Kuvaus:

Uudet yritykset eivät ehkä vielä pysty hallitsemaan verkkoturvallisuuttaan. Sitä vastoin vanhoilla yrityksillä on usein suuret ja monimutkaiset verkot, jotka voivat helposti sisältää virheellisiä asetuksia ja haavoittuvuuksia, varsinkin kun yhä useammat organisaatiot siirtävät palvelujaan pilviympäristöön. Molemmat skenaariot antavat mahdollisuuden tuhoisiin tietoturvaloukkauksiin, jotka lisäävät riskejä ja vaaraa joutua kyberhyökkäyksen uhriksi. Se tarkoittaa yrityksille pääsääntöisesti myös isoja taloudellisia kustannuksia, liiketoiminnan pysähtymistä ja mainevaurioita.

Verkon pentestauspalvelumme tunnistaa ja arvioi yrityksen sisäisen IT-infran haavoittuvuudet sekä ekstranettiin yhteydessä olevan ja pilvipohjaisen IT-infran haavoittuvuudet. Raportissa esitämme suositukset haavoittuvuuksien korjaamiseksi.

Työn kestoksi arvioimme noin kolme viikkoa.

Palvelun vaiheet:

1. Valmisteluvaihe

Tässä vaiheessa painopiste on tehokkaassa viestinnässä asiakkaan organisaation kanssa, jotta voidaan luoda molemmille osapuolille sopiva työympäristö. Sovitaan työn laajuudesta, asiakas voi mukauttaa testausmenetelmiä ja sovitaan muista toimeksiannon ehdoista.

2. Tiedonkeruuvaihe

Kerätään avoimista lähteistä tiedot, tehdään verkkokartoitus ja inventointi saadaksemme kattavan kuvan asiakkaan mahdollisesta hyökkäyspinnasta. Sitä kutsutaan myös digitaalisen jalanjäljen määrittelemiseksi.

3. Skannaus ja numerointi

4. Hyökkäys ja tunkeutuminen

5. Raportointi ja dokumentointi

Miten arviointi muodostuu

KPMG:n kyberturvallisuustiimi erottuu edukseen, koska käytämme jäsenneltyä ja toistettavaa menetelmää. Korostamme tätä konseptia jokaisessa projektissa, koska se takaa tulostemme luotettavuuden, toistettavuuden ja korkean laadun.

Verkkoturva-asiantuntijamme testaavat projektin piiriin kuuluvia verkkoja ja järjestelmiä kaupallisten ohjelmistojen, avoimen lähdekoodin ohjelmistojen tai yksinoikeudella suojattujen ohjelmistojen avulla käyttämällä sekä manuaalisia että automatisoituja hyökkäystaktiikoita, -tekniikoita ja -operaatioita arvioidakseen asiakkaan IT-infrastruktuuria hyökkääjän näkökulmasta.

Voimme myös testata asiakkaan verkkoinfrastruktuuria rekisteröityneen käyttäjän näkökulmasta. Yhteistyöllämme varmistamme, että ymmärrätte työmme tuloksena havaitut riskit ja pystytte toteuttamaan suositukset.

Lähestymistapamme verkon pentestaukseen perustuu parhaisiin käytänteisiin, mukaan lukien NIST SP 800-53, PCI DSS, OWASP Top 10, MITRE ATT&CK -kehys ja sisältää seuraavaa:


  • järjestelmä- ja palvelukartoitus
  • haavoittuvuuksien havaitseminen, joita voidaan hyödyntää haavoittuvuusketjuna pääsyn saamiseksi järjestelmiin, sovelluksiin ja arkaluonteisiin tietoihin.
  • haavoittuvuuksien hyödyntäminen
  • järjestelmätason käyttöoikeuksien kaappaus
  • verkkotunnustason oikeuksien kaappaus
  • herkät verkot ja järjestelmät ja arkaluonteiset tiedot
  • tarvittaessa tietoverkon segmentoinnin testaaminen maksukorttialan tietoturvastandardi PCI DSS:n noudattamisen varmistamiseksi
Tietoturvatestauksen tiheys on joustava ja testi voidaan uusia joko tietyn ajan kuluttua tai ajastaa se niihin ajankohtiin, kun sovelluksesta on tulossa uusi versio tai uusi vaarallinen tietoturvaheikkous on havaittu. Testausprojektin kesto riippuu pitkälti testattavan sovelluksen kapasiteetista ja monimutkaisuudesta, mutta yleensä se kestää noin kolme viikkoa.

Mitä asiakas saa

Raportointi on arvioinnin onnistumisen kannalta ratkaisevan tärkeää, sillä se on pysyvä dokumentti, joka voidaan johtokunnan lisäksi antaa tiedoksi myös yhteistyökumppaneille.

Kukin raportti räätälöidään arvioinnin laajuuden mukaan ja se perustuu organisaatioon liittyviin riskeihin.

Raportit ovat helposti luettavia ja ymmärrettäviä, ja esitetyt tulokset ovat perusteelliset.

Lisäksi jokaista haavoittuvuutta varteen esitetään yksityiskohtainen korjausstrategia.


Raporteistamme löydät mm:

  • lyhyen yhteenvedon strategisine suuntaviivoineen
  • teknisten riskien yleiskatsauksen
  • erilaisia tapoja korjata haavoittuvuuksia
  • kuvauksen kunkin haavoittuvuuden mahdollisista vaikutuksista

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Email again:

Käyttäjäanalyysi

Käyttäjäanalyysi keskittyy kyberturvallisuuden heikoimman lenkin - käyttäjän, toimihenkilön — osaamisen kartoittamiseen ja lisäämiseen.

Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.

Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.

Email again: