Skip to content

Tietoturvan testaus

Tunnista ja hallitse IT-ympäristösi haavoittuvuudet helpommin ja testaa tietoturvanne hyökkääjän näkökulmasta.

cybersec_m
Lightup

Ennakoi ja varaudu

Kaksi käytetyintä reittiä organisaatioiden järjestelmiin ja tietoihin murtautumisessa ovat haavoittuneet järjestelmät ja tietojenkalastelu. Nämä ovat suosittuja, koska niissä hyökkääjä voi helposti ja laaja-alaisesti lähteä kokeilemaan minne ovi avautuu. Tämän vuoksi haavoittuvuuksien hallinnan tulee olla kunnossa. Tekniset keinot harvoin kuitenkaan riittävät tietojenkalastelua vastaan, joten myös henkilökunnan kouluttaminen on tärkeää.

Lisäksi tärkeimpiä järjestelmiä on hyvä testata hyökkääjän näkökulmasta, jolloin sadaan tietoturvan tilasta hyvä kuva ja nähdään mikä toimii ja mikä ei. Havainnoimalla haavoittuvuuksia ja testaamalla tietoturvaa, pystytään ennakoimaan ja varautumaan mahdollisiin tietoturvaloukkauksiin nopeammin ja paremmin.

Asiakkaamme kertomaa

Kun ohjelmistotalo Vincitin verkkoratkaisuja oltiin uudistamassa perusteellisesti, tuli uudistuksen yhteydessä esiin tarve käydä yrityksen tietoturvan tilanne kokonaisvaltaisesti läpi.

"Meille on tärkeää, että tietoturva toimii ja että sen tasoa pystytään jatkuvasti arvioimaan. Näin kokonaisvaltaista kartoitusta ei ollut aiemmin tehty"

”Oli mukava huomata, että saatavilla oli kotimainen osaajavaihtoehto, jolta saimme kaikki palvelut, joita tällä sektorilla kaipasimme.”

Lue kuinka Loihde toteutti Vincitille kokonaisvaltaisen tutkimuksen tietoturvan tasosta.

Aleksi Häkli, Senior Software Engineer, Vincit

Picture

Millä tasolla tiedostat IT-ympäristönne haavoittuvuudet?

Olennainen osa organisaation tietoturvan ylläpitoa on IT-ympäristön teknisten tietoturva-aukkojen paikkaaminen riskien minimoimiseksi. Tämä tarkoittaa, että IT:n on mm. pidettävä ohjelmistojen päivitykset kunnossa, tunnistettava konfiguraatiovirheitä ja -puutteita sekä tiedostettava hallitsemattomat järjestelmät (Shadow IT) ja avoimet portit. Ongelmaksi tämä muodostuu, kun järjestelmien ja ohjelmistojen määrät kasvavat ja ympäristöt monimutkaistuvat. Lisäksi IT-ympäristöt ovat jatkuvassa muutoksessa ja uusia haavoittuvuuksia löydetään tasaiseen tahtiin. Kuva ympäristön haavoittuvuustilanteesta hämärtyy nopeasti, ongelmien tunnistaminen ja priorisointi vaikeutuvat eivätkä resurssit tunnu enää riittävän – IT-ympäristön hallinnasta tulee turhauttavaa.

Haavoittuvuuksien tunnistus

Loihde - 20230317-DSCF2846 - 1920 x 2880

Apuväline IT-ympäristön riskien minimointiin

Ymmärrämme tuskan. Olisi kivempaa ja myös järkevämpää käyttää rajallista aikaansa johonkin mielekkäämpään, kuten vaikka IT-ympäristön ja palveluiden kehittämiseen.

Miltä kuulostaisi priorisoitu lista haavoittuvuuksista korjausehdotuksineen apuvälineeksi?

Jotta sinä voisit säästää aikaa ja vaivaa, olemme luoneet haavoittuvuuksien tunnistuspalvelun, jonka avulla pääset suoraan tilanteen tasalle ja tekemään korjaustoimenpiteitä. Palvelu tunnistaa teknisiä haavoittuvuuksia yrityksen julkisesta rajapinnasta ja sisäverkosta. Optioina myös web-sovellusten, lähdekoodin ja sovelluskirjastojen sekä tietokantojen ja pilvipalveluiden haavoittuvuuksien tunnistus.

Palvelullamme saat:

  • Selkeän kuvan IT-infrastruktuurin teknisistä haavoittuvuuksista
  • Priorisoinnin haavoittuvuuksille
  • Korkealaatuisen raportoinnin korjausehdotuksineen
  • Kriittisimpien havaintojen läpikäynnin tietoturva-analyytikoiden kanssa

Tarvittaessa tarjoamme myös asiantuntija-apua haavoittuvuuksien korjaamiseksi.

Haavoittuvuudet hallintaan

Oman IT-ympäristön haavoittuvuuksien tunnistaminen ja sitä kautta niiden korjaaminen on hyvä lähtökohta. Jotta kuitenkin pelkästä tilannekuvasta päästään todelliseen haavoittuvuuksien hallintaan ja sen hyötyihin, on haavoittuvuuksien tunnistamisen oltava jatkuva prosessi. Siksi tarjoamme haavoittuvuuksien tunnistuspalvelua myös jatkuvana palveluna.

