Penetraatiotestaus keskittyy löytämään haavoittuvuuksia ja heikkouksia kohdejärjestelmistä. 2NS:n mallissa penetraatiotestausta tehdään automaation ja manuaalisten työkalujen avulla. Kohdejärjestelmät voivat olla esimerkiksi laajoja ohjelmistoja, tiettyjä laitteita tai palvelimia, tai verkkokokonaisuuksia.
Penetraatiotestauksen tavoitteena ei yleensä ole testata organisaation havainnointi- ja reaktiokyvykkyyttä vaan keskittyä etsimään mahdollisimman paljon haavoittuvuuksia kohteesta. Mikäli haluat testata organisaatiosi tietoturvan valvonta- ja reaktiokyvykkyyttä hyökkäyssimulaatiolla, tutustu Red Teaming palveluumme.
Miksi penetraatiotestaus kannattaa toteuttaa?
Penetraatiotestaus auttaa havainnollistamaan tietoturvaloukkausten riskejä ja järjestelmien heikkouksia. Penetraatiotestaus arvioi myös käytössä olevien tietoturvapolitikoiden ja tietoturvatyökalujen tehokkuutta kriittisten järjestelmien ja tiedon suojaamisessa.
Skannauksiin tai tyypilliseen auditointiin verrattuna penetraatiotestaus keskittyy haavoittuvuuksien hyödyntämiseen liittyviin riskeihin, kuten kysymykseen siitä ”Voiko tätä haavoittuvuutta hyödyntää lateraaliseen etenemiseen tai käyttöoikeuksien laajentamiseen”.
Esimerkkejä 2NS:n toteuttamista penetraatiotestauksista:
- Tavoite: Havaitaan haavoittuvuuksia sekä heikkouksia asiakkaan sisäistä verkoista sekä palveluista
- Kohteena on esimerkiksi: sisäverkon palvelinverkot, Active Directory –palvelut tai tietty yksittäinen järjestelmä
- Tietoturvatestaus suoritetaan asiakkaan sisäverkosta käsin
Palvelun hyötyjä:
- Hyökkäysketjujen paikantaminen hyökkääjän näkökulmasta
- Havaitaan monimutkaisempia haavoittuvuuksia ja haavoittuvuusketjuja kuin automaattisissa haavoittuvuusskannauksissa
- False positive –havaintojen vähentäminen
- Sisäisten palveluiden ja haavoittuvuuksien havaitseminen
- Käytännölliset ohjeistukset haavoittuvuuksien korjaamiseksi
- Tavoite: Havaitaan haavoittuvuuksia sekä heikkouksia asiakkaan julkisesti saatavilla olevista järjestelmistä ja palveluista
- Tietoturvatestaus tehdään ulkoisen hyökkääjän näkökulmasta
- Projekti alkaa avoimien lähteiden tiedustelulla (OSINT), jossa pyritään paikantamaan arkaluonteista tietoa julkisista lähteistä, kuten tietoa organisaation työntekijöistä tai vuotaneita salasanoja.
Palvelusta saatavia hyötyjä:
- Julkisen hyökkäysrajapinnan kartoitus ulkoisen hyökkääjän näkökulmasta
- Käytännölliset ohjeistukset haavoittuvuuksien korjaamiseksi
- Julkisten palveluiden ja haavoittuvuuksien havaitseminen
- False positive –havaintojen vähentäminen
- Tavoite: Havaitaan heikkoja politiikkoja sekä turvattomia konfiguraatioita Active Directory –palveluista ja näin tunnistetaan piileviä hyökkäyspolkuja, jotka voivat mahdollistaa hyökkääjän käyttöoikeuksien korottamisen, tai sivuttaisen liikkeen muihin palveluihin.
Active Directory -ympäristö voi olla komplexinen ja eri asioiden väliset riippuvuudet vaikeita hahmottaa.
