Tekninen auditointi - SecMeter

Sisältöön

Tekninen auditointi

Yritysturvallisuus > Kyberturvallisuus
Teknisen arvioinnin kohteena on tietojärjestelmien turvallisuus. Arviointi kohdistuu tietojärjestelmien komponentteihin, kuten verkkoihin, alustoihin, ohjelmaversioihin, asennuksiin ja asetuksiin.

Teknisen arvioinnin tavoitteena on selvittää, sisältyykö yrityksen tietojärjestelmiin sellaisia teknisiä haavoittuvuuksia, joiden avulla ulkopuolisen henkilön on mahdollista

  • saada järjestelmä kokonaan tai osittain hyökkääjän hallintaan
  • saada järjestelmästä luottamuksellista informaatiota
  • vaikuttaa kokonaan tai osittain järjestelmän toimintaan.



Tekninen arviointi jaetaan yleensä kahteen kokonaisuuteen

  1. sisäverkkoon (Whitebox) ja
  2. ulkoverkkoon (Blackbox)

DMZ-alueen komponentit (palomuurit, palvelimet ym.) sisällytetään yleensä ulkoverkon tekniseen arviointiin.

Sisäverkko
Sisäverkon testaus suoritetaan yrityksen toimistoverkosta (LAN), jossa testattavat laitteet ovat. Testauksella saavutetaan mahdollisimman totuudenmukainen kuva verkon aktiivilaitteiden haavoittuvuudesta.

LAN-verkosta suoritettava testaus voidaan kohdistaa myös erikseen valittuihin palveluihin tai järjestelmiin. Sisäverkon auditoinnissa selvitetään

  • ovatko sisäverkon hallintakäytännöt asianmukaisella tasolla
  • onko sisäverkko segmentoitu tarkoituksenmukaisesti
  • sisältyykö laitekomponentteihin liittyviin ohjelmistoihin haavoittuvuuksia (versiopäivitykset).

Arviointi tapahtuu vertaamalla vallitsevia käytäntöjä ja asetuksia parhaisiin käytäntöihin, kuten yleisiin haavoittuvuustietokantoihin. Sisäverkon tekninen arviointi jaetaan yleensä kahteen osaan:

1. Arkkitehtuuritarkasteluun

  • Dokumentointi
  • Segmentointi
  • Hallinnointiprosessit
  • Pääsynhallinta
  • IP-osoitteiden hallinta

  • Ohjelmistoversiot
  • Avoimet palvelut
  • Oletustunnukset
  • SQL-palvelimet
  • SSH-palvelimet
  • FTP-palvelimet
  • LDAP-palvelimet
  • Protokollat
  • Ohjelmaversiot

2. Sisäverkon haavoittuvuuksien arviointiin (portti- ja haavoittuvuusskannaukset)

Ulkoverkko
Ulkoverkon arviointi suoritetaan toimistoverkon palvelimia ja työasemia suojaavien verkkokomponenttien ulkopuolelta, jolloin saadaan käsitys kuinka tehokkaasti aktiivilaitteet suojaavat toimistoverkon resursseja. Auditoinnissa hyödynnetään yleisiä skanneriohjelmistoja.

Käsitteitä
Haavoittuvuus- ja murtotestaus
Haavoittuvuus- ja murtotestauksilla havaitaan ohjelmointi- ja konfigurointivirheet. Testauksiin tulee sisällyttää laitteiden tarjoamien palveluiden selvitys, palveluihin sisältyvien tunnettujen haavoittuvuuksien etsintä, autentikointimenetelmien testaus ja muut tietoturvallisuuden kannalta keskeiset tekniset asiat.

Testauksella selvitetään mm. ovatko web-sovelluksesi haavoittuvia Cross Site Scripting- tai SQL-injection -tekniikoita hyödyntäville hyökkäyksille?

Haavoittuvuustestaus
Haavoittuvuustestauksessa (penetraatiotestaus) käytetään samoja menetelmiä ja työkaluja, joita hakkerit käyttävät hyökätessään tietoverkkoja ja –järjestelmiä vastaan.

Murtotestaus
Murtotestauksessa havaittuja puutteita yritetään käyttää hyväksi ja murtautua järjestelmään tai muulla tavalla testata tietojärjestelmän sisältämiä väärinkäytösmahdollisuuksia.

Palomuurin arviointi
Palomuurit sijaitsevat yleensä DMZ-alueella ja mahdollisesti myös muualla sisäverkon segmenttien välillä. Palomuurin auditoinnissa selvitetään konfiguraatiot, säännöstöt ja hallintakäytännöt.

Skanneriohjelmistot
Haavoittuvuustestauksessa käytetään skanneriohjelmistoja, joiden tavoitteena kerätä informaatiota kohdejärjestelmästä.

Skanneriohjelmistoilla saatavan informaation ja tulosten analysoinnin jälkeen valitaan erikseen sovittava joukko testitapauksia, joilla hyökätään käyttöjärjestelmää, ohjelmistoversiota, arkkitehtuuria tai muuta kohdetta vastaan havaittuja turvallisuusaukkoja hyödyntämällä.

Hyökkäysmenetelmät ja ohjelmat on valittava viimeisimpien merkittävimmissä tietoturvafoorumeissa julkistettujen tietojen perusteella.

Raportointi
Arvioijan on laadittava tekniset arviointiraportit selkeällä ja ymmärrettävällä tavalla. Raporteista tulee ilmetä havaitut tietoturva-aukot ja niiden merkitys, haavoittuvat kohteet sekä suositukset miten havaitut ongelmat voidaan korjata.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön