TIETOTURVAN TESTAUS JA ARVIOINTI

Penetraatiotestaus

Penetraatiotestaus

Penetraatiotestaus keskittyy löytämään haavoittuvuuksia ja heikkouksia kohdejärjestelmistä. 2NS:n mallissa penetraatiotestausta tehdään automaation ja manuaalisten työkalujen avulla. Kohdejärjestelmät voivat olla esimerkiksi laajoja ohjelmistoja, tiettyjä laitteita tai palvelimia, tai verkkokokonaisuuksia.

Penetraatiotestauksen tavoitteena ei yleensä ole testata organisaation havainnointi- ja reaktiokyvykkyyttä vaan keskittyä etsimään mahdollisimman paljon haavoittuvuuksia kohteesta. Mikäli haluat testata organisaatiosi tietoturvan valvonta- ja reaktiokyvykkyyttä hyökkäyssimulaatiolla, tutustu Red Teaming palveluumme.

Miksi penetraatiotestaus kannattaa toteuttaa?

Penetraatiotestaus auttaa havainnollistamaan tietoturvaloukkausten riskejä ja järjestelmien heikkouksia. Penetraatiotestaus arvioi myös käytössä olevien tietoturvapolitikoiden ja tietoturvatyökalujen tehokkuutta kriittisten järjestelmien ja tiedon suojaamisessa.

Skannauksiin tai tyypilliseen auditointiin verrattuna penetraatiotestaus keskittyy haavoittuvuuksien hyödyntämiseen liittyviin riskeihin, kuten kysymykseen siitä ”Voiko tätä haavoittuvuutta hyödyntää lateraaliseen etenemiseen tai käyttöoikeuksien laajentamiseen”.

Esimerkkejä toteuttamistamme penetraatiotestauksista:

01

Sisäverkon penetraatiotestaus

Tavoitteena on havaita haavoittuvuuksia sekä heikkouksia asiakkaan sisäistä verkoista sekä palveluista. Kohteena voi olla esimerkiksi sisäverkon palvelinverkot, Active Directory –palvelut tai tietty yksittäinen järjestelmä. Tietoturvatestaus suoritetaan asiakkaan sisäverkosta käsin. Palvelun hyödyt asiakkaalle ovat esimerkiksi seuraavat: hyökkäysketjujen paikantaminen hyökkääjän näkökulmasta, havaitaan monimutkaisempia haavoittuvuuksia ja haavoittuvuusketjuja kuin automaattisissa haavoittuvuusskannauksissa, false positive –havaintojen vähentäminen, sisäisten palveluiden ja haavoittuvuuksien havaitseminen sekä käytännölliset ohjeistukset haavoittuvuuksien korjaamiseksi

02

Ulkoverkon penetraatiotestaus

Tavoitteena voi olla havaita haavoittuvuuksia sekä heikkouksia asiakkaan julkisesti saatavilla olevista järjestelmistä ja palveluista. Tietoturvatestaus tehdään ulkoisen hyökkääjän näkökulmasta. Projekti alkaa avoimien lähteiden tiedustelulla (OSINT), jossa pyritään paikantamaan arkaluonteista tietoa julkisista lähteistä, kuten tietoa organisaation työntekijöistä tai vuotaneita salasanoja. Palvelun hyödyt asiakkaalle ovat seuraavat: Julkisen hyökkäysrajapinnan kartoitus ulkoisen hyökkääjän näkökulmasta, käytännölliset ohjeistukset haavoittuvuuksien korjaamiseksi, julkisten palveluiden ja haavoittuvuuksien havaitseminen sekä false positive –havaintojen vähentäminen.

03

Active Directory -tietoturvaselvitys

Tavoiteena on esimerkiksi havaita heikkoja politiikkoja sekä turvattomia konfiguraatioita Active Directory –palveluista ja näin tunnistetaan piileviä hyökkäyspolkuja, jotka voivat mahdollistaa hyökkääjän käyttöoikeuksien korottamisen, tai sivuttaisen liikkeen muihin palveluihin. Active Directory -ympäristö voi olla kompleksinen ja eri asioiden väliset riippuvuudet vaikeita hahmottaa. Palvelun hyödyt ovat esimerkiksi seuraavat: Näkyvyys Active Directory –palveluiden nykytilaan tietoturvan näkökulmasta, pienennetään tietoturvaloukkausten riskiä ja vaikutusta koventamalla järjestelmiä ja rajaamalla hyökkäyspinta-alaa, korjataan projektin perusteella laajalti hyödynnettyjä turvattomia konfiguraatioita ja minimoidaan korkean riskin käyttäjätunnuksien käyttöä ympäristössäsi.

