Esileht> Küberkaitse keskus > Turbeläbistustestid teenusena

Turbeläbistustestid teenusena

Läbistustestimise käigus imiteerime küberkurjategijate rünnakut, et kontrollida rakenduste, süsteemide, taristu ja teenuste turvameetmeid. Läbistustestimise eesmärk on avastada nõrkused ja minimeerida potentsiaalse küberrünnakuga kaasnevaid riske, et oleks tagatud ärikriitiliste teenuste toimivus.

Mis on läbistustestimine?

  • Läbistustestimise metodoloogia ja muud valikud sõltuvad kliendi poolt kasutatavast tarkvarast või rakendustest.
  • Veebirakenduste testimised viime läbi vastavalt Rakenduste Turbe Verifitseerimise Standardile (Application Security Verification Standard) veebirakenduste tehniliste turvameetmete testimiseks ja hindamiseks.
  • Kasutame küberkurjategijate levinumaid tööriistu, taktikaid, tehnikaid ja protseduure, kliendi teenustesse tungimiseks ja andmetele ligipääsu saamiseks.

Testi tulemusena omandavad meie eksperdid õigused ja loa varade sihtimiseks ja töövõtulepingus kokkulepitud teabe kogumiseks. Eesmärgi saavutamiseks kasutame ainult mitte destruktiivseid meetodeid ja valdkonna parimaid praktikaid. 

Mis tuleb kokku leppida enne Punase tiimi lööktestimist?

Kolm levinumat testimise tüüpi on alljärgnevad:

  • Musta kasti meetod – läbistustesti läbiviijal ei ole ülevaadet testimist tellinud kliendi rakendustest ja andmevoogudest
  • Halli kasti meetod – läbistustesti läbiviijal on osaline info kliendi rakendustest ja andmevoogudest
  • Valge kasti meetod – läbistustesti läbiviijal on põhjalik ülevaade kliendi rakendustest ja andmevoogudest ning ligipääs lähtekoodile

Kolm turbe verifikatsiooni taset vastavalt nende sügavusele:

  • I TASE (ASVS Level 1) – mõeldud madala läbistusetasemega rakendustele, mis on täielikult läbistustestidega testitavad ilma omamata ligipääsu dokumentatsioonile, lähtekoodile, seadistustele ja rakendusega seotud inimestele.
  • II TASE (ASVS Level 2) – mõeldud rakendustele, mis sisaldavad tundlikku teavet, millele laienevad andmekaitse eeskirjad. See on soovituslik tase enamike rakenduste puhul.
  • III TASE (ASVS Level 3) – mõeldud rakendustele, mis vajavad põhjalikku turbekontrolli. Näiteks rakendused, mis on seotud inimeste tervise, riigi turvalisuse või muu kriitilise infrastruktuuriga (N: militaarvaldkonnas, meditsiinisektoris jms

Läbistustesti meetodis ja testimise tasemes lepime alati enne toiminguid kokku.

Töövõtulepingus defineerime täpsemalt teostavad tööd, tulemid ja muud detailid:

  • Testimise eesmärk ja skoobi kirjeldus
  • Testimise tase ja meetod
  • Ajakava
  • Kokkulepitud reeglid

Mis juhtub läbistustestimise käigus?

Läbistustestimise käigus imiteerime küberkurjategijate rünnakut, et kontrollida rakenduste, süsteemide, taristu ja teenuste turvameetmeid. Läbistustestimise eesmärk on avastada nõrkused ja minimeerida potentsiaalse küberrünnakuga kaasnevaid riske, et oleks tagatud ärikriitiliste teenuste toimivus. 

Teenuse lõpus anname üle detailse raporti leidudest ja nõrkustest ja selgitame selle kohtumise käigus lahti. Samuti koostame antud selgituste ja täpsustuste kohta memo ning anname soovitused edasisteks tegevusteks leitud nõrkuste lappimisel ja riskide minimeerimisel. 

Testimise kestus on reeglina 2-4 nädalat, olenevalt testimise skoobist ja süsteemide keerukusest.  

Esimeses etapis lepitakse kokku testimise skoop ehk mida täpsemalt testitakse ja mis on testist välistatud. Lepitakse kokku ka esialgne planeeritud töömaht, ning sõltuvalt testi olemusest ka läbistustesti eesmärgid, mille suunas hakkavad testijad töötama. Lepitakse kokku üldine lähenemine ja projektimeeskond, kes osalevad testis ja kes on testist teadlikud. Iga testimine on oma olemuselt omataoline, sest iga rakendus ja organisatsioon on erinevad. 

 

Mis saab peale testimist?

Kui testimine on lõppenud, esitame kliendile põhjaliku aruande eelmise etapi käigus läbiviidud tegevuste, ilmnenud leidude ja tulemite kohta ning anname soovitusi ja juhiseid leidude kõrvaldamiseks. 

Samuti korraldame järeldustest ülevaate testi tellinud ettevõtte töötajatele. Tavaliselt on ülevaade suunatud juhtkonnale, juhtidele, tehnilisele personalile, vajadusel ka muudele töötajatele. 

Kui töövõtulepingus ei ole kokku lepitud teisiti, koostame aruande inglise keeles. Lõpparuande esitame ühe nädala jooksul peale testimise lõpetamist.  

Mis kasu saab turbeläbistustestimisest?

  • Saada väärtuslikku teavet süsteemi või rakenduse nõrkade ja tugevate külgede kohta.
  • Lahendada nõrkused kogu arenduse elutsükli jooksul õigeaegselt.
  • Vältida tundlike andmete lekkimist ja süsteemi või rakenduse ohtu sattumist küberkurjategijate tegevuse läbi.
  • Anda juhtkonnale ja juhtidele põhjalik ülevaade leidudest.
  • Saada leidude kohta üksikasjalik aruanne ning soovitusi ja juhised nõrkuste kõrvaldamiseks,

Võta meiega ühendust!

Kuidas tagada küberohtude ennetamine, õigeaegne märkamine ja optimaalne reageerimine?

Kas ja millega vajaks teie IT meeskond abi? 

Tulge konsultatsioonile