Palvelun hyötyjä:
- Näkyvyys Active Directory –palveluiden nykytilaan tietoturvan näkökulmasta
- Pienennä tietoturvaloukkausten riskiä ja vaikutusta koventamalla järjestelmiä ja rajaamalla hyökkäyspinta-alaa
- Korjaa projektin perusteella laajalti hyödynnettyjä turvattomia konfiguraatioita
- Minimoi korkean riskin käyttäjätunnuksien käyttöä ympäristössäsi
- Havaitaan haavoittuvuuksia, heikkouksia sekä puuttuvia tietoturvakovennuksia standardisoiduista työasemista sekä palvelimista.
- Projektin avulla voidaan havaita tietoturvapuutteita, jotka voisivat mahdollistaa mm. käyttöoikeuksien korottamisen järjestelmässä tai hyökkääjän liikkumisen toiseen järjestelmään.
- Projekteissa hyödynnetään automatisoituja konfiguraatioskannauksia, joilla järjestelmien tietoturvaa arvioidaan yleisiä tietoturvaohjeistuksia vasten. Lisäksi projekteissa tehdään manuaalista tietoturvatestausta, jonka avulla pyritään havaitsemaan monimutkaisia haavoittuvuusketjuja joita automaattiset skannerit eivät havaitse.
Palvelun hyötyjä:
- Näkyvyys Active Directory –palveluiden nykytilaan tietoturvan näkökulmasta
- Korjaa projektin perusteella laajalti hyödynnettyjä turvattomia konfiguraatioita
- Minimoi korkean riskin käyttäjätunnuksien käyttö ympäristössäsi
- Pienennä tietoturvaloukkausten riskiä ja vaikutusta koventamalla järjestelmiä ja rajaamalla hyökkäyspinta-alaa
- Validoidaan, että langalliset sekä langattomat verkot on segmentoitu oikein.
- Puutteellisesti toteutettu verkkojen eriytys voi mahdollistaa esimerkiksi tilanteen, jossa langattomasta vierailijaverkosta pääsee käsiksi organisaation kriittisiin järjestelmiin
- Verkkojen eriytyssäännöstöt testataan eri verkkoprotokollilla verkkojen välillä. Tämän lisäksi projektissa varmistetaan että verkkolaitteet on konfiguroitu estämään verkkotasonhyökkäykset kuten ”VLAN hopping”.
Palvelun hyötyjä:
- Varmista, että verkkojen eriytys on toteutettu turvallisesti, ja matalan turvallisuuden verkoista kuten langattomasta vierasverkosta ei ole pääsyä organisaatiosi kriittisiin järjestelmiin tai tietoon.
Tiedustelusta hakkerointiin
Penetraatiotestaus alkaa tiedusteluvaiheella, jonka aikana 2NS:n hakkerit keräävät tietoa kohteena olevasta järjestelmästä ja kartoittavat hyökkäyspinta-alasta optimaalista hyökkäysreittiä.
Tiedusteluvaiheen tiedon keräämisen jälkeen, 2NS:n penetraatiotestaajat hyödyntävät aktiivisia keinoja paikantaakseen haavoittuvuuksia kohdejärjestelmistä. Nämä haavoittuvuudet voivat esimerkiksi johtaa arkaluonteisen tiedon vuotamisen tai mahdollistaa sen, että hyökkääjä voi korottaa käyttöoikeuksiaan kohdeympäristössä.
Penetraatiotestaus on tehokas tapa paikantaa järjestelmistä tietoturvahaavoittuvuuksia ja -heikkouksia, joita automaattiset skannaustyökalut eivät havaitse, vaan joiden löytämiseen tarvitaan hakkerimaista ajattelutapaa sekä hakkerointitaitoja. Kohdejärjestelmät voivat olla esimerkiksi useista järjestelmistä koostuvia monimutkaisia liiketoimintasovelluksia, kiinteistöautomaatiojärjestelmiä tai jopa kokonaisia tietoverkkoja.
Olisiko pentestaus sopiva vaihtoehto yrityksellenne?
Olemme kehittäneet esimerkiksi seuraavien asiakkaidemme teknistä tietoturvaa
