Skip to main content

Penetraatiotestaus (pentestaus)

elfGROUP Kyberturvallisuuspalvelut keskittyy yritysten kyberturvallisuuden parantamiseen ja arkaluontoisen digitaalisen omaisuuden turvaamiseen. Penetraatiotestaus- ja CyberSafe -sertifiointipalvelumme tukevat digitaalisen liiketoiminnan ja tietovarojen turvaamista vahvistaen yrityksen brändiä tai tuotetta ja luoden luottamusta asiakassuhteisiin.

Ota yhteyttä tai jätä viesti, niin voimme keskustella palveluntarpeestanne ja löytää teille sopivan ratkaisun.

Arviointi, testaus ja sertifiointi

Penetraatiotestauspalvelumme (lyhyemmin pentestaus, tunkeutumistestaus), elfATTACK, on eettinen hakkerointipalvelu joko tietojärjestelmien tai IT-infrastruktuurin senhetkisen tietoturvallisuuden arviointiin ja testaukseen.

Tietoturvatestaukseen yhdistetään yleensä arkkitehtuurin läpikäyntiä, tietoturva-arkkitehtuurin arviointia ja, jos tarpeen, omissa tiloissa tai pilvessä ajettavan hosting-ympäristön konfiguraation arviointia ajoympäristön kovettamisen ja ohjelmistovarmuuden näkökulmista.

Sovelluksen tietoturvatestaus

elfATTACK Application on ohjelmiston tietoturvan arviointi- ja pentestauspalvelu. Tyypillisiä arviointikohteita ovat ohjelmistokeskeiset järjestelmät kuten:

  • web-sovellukset ja -sivustot
  • intranet- ja extranet-sivustot sekä muut sivustot, jotka edellyttävät kirjautumista tai pääsynhallintaa
  • verkkokaupat, tilauspohjaiset palvelut ja muut ammatilliset palvelut, jotka sisältävät maksuintegraatioita
  • taustajärjestelmät, jotka palvelevat esim. IoT-laitteita tai mobiilisovelluksia
  • API-rajapinnat ja muut ohjelmointi- ja integraatiorajapinnat
  • hajautetut järjestelmät, joille on usein luonteenomaista hajautetut käyttöönottomallit, tietojen replikointi, klusteroidut palvelinympäristöt ja järjestelmän tiukat saatavuus-, tiedon tinkimättömyys- ja yhtenäisyysvaatimukset.

elfATTACK -lähestymistapa ja toimitukset tukevat sekä kehitystiimejä että organisaatioita, jotka hankkivat ulkoisia kehityspalveluita.

IT-infrastruktuurin tietoturvatestaus

elfATTACK Infrastructure on IT-infrastruktuurin (IT-infra) turvallisuuden arviointi- ja pentestauspalvelu. Kuten red team -toimeksiannoissa, työskentelemme yhdessä asiakkaan teknisen tiimin kanssa ja käymme läpi kohteena olevan IT-infran sekä senhetkiset tekniset turvajärjestelmät, jotta saamme käsityksen alkutilanteesta. Alkutilanteen dokumentoinnin lisäksi määrittelemme projektin laajuuden ja sovimme käytettävistä penetraatiomenetelmistä.

IT-infran pentestaus sopii esim. omissa tiloissa tai pilvessä olevien IT-ympäristöjen, WiFi-verkkojen, palvelinympäristöjen tai etätyöskentelyn mahdollistavien järjestelmien tietoturvan varmistamiseen ja tietoturvaheikkouksien löytämiseen.

Infran pentestaus voidaan yhdistää palvelimien määritysten arviointiin (koventaminen, luotettavuus, auditoitavuus).

CyberSafe -sertifiointi

elfGROUP CyberSafe on käytännönläheinen kyberturvallisuussertifikaatti yrityksille, organisaatioille ja yksittäisille tietojärjestelmille. Se perustuu tunnettuihin ja standardoituihin viitekehyksiin ja kriteereihin, kuten ISO 27001, NIST, KATAKRI, VAHTI-ohjeet, OWASP ASVS/Top-10 sekä lukuisiin muihin parhaisiin käytänteisiin. Haluamme tarjota vaihtoehdon kaikenkokoisille yrityksille, jotka eivät ehkä halua, tarvitse tai pysty saamaan muodollisia raskaan sarjan sertifikaatteja.

CyberSafe kattaa tärkeimmät hallinnollisen ja teknisen tietoturvan alueet painottaen käytännön kyberturvaa. Arviointiprosessissa on eliminoitu tarpeeton byrokratia ja vähennetty dokumentointiin ja hallintamalleihin liittyviä vaatimuksia, unohtamatta kuitenkaan asianmukaisia tietoturvan hallinnoinnin käytäntöjä.

CyberSafe certification logos

CyberSafe -sertifikaatti myönnetään elfATTACK Application - ja elfATTACK Infrastructure -arviointikohteille, joilla ei ole paikkaamattomia ja hyödynnettävissä olevia kriittisiä tai korkean luokituksen haavoittuvuuksia.

Miksi?

Turvallisuuden arvioinnin päätavoitteena on varmistaa, ovatko käytössä olevat (tai käyttöön tulevat, mikäli turvallisuutta arvioidaan ennen käyttöönottoa, niin kuin pitäisi) turvallisuuskäytännöt riittäviä takaamaan kyberuhkien sietokykyvyn ja keskeytymättömän toiminnan satunnaisia tai tahallisia häiriöitä vastaan.

Kohdejärjestelmän täytyy tukea siltä edellytettyjä tietoturvatavoitteita ja torjua merkittävät väärinkäytökset sekä valtuutetuilta ja valtuuttamattomilta asiakasohjelmilta ja käyttäjiltä, kuten esimerkiksi tietomurrot, yritykset vääristää tietoa tai kaataa järjestelmiä, tai tunkeutumiset yrityksen taustajärjestelmiin ja -verkkoihin.

Yrityksen sisäisten intressien ohella, myös asiakkaat ja muut kolmannet osapuolet voivat esittää vaatimuksia järjestelmien suojaamiseksi. Vaatimuksina voivat olla riippumattomien turvatarkastuksien tai turvallisuusarviointien suorittaminen ohjelmistotuotteille tai verkkopalveluille, tai esimerkiksi organisaation kyberturvallisuuden arviointi osana liiketoiminnan arviointiprosessia.

Ota yhteyttä tai jätä viesti, niin voimme keskustella palveluntarpeestanne ja löytää teille sopivan ratkaisun.