elfATTACK

//elfATTACK
elfATTACK 2018-09-14T09:45:31+00:00

elfATTACK – Järjestelmien hakkeritestaus

elfATTACK on eettisen hakkeroinnin testauspalvelu, jossa organisaation tai tietojärjestelmän suojaukset testataan. Hakkeritestaukset suoritetaan useimmiten niin kutsuttuina tunkeutumistestauksena (penetration testing, pen test), jossa esimerkiksi tietojärjestelmän tai yrityksen palvelimien ja verkon suojaukset testataan pyrkimällä ohittamaan kohdeympäristön suojaukset. Testauksen tavoitteena voi olla vaikkapa tietojen varastaminen tai sotkeminen, järjestelmän kaataminen tai yrityksen sisäverkkoon murtautuminen.
elfATTACK - eettisen hakkeroinnin testauspalvelu

Tietojärjestelmien haavoittuvuuksien tunnistaminen ja suojaaminen hakkereilta

elfATTACK-hakkeritestaus sopii yrityksille, joilla on tarve selvittää kohdejärjestelmän tietoturvallisuus sekä tunnistaa ja korjata järjestelmän haavoittuvuudet. Usein sellaisia ovat yritykset, joilla on omaa ohjelmistotuotantoa tai jotka teettävät ohjelmistoja ja tietojärjestelmiä alihankkijalla. Penetraatiotestausta voidaan käyttää myös ulkopuolisen ohjelmistotoimittajan tuottaman ohjelmiston arvioimiseen tietoturvanäkökulmasta. elfATTACK-palvelu soveltuu myös hyvin kehitysprojektin aikaiseen milestone- sekä esituotantotestaukseen.

Objektiivinen arvio kohdejärjestelmän tietoturvan tasosta

elfATTACK on yksittäiseen kohdetietojärjestelmään keskittyvä hakkeritestaus, jolla esimerkiksi sovelluksen web-käyttöliittymän tai ohjelmallisten API-rajapintojen tietoturvahaavoittuvuudet tunnistetaan erilaisten manuaalisten ja automatisoitujen testausmenetelmien avulla. Usein testauskohteeksi valikoituva järjestelmä käsittelee tai sisältää luottamuksellista tietoa ja yritys tarvitsee ulkopuolisen (objektiivisen) arvion kohdejärjestelmän tietoturvan tasosta. Harvalla yrityksellä on omia tietoturvatestaajia ja aikaresursseja tehdä itse tietoturvatestausta, mutta vaikka omaa tietoturvatestausta suoritettaisiinkin säännöllisesti, ulkopuolisen suorittama testaus on aina hyvä lisä ja tuo uutta perspektiiviä ohjelmiston potentiaalisiin haavoittuvuuksiin.

Testauksessa esille nousseet kriittiset havainnot ja haavoittuvuudet raportoidaan välittömästi, jotta asiakkaalle jää mahdollisimman paljon aikaa reagoida korjaustarpeeseen.

Hakkeritestauksen myötä yritys saa käyttöönsä yksityiskohtaisen ja luotettavan (objektiivinen arviointi) raportin havaituista haavoittuvuuksista sisältäen niiden priorisoinnin sekä kehitysehdotukset havaittujen tietoturvaongelmien parantamiseen. Tyypillisesti elfATTACK-testausraporteissa otetaan kantaa myös käytettävyyteen ja loogisiin virheisiin liittyviin havaintoihin, jotka tulevat luontevasti esille tietoturvatestauksen yhteydessä, kun sovelluksen koko toiminnallisuus ja erilaiset käsittelylogiikan haarat käydään systemaattisesti läpi. Tietoturvatestaus ei kuitenkaan koskaan korvaa käytettävyys- tai toiminnallista testausta. elfATTACK-hakkeritestauksen jälkeen tehdyt korjaukset varmistetaan uusintatestauksella. Myös koko järjestelmä on mahdollista, ja suotavaakin, uudelleentestata epätoivottujen sivuvaikutusten välttämiseksi.

