Haavatavuse hindamine, tungimistestimine ja lööktestimine – mis ja milleks?

CYBERS 18. jaan. 2022

Paljud IT meeskonnad, kes on pealkirjas nimetatud turvatestidega kokku puutunud, ei tea sageli, mis nende kolme erinevus on ning millist neist oleks nende organisatsioonil kõige tõhusam antud ajahetkel kasutada. Kuigi nad ongi kontseptuaalselt võrdlemisi sarnased, on neil siiski palju erinevusi. Nende kolme vahel valimine sõltub eelkõige testimise eesmärkidest.  

Püramiid joonisel visualiseerib hästi nende peamisi erinevusi ulatuse ja sügavuse skaalal. 

Mõisted: 

Vulnerability assessment- Haavatavuse hindamine 

Penetration Testing – Tungimistestimine 

Red Teaming – Lööktestimine 

Haavatavuse hindamine – mis, miks ja kuidas 

  • Haavatavuse hindamise meetodiga kaardistatakse ära ettevõttes aegunud tarkvara ja mittekorrektsed seadistused automatiseeritud tööriistades. 
  • Teenus võimaldab  avastada, tuvastada, kategoriseerida ja hallata haavatavusi ja nõrkusi IT süsteemides. Näiteks puuduvaid turvapaikasid või ebaturvalisi seadistusi. Samuti tuvastatakse sellega, millise tarkvara või riistvara kasutusiga on lõppenud või lõppemas ning kus puuduvad turvalisuse seisukohast olulised värskendused.  
  •  Haavatavuse hinnangud võivad olla nii sisemised kui välised. Välise haavatavuse hindamise mõte on tuvastada võrgust nähtavad avatud ja haavatavad süsteemid. See aitab vähendada võimalikke intsidente ja juhuslikku andmeleket. Kuid lisaks sellele on vaja sisemist skannimist, et katta ära ka süsteemid, mis on nähtavad ainult ettevõtte sisevõrgust.

Tungimistgestimine – mis, miks ja kuidas 

  •  See meetod viib haavatavuse hindamise järgmisele tasemele. Nagu nimigi vihjab, üritatakse tungimistestimise käigus erinevaid teid pidi süsteemidesse sisse tungida. Selle teenuse eesmärk on tuvastada lavastatud rünnaku abil erinevate süsteemide nõrkused. 
  • Meetod aitab koguda väärtuslikku infot erinevate rakenduste ja süsteemide tugevuste ja nõrkuste kohta, arvestades samas sellega, et need muutuvad ajas vastavalt arenduse elutsüklile. 
  • Meetodi tulemiks on väga põhjalik raport leidude ning parenduste soovitustega. Juhtkonna jaoks sisaldab raport ka kontsentreeritud kokkuvõtet.

Lööktestimine ja selle tüübid 

 

 

Allikas: https://www.ranorex.com/black-box-testing-tools/

 

Allikas: https://www.vaadata.com/blog/black-grey-or-crystal-box-web-pen-testing-3-different-options/ 

Lööktestimine – mis, miks ja kuidas

  • Lööktestimise meetod annab ausa pildi sellest, milline on antud hetkel ettevõtte ja selle meeskondade turvalisuse alane olukord ja reageerimise võimekus. 
  • Meetod annab võimaluse panna oma IT meeskond, tööriistad, protsessid ja tehnikad proovile. Teenuse eesmärk on tuvastada lüngad ja parenduskohad. 
  • Meetodi idee on rünnata ettevõtet samal viisil nagu häkkerid seda teevad.  
  • Lavastatud kogemus on oluliselt odavam kui reaaleluline rünnak. 
  • Meetod aitab hästi mõista, miks ja kuhu on vaja IT turvalisuse vallas tähelepanu pöörata ja investeerida.  
  • Meetodi tulemiks on väga põhjalik raport leidude ning parenduste soovitustega. Antud raportit on võimalik kasutada ka investeeringud turvalisusesse eelarve täiendamiseks Juhtkonna jaoks sisaldab raport ka kontsentreeritud kokkuvõtet. 

Lööktestimise ja tungimistestimise erinevused

Kokkuvõte

 

Ükski neist kolmest meetodist ei ole turvatestimise võluvits. Nende kolme vahel valimine sõltub teie enda proovile panemise eesmärkidest.  Haavatavuse hindamisega saab kätte nö „madalal rippuvad viljad“.  Tungimistestimine aitab juba teatud süsteemides sügavamale vaadata ja nõrku kohti avastada.  

Lööktestimine on hea viis, et panna proovile organisatsiooni võimekust tervikuna. Selle meetodi puhul toimub rünnak päris maailmas ja sihtmärgiks on töötajad oma igapäevaste töövahendite ja harjumustega.  

Kas te pole oma süsteemide ja rakenduste turvalisuses päris kindel? Soovite mõista, kas teie meeskonna võimekus rünnakutele reageerida on tasemel? 

Võtke meiega ühendust – aitame leida sobivaima meetodi testimiseks ja anname soovitusi parendusteks.

Viimased postitused

26. sept. 2023

Mõistatuslik sumiseja – UVB-76

UVB-76 ehk the buzzer, on üks neist müsteeriumidest, mis on köitnud nii amatöörraadio entusiaste kui ka vandenõuteoreetikuid. Seekordses KüberCASTi saates on Saatejuhtidel Ronnie Jaanholdil ja Siim Pajusaarel külas Andrus Aaslaid – raadiosignaalide ja signaalianalüüsi entusiast, kes on hobikorras pühendanud aastaid UVB-76 ja sarnaste fenomenide uurimisele. Räägime fenomenist nimega UVB-76 mis oma olemuselt tundub lihtsalt sumisev raadiojaam kuid selle taga on peitumas palju muud.

Loe edasi
11. sept. 2023

Kes, mis ja miks on ISO 27001?

Saates räägitakse täpsemalt ISO 27001 standardist, selle vajalikkusest ning ka auditeerimisprotsessist. Selgeks saab see, et ISO 27001 sertifikaat on võimas tööriist infoturbe tagamiseks ja klientide usalduse suurendamiseks.

Loe edasi
28. aug. 2023

Tõus traditsioonilisest IT konverentsist tulevikku suunatud turvalisuse edendajani

Security Summit oli algupäraselt klassikaline IT konverents, mille peamiseks sihtgrupiks olid tehnilised spetsialistid. Konverentsi põhieesmärk on aga palju suurem – tõsta ühiskonna teadlikkust küberturvalisusest tervikuna. Seda mitte ainult IT-spetsialistidele, vaid kõigile, kes puutuvad kokku digitaalsete seadmete ja teenustega. Sel aastal on toimumas juba 14. Security Summit, olles suurem ja sisukam kui kunagi varem.

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.