Havainnointi tasaisin väliajoin mahdollistaa:

  • Uusien haavoittuvuuksien tunnistuksen ja nopean reagoinnin niihin
  • Korjaustoimenpiteiden seurannan ja toimivuuden tarkistuksen
  • Esiintyvien trendien tunnistuksen
  • Analyysien tarkkuuden parantumisen IT-ympäristön tullessa tutummaksi
  • Muuttuvan kyberkentän mukaisen asiantuntevan haavoittuvuuksien priorisoinnin
Loihde_some (56)

Neljä askelta helpompaan haavoittuvuuksien hallintaan

Ota tilanne haltuun ja helpota päivittäistä työtäsi kilpajuoksussa aikaa ja haavoittuvuuksia vastaan.

  1. Jätä alle yhteystietosi, niin sovitaan tapaaminen, jossa käydään läpi miten voimme helpottaa työtäsi.
  2. Selvitä organisaationne haavoittuvuustilanne palvelumme avulla.
  3. Korjaa priorisoidusti mahdolliset tietoturva-aukot ohjeidemme avulla.
  4. Hallitse haavoittuvuuksia tilaamalla palvelu jatkuvana, jolloin saat raportit sovituin aikavälein esim. kvartaaleittain.

 

Tunkeutumis- ja uhkasimulointipalveluilla kuva kyberpuolustuksen tilasta

Testaamalla organisaation tietoturvaa hyökkääjän näkökulmasta saatte merkityksellistä informaatiota organisaationne haavoittuvuuksista sekä niiden hyväksikäytön realistisuudesta. Tiedon avulla voitte keskittyä merkityksellisimpien haavoittuvuuksien korjaamiseen sekä puolustus- ja havainnointikyvykkyyden kasvattamiseen. Tietoturvan testauspalvelumme simuloivat reaalimaailman nykyaikaisia kyberuhkia sekä -hyökkäyksiä hyödyntämällä samoja tekniikoita sekä työkaluja kuin uhkatekijät.

Tietojenkalastelu

Loihde - 20230317-DSCF2690 - 1920 x 2880

Nosta tietoisuutta simulaatiolla

Tietojenkalastelu on yksi yleisimmistä hyökkäysmenetelmistä, joita kyberrikolliset käyttävät. Hyökkäykset kohdistuvat henkilökuntaan ja hyökkääjien tavoitteena on hankkia työntekijöiden salasanoja tai muuta arkaluonteista tietoa, jota he voivat hyödyntää myöhemmässä vaiheessa. Kohdistettua tietojenkalastelua vastaan on erittäin vaikea puolustautua pelkästään teknisin keinoin. Usein parhaaksi puolustukseksi sosiaalisia hyökkäysvektoreita vastaan on havaittu työtekijöiden kouluttaminen ja sitä kautta tietoisuuden nostaminen.

Kalastelusimulaatiossa asiakkaan työntekijöille lähetetään kalasteluviestejä, samalla mitaten miten työntekijät toimivat vastaanottaessaan kalasteluviestin. Lopputuloksena saatte kattavan raportin, josta selviää organisaationne sietoisuus tietojenkalastelua vastaan. Simulaation tuloksia voidaan hyödyntää esim. koulutuksissa sekä uhkamallinnuksessa. Yleisen raportoinnin lisäksi kohdehenkilöille voidaan lähettää mukautettu koulutusmateriaali.

Tietojenkalastelusimulaatio voidaan toteuttaa myös jatkuvana palveluna ja koulutuksena. Tällöin automaation avulla kerätään jatkuvaa uhkakuva- ja käyttäjätietoa sekä koulutetaan henkilöstöä pelillistetyn mikrokoulutuksen avulla.

Penetraatiotestaus

Penetraatiotestauspalvelun avulla voidaan testata ennalta määriteltyjen järjestelmien ja tietoverkkojen tietoturvaa hyödyntämällä useita teknisiä menetelmiä. Testauksen laajuus voi olla yksittäinen järjestelmä tai esimerkiksi useita aliverkkoja. Staattisista haavoittuvuusskannereista poiketen, penetraatiotestauksessa Loihde Trustin eettiset hakkerit voivat esimerkiksi ”ketjuttaa” useita vähämerkityksellisiä haavoittuvuuksia saavuttaakseen tavoitteensa. Penetraatiotestauksessa havaittuja tietoturvapuutteita pyritään hyväksikäyttämään, jolloin varmistutaan haavoittuvuuden oikeellisuudesta ja todellisesta riskistä.

Havaitut haavoittuvuudet ja puutteet raportoidaan asiakkaalle ja raporttiin sisällytetään myös tietoturva-asiantuntijoiden korjausehdotukset. Korjaustoimenpiteiden jälkeen suoritetaan uudelleentarkistus, jossa varmistetaan, että suoritetut korjaustoimenpiteet ovat riittävät.

Loihde_some (7)
Sormet tietokoneen näppäimistöllä

Red Team -palvelu

Red Team -palvelu on penetraatiotestauspalvelua kattavampi tietoturva-arviointi, sillä siinä hyödynnetään teknisten testien lisäksi mm. sosiaalisia hyökkäysvektoreita. Palvelu jäljittelee kohdistettua hyökkäystä kehittyneen vastapuolen toimesta.

Palvelun alussa määritellään korkean tason agenda, joka voi esimerkiksi jäljitellä asiakkaan pahinta mahdollista uhkakuvaa. Haavoittuvuuksien havaitsemisen ja hyödyntämisen lisäksi palvelussa testataan organisaationne havainnointi- sekä puolustuskykyä. Red Team pyrkii huomaamattomuuteen ja yksittäistä testausta pitkäkestoisempana se kuvastaa reaalimaailman kohdennettua hyökkäystä.

Kiinnostuitko?

Asiantuntijamme kertovat mielellään lisätietoja palveluistamme. Ota yhteyttä, niin etsitään tarpeisiinne sopiva ratkaisu.