Kirjeldus:

Veebirakenduse turvatestimise teenus pakub sõltumatut ohuanalüüsi teie veebirakendusele. Selle teenuse käigus simuleeritakse päris elulisi rünnakuid, et tuvastada rakenduses olevaid turvanõrkusi. Meie testimise metodoloogia järgib rahvusvaheliselt tunnustatud parimaid praktikaid ja turvastandardeid.

KPMG teenus on eelkõige mõeldud ettevõtetele ja organisatsioonidele, kes:

  • Arendavad ja/või kasutavad veebirakendusi, mis töötlevad (tundlikke) kliendi- ja/või ärikriitilisi andmeid.
  • Kasutavad tootmisel ja tööstuses veebirakendusi sisemiste süsteemide haldamiseks.
  • Kasutavad veebirakendusi, et pakkuda klientidele panganduse või e-poe teenuseid.
  • Haldavad kriitilisi infrastruktuure või pakuvad meditsiiniteenuseid.

Turvatestimiste läbiviimise sagedus on paindlik ning seda võib teha, kas mingi kindla aja tagant või ajastada need hetkedele kui rakendusest on valmimas uus versioon või on avastatud mõni uus ohtlik turvanõrkus. Turvatestimise projekti pikkus sõltub suuresti testitava rakenduse mahust ning keerukusest, kuid on tüüpiliselt suurusjärgus 2,5 nädalat.

Teenuse etapid:

1. Eelkohtumine kliendiga

 Enne projekti alustamist on väga tähtis, et osapooled arutavad läbi projekti sisu ning lepivad kokku projekti puudutavates tingimustes, et saavutada projekti lõppedes mõlemaid osapooli rahuldav tulemus. Selles etapis lepitakse kokku projekti skoop ehk ulatus, tingimused, läbiviimise aeg, hind, vajalikud ressurssid ning testimise metodoloogia. See etapp tagab, et igale kliendi murele lähenetakse individuaalselt ning need saavad lahenduse, mis sobib kõige paremini.

2. Info kogumine

Meie meeskond kasutab kliendi poolt saadetud dokumentatsiooni ning avalikult kättesaadavat infot, et luua endale selge arusaamine rakenduse äriloogikast ning funktsionaalsetest ja mitte-funktsionaalsetest nõuetest. Selleks kasutame turvatestijate pikaaegset kogemust ning automaatseid tööriistu info kogumiseks.

3. Turvanõrkuste avastamine

Kasutame erinevaid professionaalseid tööriistu ja ründetehnikaid, et avastada rakendusest turvanõrkusi ning töötame vastavalt OWASP turvastandartitele.

4. Ohuanalüüs

Meie kogenud ja sertifitseeritud meeskond analüüsib igat turvanõrkust põhjalikult ning hindab turvanõrkuse riskitaset vastavalt ründe tõenäosusele ja kliendi varale avalduvale mõjule.

5. Näidisrünnakute läbiviimine

Me kontrollime igat turvanõrkust kasutades ründeid ja tehnikaid, mis on võimalikult sarnased päris rünnakutele, kuid teeme seda kontrollitud moel ning seeläbi hoiame ära kaasneva kahju kliendi varadele. Selles etapis eemaldatakse valepositiivsed leiud ning testitakse kliendiandmete konfidentsiaalsust, terviklikkust ning käideldavust.

6. Raporti ettevalmistus ning esitlus

Projekti tulemused pannakse kirja veebirakenduse turvatestimise raportis. Raport toob välja rakenduse turvalisuse kõige tähtsamad kitsaskohad ning järjestab tegevused, mida selle parendamiseks tuleks teha. Iga turvanõrkuse parandamiseks antakse meiepoolsed soovitused ning üldine hinnang nende tegevuste läbiviimise keerukusest ja vajalikest ressurssidest. Projekt lõpetatakse raporti esitlemisega kliendile, kus tutvustatakse tulemusi ning vastatakse kõikidele täiendavatele küsimustele.

Veebirakenduse turvatestimise raport sisaldab:

  • Üldist kokkuvõtet, mis annab kõrgetasemelise ning mittetehnilise ülevaate
    projekti tulemustest ja on sisendiks äriliste otsuste tegemisel.
  •  Kirjeldust testimise skoobist, kasutatud metodoloogiatest ning kõikidest läbiviidud tegevustest.
  •  Põhjalikku tehnilist kirjeldust avastatud turvanõrkustest, mis on järjestatud vastavalt nende riskitasemele.
  •  Soovitusi turvanõrkuste eemaldamiseks või nende mõju vähendamiseks.
  •  Näidisrünnakuid, mis näitavad ära potentsiaalse rünnaku ohtlikkust.

    • Lisaks sisaldab meie raport eraldi ekspertarvamust veebirakenduse üleüldisest turvatasemest ehk “Turvalisuse kvaliteedihinnang”. Selle käigus hinnatakse igat rakendust vastavalt üldisele turvatasemele.

Muuda ohud võimalusteks

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
 ${item.title}
KPMG Baltics KPMG Küberaudit KPMG Global Privaatsuspoliitika
Email again:

Töötajate teadlikkuse analüüs

Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.
Email again: