Penetraatiotestaus

Penetraatiotestaus keskittyy löytämään haavoittuvuuksia ja heikkouksia kohdejärjestelmistä. 2NS:n mallissa penetraatiotestausta tehdään automaation ja manuaalisten työkalujen avulla. Kohdejärjestelmät voivat olla kokonaisia ohjelmistoja, tiettyjä laitteita tai palvelimia, tai verkkokokonaisuuksia.

Penetraatiotestauksen tavoitteena ei yleensä ole testata havainnointi- ja reaktiokyvykkyyttä vaan keskittyä etsimään mahdollisimman paljon haavoittuvuuksia kohteesta.

Miksi penetraatiotestaus kannattaa toteuttaa?

Penetraatiotestaus auttaa havainnollistamaan tietoturvaloukkausten riskejä ja järjestelmien heikkouksia. Penetraatiotestaus arvioi myös  käytössä olevien tietoturvapolitikoiden ja tietoturvatyökalujen tehokkuutta kriittisten järjestelmien ja tiedon suojaamisessa. Skannauksiin tai tyypilliseen auditointiin verrattuna penetraatiotestaus keskittyy haavoittuvuuksien hyödyntämiseen liittyviin riskeihin, kuten kysymykseen siitä ”Voiko tätä haavoittuvuutta hyödyntää lateraaliseen etenemiseen tai käyttöoikeuksien laajentamiseen”.

Esimerkkejä 2NS:n toteuttamista penetraatiotestauksista:

  • Tavoite: Havaitaan haavoittuvuuksia sekä heikkouksia asiakkaan sisäistä verkoista sekä palveluista
  • Kohteena on esimerkiksi: sisäverkon palvelinverkot, Active Directory –palvelut tai tietty yksittäinen järjestelmä
  • Tietoturvatestaus suoritetaan asiakkaan sisäverkosta käsin

Palvelun hyötyjä:

  • Hyökkäysketjujen paikantaminen hyökkääjän näkökulmasta
  • Havaitaan monimutkaisempia haavoittuvuuksia ja haavoittuvuusketjuja kuin automaattisissa haavoittuvuusskannauksissa
  • False positive –havaintojen vähentäminen
  • Sisäisten palveluiden ja haavoittuvuuksien havaitseminen
  • Käytännölliset ohjeistukset haavoittuvuuksien korjaamiseksi
  • Tavoite: Havaitaan haavoittuvuuksia sekä heikkouksia asiakkaan julkisesti saatavilla olevista järjestelmistä ja palveluista
  • Tietoturvatestaus tehdään ulkoisen hyökkääjän näkökulmasta
  • Projekti alkaa avoimien lähteiden tiedustelulla (OSINT), jossa pyritään paikantamaan arkaluonteista tietoa julkisista lähteistä, kuten tietoa organisaation työntekijöistä tai vuotaneita salasanoja.

Palvelusta saatavia hyötyjä:

  • Julkisen hyökkäysrajapinnan kartoitus ulkoisen hyökkääjän näkökulmasta
  • Käytännölliset ohjeistukset haavoittuvuuksien korjaamiseksi
  • Julkisten palveluiden ja haavoittuvuuksien havaitseminen
  • False positive –havaintojen vähentäminen
  • Tavoite: Havaitaan heikkoja politiikkoja sekä turvattomia konfiguraatioita Active Directory –palveluista ja näin tunnistetaan piileviä hyökkäyspolkuja, jotka voivat mahdollistaa hyökkääjän käyttöoikeuksien korottamisen, tai sivuttaisen liikkeen muihin palveluihin.

Active Directory -ympäristö voi olla komplexinen ja eri asioiden väliset riippuvuudet vaikeita hahmottaa.

Palvelun hyötyjä:

  • Näkyvyys Active Directory –palveluiden nykytilaan tietoturvan näkökulmasta
  • Pienennä tietoturvaloukkausten riskiä ja vaikutusta koventamalla järjestelmiä ja rajaamalla hyökkäyspinta-alaa
  • Korjaa projektin perusteella laajalti hyödynnettyjä turvattomia konfiguraatioita
  • Minimoi korkean riskin käyttäjätunnuksien käyttöä ympäristössäsi
  • Havaitaan haavoittuvuuksia, heikkouksia sekä puuttuvia tietoturvakovennuksia standardisoiduista työasemista sekä palvelimista.
  • Projektin avulla voidaan havaita tietoturvapuutteita, jotka voisivat mahdollistaa mm. käyttöoikeuksien korottamisen järjestelmässä tai hyökkääjän liikkumisen toiseen järjestelmään.
  • Projekteissa hyödynnetään automatisoituja konfiguraatioskannauksia, joilla järjestelmien tietoturvaa arvioidaan yleisiä tietoturvaohjeistuksia vasten. Lisäksi projekteissa tehdään manuaalista tietoturvatestausta, jonka avulla pyritään havaitsemaan monimutkaisia haavoittuvuusketjuja joita automaattiset skannerit eivät havaitse.

Palvelun hyötyjä:

  • Näkyvyys Active Directory –palveluiden nykytilaan tietoturvan näkökulmasta
  • Korjaa projektin perusteella laajalti hyödynnettyjä turvattomia konfiguraatioita
  • Minimoi korkean riskin käyttäjätunnuksien käyttö ympäristössäsi
  • Pienennä tietoturvaloukkausten riskiä ja vaikutusta koventamalla järjestelmiä ja rajaamalla hyökkäyspinta-alaa
  • Validoidaan, että langalliset sekä langattomat verkot on segmentoitu oikein.
  • Puutteellisesti toteutettu verkkojen eriytys voi mahdollistaa esimerkiksi tilanteen, jossa langattomasta vierailijaverkosta pääsee käsiksi organisaation kriittisiin järjestelmiin
  • Verkkojen eriytyssäännöstöt testataan eri verkkoprotokollilla verkkojen välillä. Tämän lisäksi projektissa varmistetaan että verkkolaitteet on konfiguroitu estämään verkkotasonhyökkäykset kuten ”VLAN hopping”.

Palvelun hyötyjä:

  • Varmista, että verkkojen eriytys on toteutettu turvallisesti, ja matalan turvallisuuden verkoista kuten langattomasta vierasverkosta ei ole pääsyä organisaatiosi kriittisiin järjestelmiin tai tietoon.

Tiedustelusta hakkeriemulaatioon

Penetraatiotestaus alkaa tiedusteluvaiheella, jonka aikana 2NS:n hakkerit keräävät tietoa kohteena olevasta järjestelmästä ja kartoittavat hyökkäyspinta-alasta optimaalista hyökkäysreittiä. Tämän jälkeen alkaa projektin raamien sisälä varsinainen hyökkäysemulaatio, jolla yritetään päästä kohteena olevaan kriittiseen dataan kiinni.

Penetraatiotestauksella voidaan testata monenlaisia ICT-järjestelmiä liiketoimintaa ohjaavista ERP-ohjelmistoista ja liiketoimintakriittisistä ohjelmistoista vaikkapa rakennusautomaatiojärjestelmiin.

Olisiko pentestaus sopiva vaihtoehto yrityksellenne?