Sisältöön

Penetraatiotestaus - SecMeter

Ohita valikko
Ohita valikko

Penetraatiotestaus

Yritysturvallisuus > Kyberturvallisuus
Penetraatiotestaus



Penetraatiotestauksella tarkoitetaan järjestelmällistä testausta, jonka tavoitteena on tunnistaa tietojärjestelmän suojausmekanismien heikkouksia ja haavoittuvuuksia. Termi "penetraatio" viittaa läpäisyyn tai tunkeutumiseen. Tietoturvakontekstissa se tarkoittaa pyrkimystä päästä luvattomasti suojattuun järjestelmään, usein ulkoverkon kautta (Blackbox-lähestymistapa).

Penetraatiotestauksen tarkoituksena on simuloida mahdollisia hyökkäystapoja ja arvioida, kuinka hyvin järjestelmä kestää ulkoisia uhkia. Testauksessa ei kuitenkaan pyritä todentamaan löydettyjen haavoittuvuuksien hyväksikäytettävyyttä käytännössä, tämä kuuluu varsinaisen murtotestauksen (exploit-testaus) tai hyödyntämistestauksen piiriin.

Testauksen päätavoitteena on tuottaa johdolle ja tekniselle henkilöstölle luotettavaa tietoa järjestelmän kyvystä torjua ulkoverkosta tulevia hyökkäyksiä, sekä tarjota suosituksia mahdollisista parannustoimenpiteistä.
Tehtävälista
Suunnittelu ja valmistelu

  1. Määrittele testauksen tavoitteet (esim. järjestelmän suojaustason arviointi, compliance-vaatimukset).
  2. Tunnista testauksen kohteet (verkkopalvelimet, sovellukset, verkot, päätelaitteet).
  3. Valitse testauksen tyyppi (Blackbox, Whitebox, Greybox).
  4. Nimeä vastuuhenkilö(t) ja määrittele roolit.
  5. Laadi testauksen aikataulu ja rajaukset (esim. testiaika, testattavat IP-osoitteet).
  6. Tee riskiarvio testauksen vaikutuksista (häiriöt, järjestelmäkatkot).
  7. Hanki johdon hyväksyntä ja tarvittavat luvat testaukselle.
  8. Varmista tarvittavat varmuuskopiot ennen testausta.

Testauksen toteutus

  1. Valitse luotettava ja sertifioitu penetraatiotestaaja (esim. CEH, OSCP).
  2. Toimita testaajalle tarvittavat tiedot ja käyttöoikeudet (jos kyseessä ei ole Blackbox).
  3. Seuraa testauksen etenemistä ja dokumentoi tapahtumat.
  4. Kommunikoi testaajan kanssa mahdollisista löydöksistä testauksen aikana.

Tulosten analysointi

  1. Vastaanota testausraportti (sis. löydökset, riskiluokitukset, suositukset).
  2. Arvioi löydösten vakavuus ja priorisoi toimenpiteet.
  3. Jaa raportti sovituille sidosryhmille.

Korjaavat toimenpiteet

  1. Laadi korjaussuunnitelma löydösten perusteella.
  2. Toteuta korjaukset ja parannukset tietoturvaan.
  3. Dokumentoi kaikki toteutetut muutokset.

Jälkiseuranta ja jatkokehitys

  1. Suorita uusintatestaus tarvittaessa.
  2. Päivitä tietoturvapolitiikka ja ohjeistukset havaintojen pohjalta.
  3. Järjestä tarvittaessa koulutusta henkilöstölle.
  4. Suunnittele säännöllinen testausjakso (esim. vuosittain tai muutosten yhteydessä).
Penetraatiotestauksessa on kolme erilaista lähestymistapaa: Blackbox-, Greybox- ja Whitebox-testaus. Nämä vaihtoehdot eroavat toisistaan sen mukaan, kuinka paljon tietoa testaajalla on etukäteen testattavasta järjestelmästä tai kohteesta.

Blackbox-testaus (ulkoisen hyökkääjän näkökulma)

  • Testaajalla ei ole lainkaan ennakkotietoa järjestelmästä (ei käyttäjätunnuksia, verkkoarkkitehtuuria tai lähdekoodia).
  • Simuloi ulkopuolista hyökkääjää, joka lähestyy järjestelmää ilman pääsyä sisäisiin tietoihin.
  • Soveltuu hyvin testaamaan julkisesti saatavilla olevien palveluiden suojaustasoa (esim. verkkosivut, rajapinnat).
  • Tavoitteena on tunnistaa näkyvät haavoittuvuudet, kuten konfiguraatiovirheet, julkiset avoimet portit tai huonosti suojatut sovellukset.

Greybox-testaus (rajoitetun tiedon lähestymistapa)

  • Testaajalla on osittaiset tiedot järjestelmästä, kuten käyttäjätunnus normaalikäyttäjänä tai perustiedot arkkitehtuurista.
  • Tasapaino Blackboxin ja Whiteboxin välillä.
  • Yleinen lähestymistapa yrityksissä, koska se tarjoaa realistisen hyökkäysskenaarion organisaation sisältä tai osittain tuntevasta ulkoisesta hyökkääjästä.
  • Tavoitteena on testata järjestelmää todellisuutta vastaavalla tavalla, esim. kuinka pitkälle tavallinen käyttäjä voi päästä väärin konfiguroidussa ympäristössä.

