22.12 2022

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

 Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuuden asiantuntijat selittävät, kuinka pienentää riskiä joutua hyökkäyksen uhriksi ja miksi eri skenaariot on pelattava läpi.

Kerro ensimmäisenä, mitä on pentestaus?

KPMG:n kybertiimin johtava asiantuntija Rein Luhtarun mukaan verkkosovellusten pentestaus tarkoittaa sitä, että kyberturvallisuuden asiantuntijat yrittävät hyökkääjän roolissa tunkeutua järjestelmiin. "Meillä on erityiset turvallisuusvaatimukset ja -standardit ja tarkistamme, että sovellukset ovat niiden mukaisia. Tätä varten käytämme samoja tekniikoita ja työkaluja, joita todelliset hyökkääjät käyttävät."

Ero testaajien ja todellisten hyökkääjien välillä on se, että KPMG:n testaajat ovat valtuutettuja suorittamaan näitä toimintoja. "Näitä toimintoja tehdessämme varmistamme, että teemme sen mahdollisimman vähän häiritsevällä tavalla. Emme poista testattavaa sovellusta tai tee muille tahoille pääsyä siihen millään tavalla helpommaksi", hän selittää.

Lisäksi KPMG:n kybertiimi kirjaa kaikki toimintansa ja havaitut ongelmat. "Esittelemme havaitut tietoturvahaavoittuvuudet asiakkaalle helposti ymmärrettävällä tavalla , jotta hän voisi suojautua vastaavilta hyökkäyksiltä ja ratkaista havaitsemamme ongelmat", Luhtaru sanoo.

KPMG:n kyberturvallisuusasiantuntija Jaan Vahtre lisää, että testaajilla on asiakkaan kanssa etukäteen sovittu tietty tavoite ja työn laajuus. "Testaus ei ole mitään selittämätöntä; työskentelemme sovitun standardin mukaisesti ja työmme perustuu tiettyyn menetelmään", Vahtre sanoo.

Todelliset riskit, joita on huomioitava

Luhtarun mukaan pahin onnettomuus, jonka asiakas voi itse aiheuttaa, on se, että yrityksensä tai asiakkaidensa liiketoiminnan kannalta tarpeellisia tietoja säilytetään tai käsitellään epäturvallisesti jossain pilvessä, missä tieto on helposti kyberrikollisten saatavilla.

"Palvelun katkeamisesta aiheutuvat aineelliset vahingot ovat yksi asia, mutta mainevaurioita ei voi aliarvioida, koska niiden laajuutta ja taloudellisia vaikutuksia on usein hyvin vaikea mitata. Ensisilmäyksellä ei ole helppoa sanoa, kuinka paljon vahinkoa on aiheutunut, jos asiakkaasi eivät enää luota sinuun ja lopettavat palvelujen ostamisen", Vahtre sanoo.

Luhtaru lisää, että asiakkaiden luottamuksen menettämiseen ei tarvita muuta kuin yksi tietovuoto. "On tietenkin tyypillistä, että toimihenkilöt eivät ole hyvin koulutettuja. On ollut monia tapauksia, joissa hyökkääjä pääsee järjestelmään yhden tietokoneen kautta, kryptaa yrityksen kaikki varat, tilit ja kaiken muun, joten yritys ei voi enää jatkaa toimintaansa."

Vahtre lisää, että valitettavasti kuulemme joka viikko tapauksista, joissa teknisten keinojen lisäksi hyökkäyksiä tehdään onnistuneesti myös ihmisiä manipuloimalla.

Tämän estämiseksi Luhtaru suosittelee, että yritykset lähettävät kehittäjät asianmukaisille koulutuskursseille, joissa he oppivat ennakoimaan ongelmia ja tunnistamaan hyökkäyksiä. "Myös ohjelmistokehitystiimin kannattaa osallistua näille kursseille, sillä jos tietoturva sisällytetään ohjelmiston kehityskaareen alusta alkaen, säästyy myöhemmin monilta ongelmilta."

Rahoitussektori on muutaman askeleen muita edellä

"Kokonaisuudessaan tietoisuus kyberturvallisuuden uhkista on finanssisektorilla parempaa; sen varmistamiseen panostetaan ja kohdennetaan enemmän resursseja. Tässä hyökkäyksen riski on varmasti suurempi kuin joillain muilla aloilla. Mutta kun kuuntelee uutisia, huomaa, että tietoisuus muillakin sektoreilla on parantunut viime vuosina merkittävästi", Vahtre sanoo.

Hänen mielestään on korkea aika pohtia, miten saisi tietoisuutta parannettua nykyisestä kaikilla sektoreilla ja toiminta-alueilla. "Minun on sanottava, että tietoisuus mobiilisovellusten turvallisuudesta on erityisen heikkoa", Vahtre huomauttaa.

