Küberohud nagu andmelekked ja lunavararünnakud võivad ettevõtetele põhjustada tõsist rahalist kahju. Kõige kindlam viis IT-infrastruktuuri selliste rünnakute ja ärilise kahju eest kaitsta on regulaarsete penetratsioonitestide läbiviimine. Mida peaks penetratsioonitesti teenuse tellimisel silmas pidama? Ideaalsed vastused sellele küsimusele leiate järgnevast sisust.
Mis on penetratsioonitest?
Penetratsioonitest on küberturbeeksperdi poolt läbiviidav kontrollitud ründesimulatsioon. Simulatsiooni eesmärk on tuvastada nõrgad kohad, mida pahatahtlikud isikud võiksid ära kasutada info varastamiseks või kogu süsteemi ülevõtmiseks. Penetratsioonitestid näitavad lisaks IT-infrastruktuuri haavatavuste avastamisele ka seda, kui vastupidav on süsteem tegelike rünnakute vastu.
Penetratsiooniteste saab läbi viia kas organisatsiooni kogu IT-infrastruktuuri või selle kindlate osade põhiselt. Simulatsioone saab luua keskendudes välisvõrkudele, serveritele, veebi- ja mobiilirakendustele ning IoT-seadmetele. Simulatsiooni tulemused analüüsitakse ja koostatakse põhjalik aruanne. Aruandes esitatakse soovitused, milliseid muudatusi saaks turvapoliitikas teha olemasolevate haavatavuste kõrvaldamiseks.
Millele pöörata tähelepanu penetratsioonitesti teenuste puhul?
Penetratsioonitesti ettevõtte valimisel on oluline arvestada järgmiste kriteeriumitega.
Sertifitseerimine
Sertifitseerimine on kõige olulisem kriteerium küberturvalisuse ettevõtte valimisel penetratsioonitesti teenuse jaoks. Eeliseks on, kui testimisteenust pakkuval ettevõttel on rahvusvaheliselt tunnustatud sertifikaadid.
Teenusepakkuja vastavust õigusaktidele ja kvaliteedistandarditele saate esmalt kontrollida TSE heakskiidu olemasolu järgi. TSE penetratsioonitesti volitusega ettevõtted viivad IT-infrastruktuuri auditi läbi täielikus vastavuses eetiliste ja juriidiliste kohustustega.
Referentsid ja kogemustase
Penetratsioonitesti ettevõtte valimisel on sertifitseerimise kõrval sama olulised ka referentsid ja kogemustase. Lihtsaim viis nende kahe kriteeriumi kohta teavet saada on uurida ettevõtte varasemaid töid. Teie sektoris teenuse osutamise kogemus hõlbustab mõlema poole vastastikust mõistmist protsessi juhtimisel ja ideaalsete lahenduste väljatöötamist. Kogemustaset hinnates võib individuaalselt hinnata ka penetratsioonitesti läbiviivaid isikuid, eriti meeskonna juhti.
Testi ulatus
Penetratsioonitesti ettevõtte valimisel tuleb arvestada ka testi ulatusega. Testi ulatuse määramisel määratletakse esmalt eesmärgid. Testimisprotsessi peamised varad, millele simulatsioon keskendub, on sise- ja välisvõrgud. Lisaks võrkudele saab simulatsiooni käigus penetratsioonitesti protokolle rakendada ka maksesüsteemidele ja kasutajate andmebaasidele. Testida saab ka API-sid ja mikroteenuseid ning IoT-seadmeid.
Pärast eesmärkide määratlemist tuleb otsustada, millist testi tüüpi rakendada. Selles kontekstis võimaldab musta kasti test läbi viia välise ründesimulatsiooni ilma süsteemile mingit teavet andmata. Halli kasti test võimaldab saada osalist teavet süsteemi teatud osade kohta. Valge kasti test võimaldab aga süsteemi põhjalikult kontrollida täieliku juurdepääsuga, sealhulgas lähtekoodile.
Oluline on planeerida penetratsioonitesti rakendamine nii, et see ei häiriks tööprotsesse.
Konfidentsiaalsus ja muud õiguslikud nõuded
Enne penetratsioonitesti läbiviimist tuleb teenusepakkujaga kindlasti sõlmida konfidentsiaalsuslepingu. Lepingu sõlmimisel tuleb tagada kindlus eriti kahes küsimuses. Esimene neist puudutab kogutud andmete kasutamist. Teine küsimus on see, et kogutud andmeid ei tohi jagada kolmandate osapooltega.
Lisaks konfidentsiaalsuslepingule tuleb testide õiguspärasuse tagamiseks enne rakendamist saada ettevõtte omaniku või volitatud isiku luba. Vastasel juhul võivad tekkida protsessiga seotud probleemid, kuna õiguslikud nõuded pole täidetud.
Aruandlus ja tulemuste analüüs
Penetratsioonitesti läbiviiv ettevõte peab suutma esitada üksikasjaliku aruandluse ja tulemuste analüüsi. Testi aruanne peaks sisaldama järgmisi osi:
- Tuvastatud haavatavused ja nende tehniline selgitus,
- Haavatavuste mõjud riskiklasside järgi (kõrge, keskmine, madal),
- Võimalikud ründestsenaariumid ja lahendusettepanekud.
Penetratsioonitesti kaudu tuvastatud nõrkuste kõrvaldamiseks esitatud soovitused tuleb aruandes samm-sammult välja tuua. Pärast aruande esitamist teeb TSE heakskiidetud penetratsioonitesti organisatsioon testi leidude kohta esitluse. Selle esitluse käigus vastatakse selgelt ettevõtte esindajate küsimustele, et selgitada teadlikkust riskidest.
Korduvtestid ja kinnitamine
Penetratsioonitest on pikaajaline protsess, mille iga detail tuleb hoolikalt planeerida. Seetõttu ei püüta protsessi käigus süsteemi ja seotud komponentide võimalikke haavatavusi tuvastada ainult ühe testiga. Kõrge valdkondliku kogemusega penetratsioonitesti spetsialistid viivad läbi korduvteste, et veenduda esimese simulatsiooni käigus leitud haavatavuste täielikus kõrvaldamises. Selliseid rakendusi, mille eesmärk on mõista, mil määral on IT-infrastruktuuri haavatavused kõrvaldatud, nimetatakse kinnitustestideks.
Kuluanalüüs
Viimane aspekt, millele penetratsioonitesti teenuse tellimisel tähelepanu pöörata, on kuluanalüüs. Teie IT-infrastruktuuri turvalisuse seisukorra hindamiseks testi läbiviija valimisel ei ole soovitatav lähtuda ainult hinnakriteeriumist. Kuluanalüüsi tehes saate hõlpsasti kindlaks määrata, millistes aspektides teenuse ulatus võib aidata teil kulusid vähendada. Eriti kriitiliste süsteemide turvalisuse seisukorra määramiseks on vajalikud põhjalikud testid ja üksikasjalik aruandlus.
Võtke kohe ühendust meie kogenud meeskonnaga, et saada teavet penetratsioonitesti kohta ja teada meie teenuse ulatust siin!