04

Työasemien ja palvelinten tietoturvakovetusten varmistus

Havaitaan haavoittuvuuksia, heikkouksia sekä puuttuvia tietoturvakovennuksia standardisoiduista työasemista sekä palvelimista. Projektin avulla voidaan havaita tietoturvapuutteita, jotka voisivat mahdollistaa mm. käyttöoikeuksien korottamisen järjestelmässä tai hyökkääjän liikkumisen toiseen järjestelmään. Projekteissa hyödynnetään automatisoituja konfiguraatioskannauksia, joilla järjestelmien tietoturvaa arvioidaan yleisiä tietoturvaohjeistuksia vasten. Lisäksi projekteissa tehdään manuaalista tietoturvatestausta, jonka avulla pyritään havaitsemaan monimutkaisia haavoittuvuusketjuja, joita automaattiset skannerit eivät havaitse. Palvelun hyödyt ovat seuraavat: Näkyvyys Active Directory –palveluiden nykytilaan tietoturvan näkökulmasta, korjaa projektin perusteella laajalti hyödynnettyjä turvattomia konfiguraatioita, minimoi korkean riskin käyttäjätunnuksien käyttö ympäristössäsi ja pienennä tietoturvaloukkausten riskiä ja vaikutusta koventamalla järjestelmiä ja rajaamalla hyökkäyspinta-alaa.

05

Verkkojen segmentointitestaus

Validoidaan, että langalliset sekä langattomat verkot on segmentoitu oikein. Puutteellisesti toteutettu verkkojen eriytys voi mahdollistaa esimerkiksi tilanteen, jossa langattomasta vierailijaverkosta pääsee käsiksi organisaation kriittisiin järjestelmiin. Verkkojen eriytyssäännöstöt testataan eri verkkoprotokollilla verkkojen välillä. Tämän lisäksi projektissa varmistetaan, että verkkolaitteet on konfiguroitu estämään verkkotasonhyökkäykset kuten ”VLAN hopping”. Palvelun hyötyjä ovat seuraavat: Varmistat, että verkkojen eriytys on toteutettu turvallisesti, ja matalan turvallisuuden verkoista kuten langattomasta vierasverkosta ei ole pääsyä organisaatiosi kriittisiin järjestelmiin tai tietoon.

Tiedustelusta hakkerointiin

Penetraatiotestaus alkaa tiedusteluvaiheella, jonka aikana 2NS:n hakkerit keräävät tietoa kohteena olevasta järjestelmästä ja kartoittavat hyökkäyspinta-alasta optimaalista hyökkäysreittiä.

Tiedusteluvaiheen tiedon keräämisen jälkeen, 2NS:n penetraatiotestaajat hyödyntävät aktiivisia keinoja paikantaakseen haavoittuvuuksia kohdejärjestelmistä. Nämä haavoittuvuudet voivat esimerkiksi johtaa arkaluonteisen tiedon vuotamisen tai mahdollistaa sen, että hyökkääjä voi korottaa käyttöoikeuksiaan kohdeympäristössä.

Penetraatiotestaus on tehokas tapa paikantaa järjestelmistä tietoturvahaavoittuvuuksia ja -heikkouksia, joita automaattiset skannaustyökalut eivät havaitse, vaan joiden löytämiseen tarvitaan hakkerimaista ajattelutapaa sekä hakkerointitaitoja. Kohdejärjestelmät voivat olla esimerkiksi useista järjestelmistä koostuvia monimutkaisia liiketoimintasovelluksia, kiinteistöautomaatiojärjestelmiä tai jopa kokonaisia tietoverkkoja.

 

Ota yhteyttä

REFERENSSIT

KATSO KAIKKI
Tietoturvan testaus ja arvointiPilvipalveluiden tietoturva

CSC

“Suosittelen lämpimästi 2NS:ää sekä yksittäisiin teknisiin tietoturvallisuuteen liittyviin koulutusprojekteihin että tiiviimpäänkin tietoturvakumppanuuteen.”

Urpo Kaila , Tietoturvapäällikkö – CSC

Tietoturvan testaus ja arvointiSovelluskehityksen tietoturva

CableCrew Oy

”Yhteistyö sujui niin hyvin, että jatkossa teetämme vuosittaisen auditoinnin 2NS:llä.” Tietoturva on CableCrewlle äärimmäisen tärkeää, koska toimimme kriittisen infran parissa. Yhteydenpito oli mutkatonta, ja tavoitettavuus oli erinomaista myös tarvittaessa virka-ajan ulkopuolellakin. Kaikkiin kysymyksiin sai vastauksen viimeistään seuraavana päivänä. Aikatauluista viestittiin myös reaaliajassa.

Satu-Maria Ravelin, HESQ Johtaja – CableCrew Oy

Tietoturvan testaus ja arvointiPilvipalveluiden tietoturva

Kehätieto Oy

“Yhteistyö 2NS:n kanssa on sujunut erittäin mallikkaasti. Olemme saaneet heiltä tarvitsemamme tuen niin henkilöstön koulutuksiin kuin tuotteidemme tietoturvatestaukseen. Luotamme 2NS:n erityisosaamiseen tietoturva-asioissa.”

Juhani Ruohotie, Tiiminvetäjä – Kehätieto Oy