Netum

Blogi: Tunnista ongelmakohdat ja ennaltaehkäise riskit – haavoittuvuustestaus paljastaa järjestelmän mahdolliset puutteet tietoturvassa

Järjestelmien monimutkaisuuden kasvaessa myös virhemarginaali ja tietoturva-aukkojen todennäköisyys kasvaa. Haavoittuvuustestauksen tarkoitus on tunnistaa näitä uhkakuvia ja löytää järjestelmän heikkouksia ennen kuin haitallinen käyttäjä löytää niitä. Haavoittuvuustestauksen jälkeen tiedät, mitä aukkoja järjestelmän tietoturvassa on, kuinka kriittisiä ne ovat ja mitä niiden korjaamiseksi tulisi tehdä.

Haavoittuvuustestauksen avulla varmistat muun muassa, että organisaatiosi toiminta on lainmukaista ja ehkäiset väärinkäytöksiä. Sen avulla suojelet myös organisaatiosi mainetta: mahdollisten sanktioiden lisäksi tuottamuksellisesta toiminnasta tai laiminlyönnistä johtuvan tietomurron paljastuminen on kova kolaus julkisuuskuvaan. Luottamuksen menettämisellä voi olla vahingolliset ja kalliit seuraukset.

Mietityttääkö tietoturva? Meiltä saat tukea! Tutustu palveluihimme täällä

 

Näin haavoittuvuustestaus etenee:

1.      Esitutkintavaiheessa syvennytään testattavan järjestelmän ominaisuuksiin

Esitutkintavaiheessa luodaan käsitys siitä, millaisesta järjestelmästä on kyse, valitaan sopivat työkalut ja varmistetaan, että testauksen kattavuus on riittävä. Testauksessa käytetään sekä automaattisia että manuaalisia työkaluja. Haavoittuvuustestaus on salapoliisityötä, jossa työkaluja yhdistellään kohteen mukaan.

2.      Testaus antaa kuvan järjestelmän nykytilasta

Haavoittuvuustestaus voidaan ja kannattaa yleensä tehdä kaikkiin tietoliikenneverkkoon kytköksissä oleviin sisäisiin ja ulkoisiin järjestelmiin. Testaus tehdään valmiiseen järjestelmään tai mielellään tuotekehityksen loppuvaiheessa ennen järjestelmän ottamista tuotantokäyttöön. Myös isojen muutosten, kuten versiopäivitysten yhteydessä tulisi tehdä testaus.

On tärkeä huomioida, että haavoittuvuustestaus kertoo aina järjestelmän sen hetkisen tilanteen: vaikka haavoittuvuuksia ei löytyisi, tilanne ei välttämättä ole sama puolen vuoden päästä. Uhkakuvat voivat muuttua, vaikka järjestelmässä ei tapahtuisi muutoksia.

3.      Testauksen jälkeen tulokset käydään yhdessä läpi

Testaus kestää muutamista päivistä muutamiin viikkoihin riippuen sen laajuudesta. Tulosten pohjalta laadittu loppuraportti käydään yhdessä läpi, jonka jälkeen tulosten käsittely ja mahdollisten korjausten tekeminen siirtyy osaksi asiakkaan sisäisiä prosesseja.

Asiakasymmärrys varmistaa, että saat haavoittuvuustestauksesta parhaan hyödyn

Tulosten analysointi on iso osa testausta. Jo testauksen alkuvaiheessa muodostamme käsityksen siitä, millaisessa ympäristössä asiakas toimii ja mitä riskejä siihen liittyy. Tätä tietoa hyödynnetään kaikissa testauksen vaiheissa: mitkä ovat juuri teille tärkeitä huomioita ja mitä vastaan pitää suojautua, mikä on riski suhteessa teihin? Asiakasymmärrys on ensisijaisen tärkeää, jotta tuloksista on aidosti hyötyä.

Tulkinnan pohjalta rakennetaan yhteenveto, jossa määritellään selkeästi riskit, niiden kriittisyystasot sekä suositellut toimenpiteet niiden korjaamiseksi. Kolmi- tai neliportainen riskiluokitus kertoo haavoittuvuuden kriittisyyden: matalan, keskitason ja korkean riskin lisäksi voidaan puhua myös kriittisen tason haavoittuvuudesta, jos kyseessä on erityisen suuri tietoturvapuute. Käsittelemme testauksen tulokset valmiiksi – raportin saadessaan ei tarvitse itse päätellä, mikä on relevanttia ja mikä ei.

Haavoittuvuustestaus paljastaa hyökkääjän näkökulman järjestelmiisi

Mitä laajempi järjestelmä, sitä todennäköisemmin se koskee laajempaa ihmisjoukkoa ja myös riski kasvaa, mutta pienetkin järjestelmäkokonaisuudet voivat sisältää haavoittuvia ratkaisuja. Haavoittuvuustestauksessa tunnistetaan tietoturvan perusperiaatteisiin eli luottamuksellisuuteen, eheyteen ja käytettävyyteen liittyviä riskejä ja ennaltaehkäistään niiden syntymistä. Järjestelmälle haitallinen käyttäjä voi löytyä sekä organisaation sisä- että ulkopuolelta. Kyseessä voi olla henkilö eli hakkeri tai automaattinen työkalu kuten botti, jotka etsivät haavoittuvia järjestelmiä verkossa jatkuvasti.

Ymmärrä tietoturvan tärkeys – voimme auttaa laajasti eri osa-alueissa

Kuten muissakin palveluissamme, asiakkaan ymmärtäminen on myös haavoittuvuustestauksen keskiössä. Otamme huomioon asiakkaan toimintaympäristön niin säädökselliset, lainsäädännölliset kuin teknisetkin tekijät. Teknisen suunnittelun, toteutuksen, tarkastamisen ja testauksen lisäksi autamme myös prosesseissa ja hallinnollisessa tietoturvassa.

Kolme vinkkiäni tietoturvallisuuden parantamiseen:

  1. Pyydä ulkopuolista näkemystä - tietoturvatestaus kannattaa tehdä, ennen kuin järjestelmä menee tuotantoon
  2. Pyydä neuvoa ja opastusta kokonaistietoturvan parantamiseen – ota tietoturva ja testaaminen osaksi prosesseja
  3. Ole säännönmukainen – ylläpidä järjestelmän kyvykkyyttä vastata sekä teknisiin että hallinnollisiin tietoturvahaasteisiin säännöllisellä seurannalla ja testauksella


Teemme haavoittuvuustestauksia sekä muuta tietoturvakonsultaatiota kaiken kokoisille organisaatioille eri toimialoilla – ota yhteyttä ja jatketaan keskustelua!

 


Jari Kivelä
Tietoturvapäällikkö
Netum Oy

Tilaa Netumin uutiskirje!

Uutiskirjeemme sisältävät mielenkiintoisia ja samaistuttavia asiakastarinoita, huippuasiantuntijoiden blogeja ja alan ajankohtaisia uutisia.

Netum