Kuten termikin sanoo, haavoittuvuuden arvioinnissa tunnistetaan ja luokitellaan järjestelmän haavoittuvuudet. Tämä pitää sisällään kaikkea tietokonejärjestelmien arvioinnista verkoston infrastruktuurin arviointiin. Haavoittuvuuden arvioinnin tavoitteena on kertoa asianomaiselle osapuolelle järjestelmiin kohdistuvista uhista sekä mahdollisista ehkäisytoimenpiteistä.

Haavoittuvuuden arviointi on oleellinen väline, jolla organisaatiot saavat selville järjestelmiensä porsaanreikiä ja voivat paikata niitä. Kun huomioidaan kyberturvallisuuden tärkeys nykyaikana, tämä toimenpide on elintärkeä organisaation turvallisuuden varmistamisen kannalta digiavaruudessa. 

Haavoittuvuuden arviointiprosessi 

Haavoittuvuuden arviointi sisältää pohjimmiltaan 5 vaihetta. Prosessi alkaa tavoitteista, jonka jälkeen määritetään arviointiprosessin kattavuus. Tämän jälkeen tiedot kerätään. Haavoittuvuudet huomataan siis neljännessä vaiheessa. Arviointiprosessi saadaan valmiiksi, kun tietojen analysointi ja suunnittelu on suoritettu. 

Tavoitteet  

Tässä vaiheessa määritetään testin tavoitteet. 

Kattavuus 

Ennen testin suorittamista on tärkeää määrittää arvioinnin kattavuus selkeästi. Yksi mahdollinen toimintatapa on käyttää black box-, white box- ja grey box -testaamista.

Tietojen kerääminen 

Tässä kohtaa tavoitteena on kerätä kohdejärjestelmästä mahdollisimman paljon tietoa. Tämä voidaan tehdä sosiaalisen manipuloinnin, alustavien skannausten tai muiden vastaavien keinojen avulla.

Haavoittuvuuksien löytäminen 

Koko prosessin varsinainen testiosio tapahtuu tässä vaiheessa. Kohdejärjestelmä skannataan ja haavoittuvuudet tunnistetaan.  

Tietojen analysointi ja suunnittelu 

Lopuksi havaitut haavoittuvuudet analysoidaan, luokitellaan ja asetetaan tärkeysjärjestykseen. Lisäksi vaiheeseen sisältyy mahdollisia ennaltaehkäiseviä toimenpiteitä havaittujen haavoittuvuuksien osalta.

Haavoittuvuusarviointeja on erilaisia, joista jokainen keskittyy eri osa-alueisiin.  

Tietoverkkopohjaiset skannaukset

Tämä menetelmä tarkastelee tietokoneverkkojen mahdollisia porsaanreikiä. Tietoverkkopohjainen skannaus antaa verkon ylläpitäjälle tai verkon turvallisuushenkilökunnalle mahdollisuuden mitata tietyn tietoverkon vahvuutta. Tämänlainen arviointi sisältää monia eri elementtejä. Näitä ovat muun muassa

  1. reititin- ja Wi-Fi-salasanojen analysointi 
  2. turvallisuuden analysointi laitetasolla 
  3. tietoverkon vahvuuden arviointi verkkopohjaisia hyökkäyksiä vastaan, kuten verkostoon tunkeutuminen, väliintulohyökkäys, palvelunestohyökkäys 
  4. tietoverkkouhkien tunnistaminen ja asettaminen tärkeysjärjestykseen

Langattomien verkkojen huijaukset 

Pohjimmiltaan tämäntyyppinen skannaus auttaa määrittämään organisaation langattoman verkon turvallisuuden. Ciscon mukaan kyseessä on viisivaiheinen prosessi.  

  1. Verkoston kaikkien langattomien laitteiden tunnistaminen 
  2. Kontrolloimattomien laitteiden tunnistaminen. Tässä kohtaa verkon mahdolliset luvattomat tai tahattomat langattomat laitteet tunnistetaan ja hoidetaan. 
  3. Verkoston sallittujen liityntäpisteiden testaaminen 
  4. Laiteluettelon päivittäminen, jotta lista sisältää kaikki mahdolliset laitteet, jotka saattavat olla yhteydessä verkkoon 
  5. Kaikkien havaittujen haavoittuvuuksien paikkaaminen. 


On tietenkin huomioitava, että langattomien verkkojen skannaukset saattavat olla huomattavasti perusteellisempia kuin nämä 5 vaihetta.  

Sovellusten skannaukset 

Sovellusten skannauksilla määritetään organisaation järjestelmien ohjelmistojen turvallisuustaso. Tämä pitää sisällään verkoston tai verkkosovellusten virheelliset asetukset. Tämä pitää myös sisällään ohjelmistojen haavoittuvuuksien skannauksen, kuten SQL-injektiot, cross-site scriptingin sekä puskurien ylivuotovirheet.

Tietokantojen skannaukset 

Nämä skannaukset keskittyvät järjestelmän haavoittuvuuksiin tietokantojen näkökulmasta. Osa tätä on turvallisuuden määrittäminen ja vahvistaminen tietokantatasolla pahansuopia hyökkäyksiä vastaan, kuten SQL-injektioita. 

Isäntäpohjaiset skannaukset 

Isäntäpohjaisissa haavoittuvuusarvioinneissa keskitytään verkkoisännöintiin, kuten palvelimiin ja työpisteisiin. Isäntäpohjaiset skannausvälineet lataavat kohdejärjestelmään välittäjäohjelmiston. Tämän jälkeen ohjelmisto seuraa oleellista toimintaa ja raportoi asianomaisille osapuolille. Tyypillinen isäntäpohjainen skannaus tarkastelee portteja/palveluita, jotka näkyvät tietoverkkopohjaisissa skannauksissa.

Yllä mainittujen lisäksi on olemassa myös muita haavoittuvuuden arviointitapoja. Esimerkiksi aktiivisessa testaamisessa testaaja keskittyy aktiivisesti uusiin testitapauksiin ja alueisiin testiä tehdessään. Passiivisessa testauksessa tällä hetkellä käytössä olevaa järjestelmää testataan ilman uusien tietojen lisäämistä. Tietoverkkotestaus keskittyy tietoverkoston komponentteihin. Jakautunut testaaminen soveltuu käytettäväksi sovellusten kanssa, jotka tekevät töitä usean asiakkaan kanssa samanaikaisesti.

Välineitä haavoittuvuuden arviointiin 

Näiden testien suorittamiseen on käytettävissä monia välineitä. Tunnetuimpiin lukeutuvat muun muassa: 

  1. Acunetix: automatisoitu verkkosovellusten turvallisuuden testaamisväline 
  2. OpenVAS: avoimen lähdekoodin työkalu, joka tarjoaa välineitä niin haavoittuvuuksien skannaamiseen kuin haavoittuvuuksien hallintaan 
  3. Nikto: avoimen lähdekoodin verkkoskanneri 
  4. Wireshark: verkkoprotokollien analysointiohjelma 
  5. Aircrack: käytetään Wi-Fi-verkkojen turvallisuuden arviointiin 
  6. Nessus: brändätty ja patentoitu haavoittuvuusskanneri 
  7. Microsoft Baseline Security Analyzer: ilmainen Microsoft-työkalu Windows-järjestelmän turvallisuuden varmistamiseen Microsoftin ohjeiden pohjalta.

Haavoittuvuuden arvioinnin ja tunkeutumistestien välinen ero 

Kyse ei ole niinkään eroista vaan siitä, mitä kummallakin toimenpiteellä pyritään saavuttamaan kyberturvallisuuden kannalta. Tunkeutumistestit ovat itse asiassa osa haavoittuvuuden arviointiprosessia. Tunkeutumistestissä järjestelmän haavoittuvuudet havaitaan tehokkaammin. Haavoittuvuusskannauksissa nämä jäävät joskus huomaamatta.  

On syytä huomioida, että tunkeutumistesti ei yksinään ole riittävä haavoittuvuuden arvioinnin kannalta. Tunkeutumistesti tähtää aktiivisesti haavoittuvuuksiin ja hyödyntää niitä. Sen sijaan haavoittuvuuden arvioinnissa käytetään automatisoituja työkaluja paikkaamattomien haavoittuvuuksien löytämiseksi koko järjestelmästä. Mikäli lisäanalyysi on tarpeen, haavoittuvuuden arviointi voidaan suorittaa manuaalisesti.

Kyseessä on jatkuva prosessi 

Joka tapauksessa haavoittuvuuden arviointi pitäisi suorittaa organisaatiossa säännöllisesti. Järjestelmiin tulee usein muutoksia. Joskus kyse on uusien laitteiden tai uusien ohjelmistopalveluiden käyttöönotosta. Mikäli yritys käyttää vanhoja järjestelmiä tai ohjelmia, on pahansuovan hyökkäyksen uhriksi joutuminen vieläkin todennäköisempää. Tämä johtuu siitä, että järjestelmien vanhentuessa ne eivät enää ole valmistajien listalla kärjessä. Aivan hiljattain Microsoft julkaisi korjaustiedoston Internet Explorerille, selaimelle, jolla on edelleen yli 7 % kaikista selainten käyttäjistä. 

Tämä ei kuitenkaan tarkoita, että uusi laite tarkoittaisi vähemmän haavoittuvuuksia. Hiljattain löytynyt “checkm8”-haavoittuvuus vanhemmissa iOS-laitteissa on tästä täydellinen esimerkki. Tärkeintä tässä on siis ymmärtää, että ajan tasalla pysyminen on oleellista. Haavoittuvuuden arviointi on tässä merkittävässä roolissa organisaatioiden kannalta.  

Mikäli pohditte haavoittuvuuden arvioinnin aloittamista omassa yrityksessänne, voitte vapaasti käydä tutustumassa meihin. Meihin saat yhteyden sähköpostilla osoitteessa info@c-yber.fi tai puhelimitse numerosta (+372) 602 3532.

Haavoittuvuus