Teknologian tehdessä maailmasta entistä yhdistetymmän, myös kyberhyökkäysten määrä on kasvussa ympäri maailman. Odotuksena on, että vuonna 2023 maailmanlaajuiset kyberturvallisuusmarkkinat ovat arvoltaan 248,26 miljardia dollaria. Näin ollen on entistä tärkeämpää testata yrityksen olemassa olevat järjestelmät haavoittuvuuksien osalta. Näiden haavoittuvuuksien aktiivinen hyödyntäminen mahdollistaa paremman käsityksen saamisen organisaation puutteista kyberturvallisuusavaruudessa. Yrityksen järjestelmät voidaan nimittäin koostaa lukemattomilla tavoilla.
Tarkastellaan vaikka vuoden 2018 Marriot (Starwood) -tapausta. Tuolloin kerrottiin suuresta tietomurrosta, jonka kohteeksi oli joutunut jopa 500 miljoonaa tiliä sisältävä tietokanta. Hyökkääjät pääsivät käsiksi yli 300 miljoonaan tiliin, jotka sisälsivät nimiä, osoitteita, yhteystietoja ja passion numeroita. Mikä pahinta, raporttien mukaan hakkerointia oli saattanut tapahtua jo vuodesta 2014 lähtien. Perusteellinen penetraatiotesti olisi todennäköisesti havainnut tämän haavoittuvuuden varhaisessa vaiheessa tarjoten mahdollisuuden vahvempiin ennaltaehkäiseviin toimenpiteisiin.
Haavoittuvuudet eivät kuitenkaan aina ole teknisiä heikkouksia. Hiljattain tapahtunut Twitter-hakkerointi havainnollisti sen, että edistyneimmätkin teknologiayritykset voivat joutua vaaraan pelkkien sosiaalisen manipuloinnin taitojen myötä. Näin ollen penetraatiotestauksen avulla muodostettavat proaktiiviset kyberturvallisuusasetukset ovat elintärkeitä liiketoiminnan jatkuvuuden kannalta nykypäivän digitaalisessa ympäristössä.
Ihanteellisessa tilanteessa penetraatiotestauksen suorittaa kyberturvallisuuden ammattilainen, jolla ei ole todellista käsitystä yrityksen sisäisestä rakenteesta. Näin voidaan varmistaa, että penetraatiotestien suorituksen aikana ennakko-oletukset eivät pääse vaikuttamaan. Siksi yritykset palkkaavat yleensä ulkopuolisia ammattilaisia suorittamaan penetraatiotestauksen. Näitä ammattilaisia kutsutaan usein eettisiksi hakkereiksi. Tyypillinen penetraatiotesti alkaa tiedustelulla. Tällöin eettinen hakkeri kerää kaikki tarvittavat tiedot. