Kuvaus:

Web-sovellusten tietoturvatestauspalvelu tarjoaa riippumattoman uhka-arvion web-sovelluksestasi. Siinä simuloidaan tosielämän hyökkäyksiä sovelluksen haavoittuvuuksien tunnistamiseksi. Testausmenetelmämme noudattavat yleisesti hyväksyttyjä alan parhaita käytänteitä ja turvallisuusstandardeja.

KPMG:n palvelu on tarkoitettu ensisijaisesti yrityksille ja organisaatioille, jotka

  • kehittävät ja / tai käyttävät web-sovelluksia, joissa käsitellään (arkaluonteisia) asiakas- ja / tai liiketoimintakriittisiä tietoja.
  • käyttävät web-sovelluksia sisäisten järjestelmien hallintaan tuotannossa ja teollisuudessa.
  • käyttävät web-sovelluksia pankkipalvelujen tai sähköiseen ostostentekoon liittyvien palvelujen tarjoamiseen asiakkaille.
  • ylläpitävät kriittisiä infrastruktuureja tai tarjoavat terveydenhuoltopalveluja.
Tietoturvatestauksen tiheys on joustava, ja se voidaan tehdä joko kiintein väliajoin tai ajoittaa se sovelluksen uuden version julkaisun ajaksi tai sen jälkeen, kun uusi tietoturva-aukko on havaittu. Tietoturvatestausprojektin pituus riippuu pitkälti testattavan sovelluksen kapasiteetista ja monimutkaisuudesta, mutta on yleensä noin 2,5 viikkoa.

Palveluvaiheet:

1. Aloitustapaaminen

Ennen projektin käynnistämistä on erittäin tärkeää, että osapuolet keskustelevat projektin sisällöstä ja sopivat projektin ehdoista, jotta projektin päädyttyä päästään molempia osapuolia tyydyttävään lopputulokseen. Tässä vaiheessa sovitaan projektin laajuudesta, ehdoista, aikataulusta, hinnasta, tarvittavista resursseista ja testausmenetelmistä. Tässä vaiheessa varmistetaan, että asiakkaan kaikkia huolenaiheita käsitellään yksilöllisesti ja että asiakas saa hänelle parhaiten sopivan ratkaisun.

2. Tiedonkeruu

Tiimimme käyttää asiakkaan lähettämiä asiakirjoja ja julkisesti saatavilla olevia tietoja saadakseen selkeän käsityksen sovelluksen liiketoimintalogiikasta sekä toiminnallisista ja ei-toiminnallisista vaatimuksista. Tätä varten hyödynnämme tietoturvatestaajien pitkää kokemusta ja käytämme automaattisia työkaluja tietojen keräämiseen..

3. Turvallisuushaavoittuvuuksien havaitseminen

Käytämme erilaisia ammattikäyttöön tarkoitettuja työkaluja ja hyökkäystekniikoita sovelluksen haavoittuvuuksien havaitsemiseen ja noudatamme OWASP-turvallisuusstandardeja.

4. Uhka-analyysi

Kokenut ja sertifioitu tiimimme analysoi jokaisen haavoittuvuuden perusteellisesti ja arvioi haavoittuvuuden riskitasoa hyökkäyksen todennäköisyyden ja asiakkaan omaisuuteen kohdistuvan vaikutuksen mukaan.

5. Hyökkäysten simulointi

Testaamme jokaisen haavoittuvuuden käyttämällä hyökkäyksiä ja tekniikoita, jotka ovat mahdollisimman samankaltaisia kuin todelliset hyökkäykset, mutta teemme sen valvotusti, jolloin vältetään asiakkaan omaisuusvahingot. Tässä vaiheessa poistetaan väärät positiiviset tulokset ja testataan asiakastietojen luottamuksellisuus, eheys ja hallittavuus.

6. Raportin laatiminen ja esittäminen

Projektin tulokset kirjataan web-sovellusten tietoturvatestauksen raporttiin. Raportissa tuodaan esiin sovelluksen tärkeimmät tietoturvaan liittyvät pullonkaulat ja listataan toimenpiteet, joita sen parantamiseksi tulisi tehdä. Annamme raportissa suosituksia kunkin tietoturvaheikkouden korjaamiseksi ja esitetään kokonaisarvio näiden toimenpiteiden toteuttamisen monimutkaisuudesta ja siihen tarvittavista resursseista. Projekti päättyy raportin esittelyyn asiakkaalle, jossa esitettään tulokset ja vastataan mahdollisiin lisäkysymyksiin.

Web-sovelluksen tietoturvatestauksen raportti sisältää:

  • Yleisen yhteenvedon, joka tarjoaa korkeatasoisen, ei-teknisen yleiskatsauksen projektin tuloksista ja on syöte asiakkaalle liiketoimintapäätösten tekoon.
  • Kuvauksen testauksen laajuudesta, käytetyistä menetelmistä ja kaikista suoritetuista toimista.
  • Kattavan teknisen kuvauksen havaituista tietoturvaheikkouksista riskitason mukaan luokiteltuna.
  • Suositukset haavoittuvuuksien poistamiseksi tai niiden vaikutusten vähentämiseksi.
  • Simuloitujen hyökkäysten kuvaukset, millä osoitetaan mahdollisen hyökkäyksen riski.
Lisäksi raportti sisältää erillisen asiantuntijalausunnon web-sovelluksen yleisestä turvallisuustasosta nimeltään "Turvallisuuden laadun arviointi". Lausunnon laadinnan yhteydessä jokainen sovellus arvioidaan sen yleisen turvallisuustason perusteella.

Käännä uhat mahdollisuuksiksi

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
 ${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Email again:

HR-analyysi 

HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.
Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.
Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.
Email again: