PENETRAATIOTESTAUS & AUDITOINNIT
VARAUDU MAHDOLLISEEN UHKAAN JA POISTA RISKITEKIJÄT ENNAKOIVASTI
PENETRAATIOTESTAUS
Penetraatiotestauksen hyötynä on, että yritys tunnistaa paremmin heikot kohtansa, jolloin se pystyy joko poistamaan ne tai se voi varautua niihin paremmin. Testaukseen voi sisältyä sekä fyysinen puoli että kybertestaus.
FYYSINEN TESTAUS
Fyysisessä penetraatiotestauksessa simuloidaan tunkeutuminen kohteeseen. Kohde voi olla esimerkiksi toimisto- tai varastorakennus. Tarkoituksena on selvittää, pääseekö ulkopuolisia ihmisiä yrityksen tiloihin huomaamatta tai ilman, että heitä pysäytetään.
Fyysisen testauksen tavoitteena on identifioida yrityksen tämänhetkiset heikot kohdat ja menetelmät, joita hyökkääjä voisi mahdollisesti käyttää.
KYBERTESTAUS
Kybertestauksessa selvitetään, pääseekö hyökkääjä yrityksen ulkopuolelta käsiksi yrityksen verkkoon, ohjelmistoihin ja palvelimiin. Kokeilemme eri toimintatapoja ja selvitämme, millä keinoin mahdollinen hyökkääjä pääsisi kyberpuolustuksestanne läpi. Testauksen yhteydessä voidaan käyttää mm. seuraavia menetelmiä:
- Social Engineering
- O365 Phishing
- Haittaohjelmaimplantit, toimitettuna sähköpostitse
- Mahdolliset varastetut käyttäjätunnukset
OPEN SOURCE INTELLIGENCE
Open Source Intelligencellä tarkoitetaan avoimista tietolähteistä etsittävää, kohdeyritystä koskevaa tiedustelutietoa, jonka avulla kohdeyritykseen on helpompi hyökätä.
Tietoihin voi sisältyä esimerkiksi:
- Vuodetut käyttäjätunnukset
- Tiedot kohdeyrityksen palvelimista ja osoitteista
- Organisaation avainhenkilöihin liittyvät tiedot
- Organisaation liittyvät tiedostot, kuten: dokumentit, sähköpostit, käyttäjätunnukset
- Muut, mahdollisesti arkaluontoista tietoa sisältävät tiedostot
WEB-APPLIKAATION TESTAUS
Web-applikaatioiden penetraatiotestauksessa etsitään verkkosivustosta haavoittuvuuksia, joiden avulla on mahdollista manipuloida applikaatiota tavalla tai toisella. Testauksen kohteena voi olla mikä tahansa verkkosivusto, esimerkiksi verkkokauppa tai toiminnanohjausjärjestelmä.
RED TEAMING
Red Teamissa lähtökohdat ovat samat kuin penetraatiotestauksessa, mutta ajallisesti Red Team on pitkäkestoisempi. Red Teamissa yritys saa jatkuvasti ajantasaista kuvaa turvallisuudestaan. Ilmi voi tulla muun muassa se, onko järjestelmiin ilmestynyt haavoittuvaisia palveluita.
AUDITOINNIT
Auditointiin kuuluu perusteellinen kartoitus, jolla varmistamme, että ohjelmisto/laite toimii valmistajan kuvaamalla tavalla eikä se sisällä mitään ylimääräistä. Varmistamme myös, että haavoittuvuuksia tai muita riskejä ei ole. Auditoinnin hyötynä on, että tunnistetaan riskit ja haavoittuvuudet ennen kuin kukaan pääsee hyväksikäyttämään niitä.
Ohjelmistoauditointi
Käymme läpi ohjelmiston tietoturvan ja katsomme, ettei siinä ole haavoittuvuuksia tai muita riskejä, joita voitaisiin hyväksikäyttää.
Laiteauditointi
Tutkimme itse laitteen ja sen ohjelmiston siitä näkökulmasta, ovatko laitteen tiedot ulkopuolisen hyökkääjän saatavilla vai vaarantaako laite käyttäjän yksityisyyttä tai toimintaympäristön tietoturvaa.
Haluatko suojata yrityksesi varat?
Ota meihin yhteyttä aloittaaksesi