Mutta kuinka yritykset voivat suojautua hyökkäyksiltä ja mitä pentestauksesta voidaan oppia? Luhtaru vastaa, että yrityksen kannattaa ehdottomasti tilata pentestaus, jos se on kehittänyt verkkosovelluksesta uuden version tai aikoo ottaa sen laajempaan käyttöön. "Testauksen jälkeen kuvailemme ongelma-alueet ja turvallisuutta koskevat virheet siten, että tavallinen ohjelmistokehittäjä voi ymmärtää ja korjata ne", hän lisää.

Pentestaajan tehtävä on olla pahis

Vahtre lisää, että kun asiakas on tilannut ohjelmiston kolmannelta osapuolelta, KPMG:n tiimi on joskus asiakkaan kanssa vieraillut kehittäjän luona keskustelemassa havaituista haavoittuvuuksista ja uhista ja selittämässä, miten pahansuovat toimijat voisivat niitä hyödyntää. "Olemme yhdessä laatineet toimintasuunnitelman heikkouksien korjaamiseksi tai niiden vaikutusten vähentämiseksi."

Laajan kokemuksen ohjelmakehityksestä omaava Luhtaru tietää liiankin hyvin, että kun yritykset pyytävät kehittäjiä testaamaan sovelluksia, he eivät koskaan testaa niitä tietoturvan näkökulmasta. "Yleensä ainoa asia, jolla on yritykselle merkitystä, on liiketoimintaprosessi ja se, että he voivat tienata sovelluksellaan.

Pääsääntöisesti turvallisuutta tai riskejä ei valitettavasti huomioida, vaan keskitytään houkuttelemaan asiakasta käyttämään tuotteitaan ottamatta huomioon, että käyttäjät voivat olla myös pahantahtoisia toimijoita."

Pentestaajien tehtävänä on kuitenkin keskittyä synkkiin skenaarioihin ja olla pahantahtoisen asiakkaan roolissa, joka haluaa vahingoittaa yritystä, jonka palveluita hän käyttää, Luhtaru kuvailee.

Miten tee-se-itse-pentestaus kuulostaa? Voisivatko yritykset tehdä pentestauksia itse, jotta heidän ei tarvitsisi joka kerta palvelua tilata?

Vahtren mukaan kehittäjien tulisikin ottaa tietoturvatestausstandardi käyttöön ja noudattaa sitä kehitysprosessissa, mutta se ei korvaa säännöllistä ja erillistä tietoturvatestausta.

Luhtaru kertoo KPMG:n kokemuksen osoittavan, että vaikka haavoittuvuusskanneria voi käyttää kuka tahansa, kaikki eivät pysty tulkitsemaan, ovatko sen havainnot positiivisia vai negatiivisia tai mitä ne oikeasti tarkoittavat.

"Käytännössämme olemme nähneet, miten suuri ero on siinä, käyttääkö haavoittuvuusskanneria tavallinen toimihenkilö tai It-asiantuntija vai ulkopuolinen palveluntarjoaja. Skannerin tulosten tarkastelun lisäksi ulkoinen pentestaaja pystyy analysoimaan sovelluksen systemaattisesti ja ennustamaan, mitä hyökkääjä tekisi seuraavaksi, kuinka hän hyödyntäisi tiettyä heikkoutta tunkeutuakseen syvemmälle järjestelmään ja saadakseen entistä enemmän tietoa yrityksestä", Luhtaru selittää.


Pentestaus vaatii luovuutta

Vahtren mukaan automaattiset työkalut eivät ymmärrä yrityksen liiketoimintalogiikkaa. Ne eivät pysty arvioimaan uhkia asianmukaisesti tai käyttämään hyväkseen erilaisia haavoittuvuuksia toteuttaakseen kehittyneempiä hyökkäyksiä. "Tämä työ vaatii paljon luovuutta: katsomme jokaista sovellusta erikseen, sillä niiden hyökkäysvektorit ovat erilaisia. Liiketoimintalogiikkaa ei voi testata yhdellä mallilla", hän perustelee.

Luhtaru tiivistää asian sanomalla, että pentestauksen ulkoistamisessa tärkeintä on se, että tilannetta katsotaan tuorein silmin. "Henkilö, joka ei ole ollut mukana prosessissa, näkee sovelluksen täysin eri näkökulmasta kuin esimerkiksi ohjelmistokehittäjä, jolla sovellus on ollut työn alla viimeiset kuusi kuukautta. Käytämme samaa lähestymistapaa tiimimme sisällä, kun teemme useita testejä samalle sovellukselle. Vaihdamme tiimin testaajia vain katsoaksemme sovellusta tuoreilla silmillä, mikä saattaa paljastaa virheen, jota emme olleet huomanneet edellisen testin aikana.

Jaan Vahtre

Kyberturvallisuuden asiantuntija

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Käännä uhat mahdollisuuksiksi

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
 ${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Email again:

HR-analyysi 

HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.
Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.
Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.
Email again: