Haavoittuvuuden arviointi

Internet-aika on saanut aikaan sen, että tarjolla on valtavasti tietoa, johon pääsee käsiksi napin painalluksella. Teknologian kehittyessä valtavaa vauhtia, myös kyberturvallisuuden tärkeys on kasvanut samassa tahdissa. Ei ole ollenkaan tavatonta, että sivustot ja verkkopohjaiset tuotteet joutuvat säännöllisten hyökkäysten kohteeksi. Näin ollen verkkohaavoittuvuusskannereiden tarve on suurempi kuin koskaan ennen. Miten verkkohaavoittuvuusskannereiden kanssa sitten pääsee alkuun? Tässä kaikki, mitä asiasta tarvitsee tietää.
Mitä verkkohaavoittuvuuksista tarvitsee tietää?

Saatat miettiä, mitä verkkohaavoittuvuudet ovat, tai miksi sinun pitäisi ylipäätään välittää niistä. Jos haavoittuvuuksia ei tutkita kunnolla, ne voivat itse asiassa tappaa verkkojärjestelmänne aivan kokonaan. Ennen kuin siis tarkastelemme sitä, miten verkkojärjestelmiä voi suojata tällaisilta hyökkäyksiltä, on tärkeää saada jonkinlainen käsitys siitä, mitä nämä verkkohaavoittuvuudet ovat. OWASP-järjestön mukaan vuonna 2020 haavoittuvuuksien top 10 -listalle lukeutuvat seuraavat asiat,

  1. Injektio

    Tällä viitataan tilanteeseen, jossa hyökkääjä lähettää virheellistä data verkkosovellukseen koodi-injektion avulla. Tarkoituksena on pakottaa toiminto, johon sovellusta ei ole suunniteltu. Pahamaineisimpia injektioita ovat SQL-injektiot.

  2. Rikkonainen tunnistautuminen

    Kuten nimikin kertoo, kyse on tilanteesta, jossa verkkojärjestelmän tunnistautumismekanismi on viallinen. Näin hyökkääjät voivat hyödyntää väsytyshyökkäystekniikoita päästäkseen käsiksi järjestelmään.

  3. Arkaluontoisten tietojen paljastuminen

    Tässä tapauksessa tiedot, joiden piti alun perin olla suojattuja, vaarantuvat turvatoimenpiteiden puutteen vuoksi. Tämä on ollut yksi yleisimmistä haavoittuvuustyypeistä viime vuosien aikana. Varsinkin suurten yritysten saralla.

  4. XML-dokumenttien ulkopuoliset resurssit (XML External Entities, XXE)

    XXE on hyökkäystyyppi, joka kohdistuu sovellukseen, joka jäsentelee XML-dokumentteja. Tässä tapauksessa XML-dokumenttia, joka sisältää viittauksen ulkopuoliseen resurssiin, käsitellään heikosti konfiguroidun XML-jäsentäjän avulla.

  5. Rikkonainen pääsynvalvonta

    Verkkoympäristössä pääsynvalvonta viittaa verkkojärjestelmän rajoitettuun käytettävyyteen järjestelmän käyttäjille. Järjestelmän omistaja voi esimerkiksi tarvita täyden ylläpitäjän oikeudet, kun taas tavallinen käyttäjä ei tarvitse kyseistä erityistä käyttöoikeutta laisinkaan. Rikkonainen pääsynvalvonta on tilanne, jossa määritellyt käyttöoikeudet eivät ole käytettävissä. Näin pahansuovat käyttäjät voivat päästä käsiksi verkkojärjestelmään.

  6. Väärät turvallisuusasetukset (Security misconfigurations)

    Tässä hyökkääjät käyttävät hyväksi mahdollisia turvallisuuteen liittyviä virheellisiä järjestelmäasetuksia. Tämä kattaa kaiken suojaamattomista tiedostoista ja hakemistoista paikkaamattomiin virheisiin.

  7. Cross Site Scripting (XSS)

    Tässä on kyse ennen kaikkea pahansuopien selainskriptien injektointia sivustolle. XSS käyttää sivustoa leviämismenetelmänä näiden pahansuopien skriptien levittämiseksi. Jos asia kiinnostaa, olemme käsitelleet XSS-aihetta jo silloin, kun Gmail omasi vastaavan haavoittuvuuden.

  8. Turvaton sarjoituksen poisto (Insecure deserialization)

    Tässä yhteydessä termi sarjoituksen poisto viittaa prosessiin, jossa tavujonoja muunnetaan objekteiksi. Jos vastaanotettua dataa ei varmenneta, tarjoaa se hyökkääjille mahdollisuuden vahingoittaa järjestelmiä.

  9. Tunnettuja haavoittuvuuksia sisältävien komponenttien käyttö

    Monet sisällönhallintajärjestelmät ja muut verkkojärjestelmät lisäävät järjestelmäpäivityksiä säännöllisesti. Käyttäjät saattavat kuitenkin usein olla välittämättä näistä päivityksistä tai viivästyttää niiden tekoa, jatkaen samalla vanhentuneen ohjelmiston käyttöä. Tämän seurauksena hyökkääjien tarvitsee vain hyödyntää näitä olemassa olevia haavoittuvuuksia. Tämä on yleinen tilanne WordPressin kaltaisissa järjestelmissä.

  10. Riittämätön kirjaaminen ja valvonta

    On elintärkeää, että sivustolla on asianmukaiset kirjaamis- ja valvontakäytännöt käytössä. Tämä mahdollistaa paremman valvonnan, joka auttaa huomaamaan epätavallisen toiminnan ja ryhtymään tarvittaviin toimiin. Tämän prosessin laiminlyönti antaa yksinkertaisesti hyökkääjille enemmän tilaa hyödynnettäväksi.

En ole varma, onko sivustoni riittävän turvallinen. Mitä minun pitäisi tehdä?

Verkkohaavoittuvuuksia on tietenkin paljon muitakin kuin nämä OWASPin top 10 -listalla esitellyt. On kuitenkin tärkeää ymmärtää, kuinka laajalti verkkohaavoittuvuudet voivat vahingoittaa verkkosivustoa. Käytännössä katsoen yksikään sivusto ei voi tarjota 100% turvallista sivustoa. Aina voi kuitenkin ryhtyä ehkäiseviin toimenpiteisiin sen varmistamiseksi, että sivusto on suojattu mahdollisimman hyvin. Tässä kohtaa kuvaan astuvat verkkohaavoittuvuuksien skannerit.

Verkkohaavoittuvuuksien skannaukseen tarvitaan paljon kaikenlaista. Yksinkertaisesti sanottuna prosessissa käytetään erikoistyökaluja sekä ammattilaisia, joilla on osaamista alalta. Näin tunnistetaan sivuston haavoittuvuudet ja tarjotaan soveltuvia ennaltaehkäiseviä toimenpiteitä. Ette välttämättä tiedä, kuinka haavoittuva sivustonne on, mutta ammattitaitoinen verkkohaavoittuvuuksien skannaus saa sen selville. Jos mietitte, mistä tällaista palvelua saa, on vastaus tässä. Me C-YBERILLA tarjoamme maailmanluokan verkkohaavoittuvuuksien skannauspalvelua.

Anna C-YBERIN pitää sinusta huolta

Toimi näin. Ota ensiksi yhteyttä tiimiimme asian tiimoilta. Voit joko lähettää meille sähköpostia osoitteeseen info@c-yber.fi tai soittaa numeroon (+372) 602 3532. Älä pelkää, olemme ystävällisiä!

Kun olemme saaneet tarvittavat tiedot sekä luvan edetä prosessin kanssa, aloitamme verkkohaavoittuvuuksien skannausprosessin. Perusskannaus kestää yleensä 24 tuntia. Skannauksen valmistumisen jälkeen asiakas (eli sinä) saa kehittäjän raportin. Tämä sisältää kaikki havaitut haavoittuvuudet.

Jos sinusta tuntuu, että meidän tarvitsee kaivautua syvemmälle kaikkiin koloihin ja kulmiin, C-YBER voi suorittaa syväskannauksen erikoispalveluna. Kuten varmaan arvasitkin, syväskannaus on huomattavasti perusteellisempi ja tutkii runsaasti eri alueita, jotka eivät perusskannauksessa ole mahdollisia. Jotta syväskannauksen suorittaminen on mahdollista, on sinun integroitava Acunetixin AcuSensor sivustolle. Jos et ole varma siitä, miten se onnistuu, tiimimme voi auttaa asian suhteen.

Loppuraportti, eli kehittäjän raportti, esittelee löydöksemme ja soveltuvat toimenpiteet, joihin on syytä ryhtyä kyseisten haavoittuvuuksien paikkaamiseksi. Ymmärrämme toki, että joskus tämä tehtävä saattaa tuntua pelottavalta. Varsinkin, jos sinulla ei ole käytössäsi teknistä tiimiä, joka hoitaisi tällaiset tilanteet. Älä kuitenkaan vaivu epätoivoon, sillä C-YBER pelastaa tilanteen. Tiimimme voi tarjota konsultaatiota ja kehittämisapua, jotta voit korjata nämä haavoittuvuudet nimelliseen hintaan.

Tarvittaessa voimme suorittaa toisen skannauksen korjausten jälkeen, alennettuun hintaan. Tällöin tavoitteena on vahvistaa ja tarjota mielenrauhaa sen suhteen, että haavoittuvuudet on paikattu oikein.

Mitä siis vielä odotat? On aika hyvästellä vaivalloiset verkkohaavoittuvuudet. C-YBER on valmiina auttamaan!