Hakkeritestaus suoritetaan turvallisesti testiympäristössä

elfATTACK-testaukset suoritetaan tarkoitusta varten varatussa testiympäristössä, jotta testien monipuolisuutta ei jouduta rajoittamaan tuotannossa tai muissa testauksissa käytössä olevan ympäristön varomiseksi. Tarvittaessa testauskohde voidaan asentaa myös elfGROUP:n dedikoiduille testipalvelimille, jolloin testaus nopeutuu verkkoviiveiden poistuessa ja ympäristö on varmasti riippumaton asiakkaan muusta infrasta. Lisäksi, esimerkiksi asiakkaan verkkolaitteiden ylikuormittumisen mahdollisuus eliminoituu.

Tärkeää on ymmärtää, että eivät myöskään paha-aikaiset hakkerit rajoita työkaluvalikoimansa käyttöä sen tähden, että kohdejärjestelmä on tuotantokäytössä. 

elfATTACK-testauspalvelu voi olla yhdistelmä ilman ennakkotietoja hakkeriperspektiivistä ”sokkona” tehtävää black box -testausta sekä avoimempaa, esimerkiksi lähdekoodiakin hyödyntävää white box -testausta. Asiakaskohtaisesti valitaan paras mahdollinen työkalujen ja menetelmien yhdistelmä, jotta kriittisimmät kohdat tietojärjestelmästä tulevat myös kaikkein huolellisimmin testatuksi.

elfATTACK on mahdollista yhdistää järjestelmäkohtaiseen elfSWEEP-arviointiin, jolloin kokonaisuuden arvioinnin tarkkuus paranee ja asiakkaan on mahdollista tavoitella korkeampaa CyberSafe-sertifiointitasoa.

Liiketoiminnan vaatimuksiin ja riskikenttään nähden riittävällä tasolla suojattu tarkastuskohde voidaan sertifioida elfGROUP CyberSafe-sertifikaatilla, joka on yrityksen markkinoinnin valttikortti tietoturvallisuustietoisessa asiakassegmentissä toimittaessa.

elfGROUP yrityksesi kehittämiskumppanina

elfGROUPin asiantuntijat ovat kyberturvallisuuden ammattilaisia, jotka ymmärtävät asiakkaiden tarpeet. Otamme aina käytännönläheisen ja asiakkaan tarpeisiin mitoitetun otteen palvelun toteuttamiseen. Olemme testanneet yksittäisiä sisäänkirjautumissivuja sekä kokonaisia ERP-järjestelmiä.  Kyberturvallisuusasiantuntijoillamme on käytännön kokemusta monipuolisesti eri toimialoista ja hyvin erilaisista teknologioista sekä ohjelmistoprojekteista. Uskomme, että ohjelmistojen tietoturvatestaajilla on ehdottomasti oltava vankka ohjelmointikokemus. Projektin ajaksi perustetaan aina tietoturvallinen elfCLOUD-projektitila, jossa toimeksiantoon liittyvä aineisto ja tulokset voidaan luottamuksellisesti jakaa.

elfGROUP arvioi digitaalisten palveluidemme kyberturvallisuutta, ja testasi niiden tietoturvaheikkouksia. Testitulosten avulla pystymme kehittämään tuotteitamme entistäkin luotettavammiksi. Hyöty tästä siirtyy suoraan asiakkaillemme. elfGROUPin palveluiden ansiosta minä nukun yöni paremmin, kun tiedän että asiantunteva ulkopuolinen taho on varmistanut meidän palvelumme luotettavuuden.

Mika Hyysti
Teknologiajohtaja / Group Vice President, Technology
Raute Oyj

Katso elfATTACK-artikkelit

Tiedustelut

Kari Halavaara, p. 050 553 4796

Pekka Käyhkö, p. 0400 933 303

Ota yhteyttä!