Haavatavuse hindamine, tungimistestimine ja lööktestimine – mis ja milleks?

CYBERS 18. jaan. 2022

Paljud IT meeskonnad, kes on pealkirjas nimetatud turvatestidega kokku puutunud, ei tea sageli, mis nende kolme erinevus on ning millist neist oleks nende organisatsioonil kõige tõhusam antud ajahetkel kasutada. Kuigi nad ongi kontseptuaalselt võrdlemisi sarnased, on neil siiski palju erinevusi. Nende kolme vahel valimine sõltub eelkõige testimise eesmärkidest.  

Püramiid joonisel visualiseerib hästi nende peamisi erinevusi ulatuse ja sügavuse skaalal. 

Mõisted: 

Vulnerability assessment- Haavatavuse hindamine 

Penetration Testing – Tungimistestimine 

Red Teaming – Lööktestimine 

Haavatavuse hindamine – mis, miks ja kuidas 

  • Haavatavuse hindamise meetodiga kaardistatakse ära ettevõttes aegunud tarkvara ja mittekorrektsed seadistused automatiseeritud tööriistades. 
  • Teenus võimaldab  avastada, tuvastada, kategoriseerida ja hallata haavatavusi ja nõrkusi IT süsteemides. Näiteks puuduvaid turvapaikasid või ebaturvalisi seadistusi. Samuti tuvastatakse sellega, millise tarkvara või riistvara kasutusiga on lõppenud või lõppemas ning kus puuduvad turvalisuse seisukohast olulised värskendused.  
  •  Haavatavuse hinnangud võivad olla nii sisemised kui välised. Välise haavatavuse hindamise mõte on tuvastada võrgust nähtavad avatud ja haavatavad süsteemid. See aitab vähendada võimalikke intsidente ja juhuslikku andmeleket. Kuid lisaks sellele on vaja sisemist skannimist, et katta ära ka süsteemid, mis on nähtavad ainult ettevõtte sisevõrgust.

Tungimistgestimine – mis, miks ja kuidas 

  •  See meetod viib haavatavuse hindamise järgmisele tasemele. Nagu nimigi vihjab, üritatakse tungimistestimise käigus erinevaid teid pidi süsteemidesse sisse tungida. Selle teenuse eesmärk on tuvastada lavastatud rünnaku abil erinevate süsteemide nõrkused. 
  • Meetod aitab koguda väärtuslikku infot erinevate rakenduste ja süsteemide tugevuste ja nõrkuste kohta, arvestades samas sellega, et need muutuvad ajas vastavalt arenduse elutsüklile. 
  • Meetodi tulemiks on väga põhjalik raport leidude ning parenduste soovitustega. Juhtkonna jaoks sisaldab raport ka kontsentreeritud kokkuvõtet.

Lööktestimine ja selle tüübid 

 

 

Allikas: https://www.ranorex.com/black-box-testing-tools/

 

Allikas: https://www.vaadata.com/blog/black-grey-or-crystal-box-web-pen-testing-3-different-options/ 

Lööktestimine – mis, miks ja kuidas

  • Lööktestimise meetod annab ausa pildi sellest, milline on antud hetkel ettevõtte ja selle meeskondade turvalisuse alane olukord ja reageerimise võimekus. 
  • Meetod annab võimaluse panna oma IT meeskond, tööriistad, protsessid ja tehnikad proovile. Teenuse eesmärk on tuvastada lüngad ja parenduskohad. 
  • Meetodi idee on rünnata ettevõtet samal viisil nagu häkkerid seda teevad.  
  • Lavastatud kogemus on oluliselt odavam kui reaaleluline rünnak. 
  • Meetod aitab hästi mõista, miks ja kuhu on vaja IT turvalisuse vallas tähelepanu pöörata ja investeerida.  
  • Meetodi tulemiks on väga põhjalik raport leidude ning parenduste soovitustega. Antud raportit on võimalik kasutada ka investeeringud turvalisusesse eelarve täiendamiseks Juhtkonna jaoks sisaldab raport ka kontsentreeritud kokkuvõtet. 

Lööktestimise ja tungimistestimise erinevused

Kokkuvõte

 

Ükski neist kolmest meetodist ei ole turvatestimise võluvits. Nende kolme vahel valimine sõltub teie enda proovile panemise eesmärkidest.  Haavatavuse hindamisega saab kätte nö „madalal rippuvad viljad“.  Tungimistestimine aitab juba teatud süsteemides sügavamale vaadata ja nõrku kohti avastada.  

Lööktestimine on hea viis, et panna proovile organisatsiooni võimekust tervikuna. Selle meetodi puhul toimub rünnak päris maailmas ja sihtmärgiks on töötajad oma igapäevaste töövahendite ja harjumustega.  

Kas te pole oma süsteemide ja rakenduste turvalisuses päris kindel? Soovite mõista, kas teie meeskonna võimekus rünnakutele reageerida on tasemel? 

Võtke meiega ühendust – aitame leida sobivaima meetodi testimiseks ja anname soovitusi parendusteks.

Viimased postitused

4. juuni 2024

Küberturvalisus tootmisettevõttes – väljakutsed ja õppetunnid Hanza Grupi näitel

Kiirelt areneval digiajastul seisab tootmissektor silmitsi üha suurema hulga küberjulgeoleku ohtudega. Rahvusvaheliste ning keerukate operatsioonidega ettevõtted peavad need ohud juba eos maandama, et kaitsta kriitilist infrastruktuuri. Loe blogist ja kuula saadet, kuidas Hanza Grupp sellele kõigele lähenenud on.

Loe edasi
3. juuni 2024

Märgiline sündmus küberturbes: CYBERS on ametlikult osa NEVERHACK grupist

CYBERS ühines Euroopa juhtiva küberjulgeoleku kontserniga NEVERHACK SAS, et tugevdada turupositsiooni, laiendada haaret ja pakkuda klientidele lisaväärtust.

Loe edasi
21. märts 2024

Teenusedisain ja küberturvalisus käsikäes: Tänapäeva digitaalsete lahenduste alustalad

Tänapäeva kiiresti arenevas digimaailmas on ettevõtete edu võti pakkuda mitte ainult innovaatilisi, vaid ka turvalisi teenuseid. KüberCASTi viimases osas jagas Andres Kostiv, teenusedisaini ja kasutajakogemuse ekspert, olulisi teadmisi ja näpunäiteid, kuidas integreerida küberturvalisus teenusedisaini, et luua kliendikeskseid ja turvalisi digilahendusi.

Loe edasi