikohtien tunnistamisessa ja testattavien järjestelmien priorisoinnissa.

Kuinka laaja testaus kannattaa tehdä?

Tarkempi testaus löytää suuremmalla todennäköisyydellä järjestelmän heikot kohdat, mutta vie enemmän aikaa ja tulee näin kalliimmaksi.

Kaikkia järjestelmiä ei useinkaan kannata käydä kauttaaltaan läpi. Parempi lähestymistapa on tehdä tarkka testaus liiketoiminnan kannalta tärkeimpiin tai arkaluontoista tietoa sisältäviin järjestelmiin tai järjestelmän osiin ja muissa kohdissa tehdä pintapuolisempi testaus. Näin yritys saa hallittua tietoturvaan liittyvät riskit kustannustehokkaasti.

Me avustamme mielellämme testauksen laajuuden suunnittelussa.

Esimerkki 1: Verkkokauppa

Yrityksen pääliiketoiminta on pyörittää verkkokauppaa. Tällöin verkkokauppa on yrityksen liiketoiminnan kannalta erittäin tärkeä järjestelmä. Jos järjestelmän toiminta keskeytyy tietoturvaongelman takia, yrityksen liiketoiminta keskeytyy täysin. Verkkokauppa kannattaa täten testata tarkasti läpi. Tarkka testaus verkkokaupan kohdalla voisi toteutuksesta riippuen tarkoittaa web-sovelluksen white-box testausta ja palvelimen haavoittuvuusskannausta.

Esimerkki 2: Yrityksen nettisivu

Yritys käyttää Wordpress-nettisivuaan käyntikorttinaan uusien asiakkaiden tavoittamiseen. Yrityksellä on vakaa asiakaskanta, eikä nettisivu ole sille elintärkeä. Nettisivun murto voisi tyrehdyttää uusien asiakkaiden hankinnan ja olla yritykselle noloa, mutta liiketoimintaa se ei välittömästi uhkaa. Tällöin hieman pintapuolisempi testaus, esimerkiksi web-sovelluksen black-box testaus ja palvelimen haavoittuvuusskannaus, voisi olla sopiva.

Esimerkki 3: Info-taulu

Yrityksellä on tiloissaan info-tauluja joilla viestitään työntekijöille tulevista tapahtumista. Infotaulut eivät ole liiketoiminnan kannalta ollenkaan tärkeitä. Suurin vahinko jonka info-taulujen tietoturvan pettäminen aiheuttaa on, että yrityksen työntekijät eivät ole ajan tasalla tapahtumista. Info-taulujen tietoturvan testaukseksi riittää näin pintapuolinen testaus, esimerkiksi haavoittuvuusskannaus osana muiden yrityksen laitteiden skannausta.

Milloin tietoturvatestaus kannattaa tehdä?

Kattavampi tietoturvatestaus kannattaa suorittaa ennen kohdejärjestelmän käyttöönottoa, tai kun järjestelmään on tullut perustavanlaatuisia muutoksia.

Jos järjestelmä on testattu aikaisemmin ja testauksesta on tehty selkeä raportti, testaus voidaan suorittaa vain muuttuneeseen osaan järjestelmää. Tämä säästää resursseja. Hyviä syitä testata järjestelmä uudelleen ovat esimerkiksi suuri määrä pienempiä muutoksia tai järjestelmän siirto uudelle alustalle.

Me avustamme mielellämme testauksien ajankohtien määrittelyssä.

Miten toimeksianto etenee?

Tietoturvatestauksen toimeksiannot alkavat määrittelypalaverilla, jossa käymme kanssanne läpi testattavan järjestelmän ja mahdolliset rajat testaukselle.

Määrittelypalaverissa määrätään puoleltanne yhteyshenkilö, jonka kautta testaaja voi tarvittaessa saada lisää tietoa järjestelmästä. Sovimme myös materiaalista jonka tarvitsemme testausta varten.

Määrittelypalaverin jälkeen aloitamme testauksen.

Jos testauksessa ilmenee kriittisiä havaintoja jotka ovat liiketoiminnallenne välittömäksi uhaksi, olemme heti yhteydessä teihin ja opastamme löydösten korjauksessa.

Testauksen valmistuttua toimitamme teille testausraportin. Saatte ensin tutustua raporttiin rauhassa itse.

Toimeksiannon lopettaa raportointipalaveri, jossa käymme testausraportin kanssane läpi.

Kauanko toimeksianto kestää?

Toimeksiannon kesto riippuu testattavan järjetelmän koosta ja monimutkaisuudesta sekä testauksen laajuudesta.

Nopeimmillaan saat testausraportin 5 päivän kuluttua aloituksesta. Tämä on tyypillinen kesto esimerkiksi pienen web-sovelluksen black-box testaukselle tai langattoman vierasverkon salauksen ja eriytysten testaukselle.

Suurempaan testauskokonaisuuteen, esimerkiksi yrityksen koko julkisen hyökkäyspinta-alan testaukseen, tulee varata enemmän aikaa. Suurimmissa tapauksissa toimeksiannon kesto voi olla jopa kuukausia.

Mitä tietoturvatestauksen jälkeen?

Tietoturvatestauksen jälkeen sinulla on käsissäsi raportti josta selviää järjestelmäsi tietoturvan taso, löydetyt tietoturva-aukot sekä priorisoidut korjaussuositukset. Raportin pohjalta voit arvioida kannattaako sinun pienentää riskejä parantamalla testatun järjestelmän tietoturvan tasoa, vai kannattaako sinun kenties keskittyä muihin järjestelmiin.

Jos päädyt tekemään korjauksia järjestelmään, korjausten tehokkuus kannattaa vielä varmistaa testaamalla järjestelmä korjausten osalta uudestaan. Korjausten tehokkuuden varmennus on nopeaa tehdä selkeän raportin perusteella.

Ota yhteyttä

Antamiasi tietoja käytetään ainoastaan yhteydenottopyyntöösi vastaamiseen ja ne poistetaan pysyvästi kun asiasi on käsitelty. Lisätietoja saat Tietosuojaselosteestamme.