Haavatavuse hindamine, tungimistestimine ja lööktestimine – mis ja milleks?

CYBERS 18. jaan. 2022

Paljud IT meeskonnad, kes on pealkirjas nimetatud turvatestidega kokku puutunud, ei tea sageli, mis nende kolme erinevus on ning millist neist oleks nende organisatsioonil kõige tõhusam antud ajahetkel kasutada. Kuigi nad ongi kontseptuaalselt võrdlemisi sarnased, on neil siiski palju erinevusi. Nende kolme vahel valimine sõltub eelkõige testimise eesmärkidest.  

Püramiid joonisel visualiseerib hästi nende peamisi erinevusi ulatuse ja sügavuse skaalal. 

Mõisted: 

Vulnerability assessment- Haavatavuse hindamine 

Penetration Testing – Tungimistestimine 

Red Teaming – Lööktestimine 

Haavatavuse hindamine – mis, miks ja kuidas 

  • Haavatavuse hindamise meetodiga kaardistatakse ära ettevõttes aegunud tarkvara ja mittekorrektsed seadistused automatiseeritud tööriistades. 
  • Teenus võimaldab  avastada, tuvastada, kategoriseerida ja hallata haavatavusi ja nõrkusi IT süsteemides. Näiteks puuduvaid turvapaikasid või ebaturvalisi seadistusi. Samuti tuvastatakse sellega, millise tarkvara või riistvara kasutusiga on lõppenud või lõppemas ning kus puuduvad turvalisuse seisukohast olulised värskendused.  
  •  Haavatavuse hinnangud võivad olla nii sisemised kui välised. Välise haavatavuse hindamise mõte on tuvastada võrgust nähtavad avatud ja haavatavad süsteemid. See aitab vähendada võimalikke intsidente ja juhuslikku andmeleket. Kuid lisaks sellele on vaja sisemist skannimist, et katta ära ka süsteemid, mis on nähtavad ainult ettevõtte sisevõrgust.

Tungimistgestimine – mis, miks ja kuidas 

  •  See meetod viib haavatavuse hindamise järgmisele tasemele. Nagu nimigi vihjab, üritatakse tungimistestimise käigus erinevaid teid pidi süsteemidesse sisse tungida. Selle teenuse eesmärk on tuvastada lavastatud rünnaku abil erinevate süsteemide nõrkused. 
  • Meetod aitab koguda väärtuslikku infot erinevate rakenduste ja süsteemide tugevuste ja nõrkuste kohta, arvestades samas sellega, et need muutuvad ajas vastavalt arenduse elutsüklile. 
  • Meetodi tulemiks on väga põhjalik raport leidude ning parenduste soovitustega. Juhtkonna jaoks sisaldab raport ka kontsentreeritud kokkuvõtet.

Lööktestimine ja selle tüübid 

 

 

Allikas: https://www.ranorex.com/black-box-testing-tools/

 

Allikas: https://www.vaadata.com/blog/black-grey-or-crystal-box-web-pen-testing-3-different-options/ 

Lööktestimine – mis, miks ja kuidas

  • Lööktestimise meetod annab ausa pildi sellest, milline on antud hetkel ettevõtte ja selle meeskondade turvalisuse alane olukord ja reageerimise võimekus. 
  • Meetod annab võimaluse panna oma IT meeskond, tööriistad, protsessid ja tehnikad proovile. Teenuse eesmärk on tuvastada lüngad ja parenduskohad. 
  • Meetodi idee on rünnata ettevõtet samal viisil nagu häkkerid seda teevad.  
  • Lavastatud kogemus on oluliselt odavam kui reaaleluline rünnak. 
  • Meetod aitab hästi mõista, miks ja kuhu on vaja IT turvalisuse vallas tähelepanu pöörata ja investeerida.  
  • Meetodi tulemiks on väga põhjalik raport leidude ning parenduste soovitustega. Antud raportit on võimalik kasutada ka investeeringud turvalisusesse eelarve täiendamiseks Juhtkonna jaoks sisaldab raport ka kontsentreeritud kokkuvõtet. 

Lööktestimise ja tungimistestimise erinevused

Kokkuvõte

 

Ükski neist kolmest meetodist ei ole turvatestimise võluvits. Nende kolme vahel valimine sõltub teie enda proovile panemise eesmärkidest.  Haavatavuse hindamisega saab kätte nö „madalal rippuvad viljad“.  Tungimistestimine aitab juba teatud süsteemides sügavamale vaadata ja nõrku kohti avastada.  

Lööktestimine on hea viis, et panna proovile organisatsiooni võimekust tervikuna. Selle meetodi puhul toimub rünnak päris maailmas ja sihtmärgiks on töötajad oma igapäevaste töövahendite ja harjumustega.  

Kas te pole oma süsteemide ja rakenduste turvalisuses päris kindel? Soovite mõista, kas teie meeskonna võimekus rünnakutele reageerida on tasemel? 

Võtke meiega ühendust – aitame leida sobivaima meetodi testimiseks ja anname soovitusi parendusteks.

Viimased postitused

19. jaan. 2023

Kuidas teha esimest korda küberturbe eelarvet?

 KüberCast’i külaliseks on CYBERS’i CTO Aleksei Zjabkin. Koos arutletakse selle üle, kuidas korrektselt alustada esmakordselt küberturve eelarve tegemisega, mis on eelarvestamise tüüpilisemad vead ning kuidas on võimalik neid vältida. 

Loe edasi
19. jaan. 2023

Kas petta petturit?

Ronnie Jaanholdi ja Siim Pajusaare seekordseks külaliseks on CYBERS küberturbekeskuse juht Siim Sarv, kes lahkab lähemalt ühe juhtumi anatoomiat, kus uuriti pahaaimamatu petturi töövõtteid

Loe edasi
19. jaan. 2023

KüberCast – mis? miks? kellele?

KüberCast on podcast, kus arutletakse avatult küberturvalisuse müütide ja tabude üle. Saatejuhtideks on Ronnie Jaanhold ja Siim Pajusaar. Avasaates on teemaks nii päevakajalised kübermaailma uudised kui ka alustatakse seitsme surmapatu ülevaatega.

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.