Whitebox-testaus sisäpiiriläisen tai kehittäjän näkökulma)

  • Testaajalla on täydet tiedot järjestelmästä: lähdekoodi, dokumentaatio, verkkokaaviot, järjestelmäoikeudet.
  • Mahdollistaa perusteellisen analyysin logiikkavirheistä, koodin haavoittuvuuksista ja piilevistä riskeistä.
  • Hyödyllinen erityisesti sovelluskehityksen aikana (secure code review).
  • Tavoitteena on tunnistaa syvemmällä olevat, ei-julkiset haavoittuvuudet ja tarkistaa, että suojausmekanismit toimivat suunnitellusti.



Penetraatiotestausta edeltää yleensä yrityksen teknisten asiantuntijoiden haastattelut, jonka perusteella suunnitellaan verkkoskannaus. Verkkoskannauksen avulla kerätään kohdejärjestelmistä yksityiskohtaisia tietoja, joita tarvitaan varsinaisessa penetraatiotestauksessa. Verkkoskannaukset jaetaan verkko-, portti- ja haavoittuvuusskannauksiin seuraavasti:

  • Verkkoskannauksella tutkitaan kohdejärjestelmän rakennetta ja potentiaalisia hyökkäyskohteita.
  • Porttiskannauksella etsitään avoimet portit.
  • Haavoittuvuusskannauksella etsitään kohdejärjestelmästä tunnettuja haavoittuvuuksia.

Verkkoskannauksessa tutkitaan mm.

  • Mitä yhteyksiä ja verkkopalvelimia on kytketty internetiin?
  • Millaisia järjestelmiä ja järjestelmäversioita sisäverkkoon on asennettu?

Penetraatiotestauksessa tutkitaan mm.

  • Sisältyykö sovelluksiin hyökkäystä helpottavia koodausvirheitä?
  • Sisältyykö palvelimien asennuksiin konfigurointivirheitä?
  • Onko palveluissa virheellisiä linkkejä tai linkkejä sisäisiin palveluihin?
  • Paljastaako sisäverkko hyökkäyksen kannalta olennaisia tietoja julkiseen verkkoon?
  • Onko palvelimet asianmukaisesti suojattu?
  • Onko DMZ-alue riittävästi suojattu?

Penetraatiotestauksen tulokset raportoidaan yrityksen johdolle. Raportointiin tulee liittää selkeät priorisoidut kehitysehdotukset.

Työkaluohjelmia
Penetraatiotestauksessa käytetään useita erityyppisiä työkaluohjelmistoja ja hyödynnetään verkkoskannauksessa hankittuja tietoja sekä selvitetään järjestelmän toiminnallisuudet ja mahdolliset haavoittuvuudet.

Aircrack
Ilmaisen ohjelman avulla on mahdollisuus kohdejärjestelmän haavoittuvuuksia ja korjata heikkouksia. Ohjelma on WEP (Wired Equivalent Privacy) ja WPA-PSK avainten murto ohjelmisto, joka sisältää työkaluja myös verkkoliikenteen salakuunteluun ja WEP ja WPA/WPA2-PSK analysointiin.

Aircrack-ohjelma kaappaa tietoa lähetetyistä tietopaketeista ja yrittää päätellä salausavaimen käyttäen hyväkseen sekä tiedon määrää, että koodauksen algoritmin yhteisiä kuvioita.

BackTrack
Ilmainen WLAN-salausten haavoittuvuuksien analysointiin käytettävä ohjelma, joka sisältää työkalut tietoturvan ja haavoittuvuuksien testaukseen. Ohjelmaa voidaan käyttää mm. verkkojen etsintään ja tiedonkeräykseen sekä hyökkäyksiin WEP- ja WPA-salattuihin verkkoihin.

Ettercap
Ilmainen avoimen lähdekoodin tietoturvatyökaluohjelma, joka on suunniteltu MITM hyökkäyksiin. Ohjelmaa voidaan käyttää verkkoprotokollan turvallisuuden analysointiin.

Ohjelma pystyy sieppaamaan verkkoliikenteen salasanoineen. Filttereiden/Suodattimien avulla on mahdollista muokata käyttäjien välistä liikennettä automaattisesti. Ohjelma sisältää myös dns spoof (DNS huijaus) pluginin.

Hacker Defender
Tietomurtoihin käytettävä ilmainen rootkit-ohjelma, josta on saatavana myös maksullinen "Golden"-versio. Ohjelma avaa takaportin, jota kautta hyökkääjä saa kohdejärjestelmän hallintaansa. Ohjelma osaa myös piiloutua rootkit-ohjelmien poistotyökaluohjelmilta.

Kismet
Ilmainen langattoman verkon skanneri ja tunkeutumisen havainnointiohjelma. Ohjelma toimii useimpien langattomien verkkokorttien kanssa. Ohjelma tunnistaa verkkoja passiivisesti kerää paketteja ja etsii mm. standardin mukaisesti nimettyjen ja piilotettujen verkkojen dataliikennettä.

Metasploit
Hyökkäyksissä käytettävä ilmainen työkaluohjelma, jonka avulla hyökkääjä saa muistinkäsittelyvirheen sisältävän ohjelmiston suorittamaan haluamaansa koodia.

Nmap
Ilmainen porttiskanneri. Ohjelma ilmaisee kohdejärjestelmän avoimet portit. Skannaus on mahdollista tehdä useaan kohdejärjestelmään kerralla.

Nessus
Ilmainen haavoittuvuusskanneri. Ohjelma tarkastaa annetun verkko-osoiteavaruuden ja selvittää onko kohteeseen mahdollista tehdä tietomurto.

NetStumbler
Ilmainen WLAN-kartoitusohjelma. Ohjelmalla voi esimerkiksi testata salauksen näkyvyyttä ja selvittää verkon haavoittuvuuksia.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön