Kirjeldus:

Uuematel ettevõtetel ei pruugi veel olla kontrolli oma võrguturbe üle. Seevastu küpsematel ettevõtetel on sageli suured ja keerukad võrgud, mis võivad kergesti sisaldada väärkonfiguratsioone ja nõrkusi, eriti kuna üha rohkem organisatsioone kolib oma teenused pilvekeskkonda. Mõlemad stsenaariumid jätavad võimaluse katastroofilisteks turvarikkumisteks, mille tulemuseks on kõrgenenud risk ja oht langeda küberrünnaku ohvriks, mis reeglina tähendavad ettevõtetele ka suuri rahalisi kulutusi ja äriseisakut ning mainekahju.

Meie võrgu läbistustestimise teenus tuvastab ja valideerib haavatavusi, mis esinevad nii sisemises, välisvõrguga suhtlevas kui ka pilvepõhises IT-taristus. Raportis toome välja soovitused nende haavatavuste parandamiseks.

Töö kestvus on orienteeruvalt 3 nädalat.

Teenuse etapid:

1. Ettevalmistav etapp

Selles etapis on rõhuasetus tõhusal suhtlusel kliendi organisatsiooniga, et luua mõlemale poolele sobiv töökeskkond. Määratakse kindlaks tööde ulatus, klient saab kohandada testimise lähenemisviisi ja lepitakse kokku muud töövõtu tingimused.

2. Info kogumise etapp

Viime läbi avatud allikatest pärit andmete kogumise, võrgu kaardistamise ja inventuuri, et luua terviklik pilt kliendi võimalikust ründepinnast. Seda nimetatakse ka digitaalse jalajälje võtmiseks.

3. Skaneerimine ja nummerdamine

4. Ründamine ja läbistamine

5. Aruandlus ja dokumenteerimine

Hinnangu kujunemine

KPMG küberturvalisuse meeskond paistab silma sellega, et me tegutseme struktureeritud ja korratava metoodika alusel. Rõhutame seda kontseptsiooni igas projektis, sest see tagab meie tulemuste usaldusväärsuse, reprodutseeritavuse ehk korratavuse ja kõrge kvaliteedi.

Meie võrguturbe eksperdid testivad projekti ulatusse kuuluvaid võrke ja süsteeme, järgides nii käsitsi rakendatavaid kui ka automatiseeritud ründetaktikaid, -tehnikaid ning -toiminguid, mille puhul kasutatakse kommerts-, avatud lähtekoodiga või omandtarkvara, et hinnata kliendi infrastruktuuri ründaja vaatenurgast.

Samuti saame testida kliendi võrguinfrastruktuuri autenditud kasutaja vaatenurgast. Meie koostöö tagab, et mõistate meie töö käigus tuvastatud riske ja oskate soovitusi rakendada.

Meie võrgu läbistustestimise lähenemisviis põhineb parimatel praktikatel, sealhulgas NIST SP 800-53, PCI DSS, OWASP Top 10, MITRE ATT&CK raamistikel, et hõlmata järgmist:

  • süsteemi ja teenuste inventuur
  • haavatavuste tuvastamine, mida saab ahelana kasutada volitamata juurdepääsu saamiseks süsteemidele, rakendustele ja tundlikele andmetele
  • haavatavuste ärakasutamine
  • süsteemitaseme õiguste vallutamine
  • domeenitaseme õiguste vallutamine
  • tundlikud võrgud, süsteemid ja andmed
  • vajaduse korral segmentimise testimine, et tagada vastavus maksekaardi andmeturbestandardile PCI DSS

Turvatestimiste läbiviimise sagedus on paindlik ning seda võib teha, kas mingi kindla aja tagant või ajastada need hetkedele kui rakendusest on valmimas uus versioon või on avastatud mõni uus ohtlik turvanõrkus. Turvatestimise projekti pikkus sõltub suuresti testitava rakenduse mahust ning keerukusest, kuid on tüüpiliselt suurusjärgus 3 nädalat.

Väljund kliendile

Aruandlus on hindamise edukuse seisukohalt kriitilise tähtsusega, kuna see on püsiv dokumentatsioon, mida saab jagada nii juhtkonna kui ka partneritega.

Iga raport on kohandatud konkreetsele hindamise ulatusele ja põhineb organisatsiooniga seotud riskidel.

Raportid on kergesti loetavad ja mõistetavad ning tulemused on esitatud põhjalikult.

Lisaks on iga haavatavuse juures üksikasjalik parandustoimingute strateegia.

Meie raportitest leiate:

  • lühikokkuvõtte strateegiliste suunistega
  • ülevaate tehnilistest riskidest
  • erinevad võimalused haavatavuste parandamiseks
  • iga haavatavuse võimaliku mõju kirjelduse


Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Küberaudit KPMG Global Privaatsuspoliitika
Email again:

Töötajate teadlikkuse analüüs

Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: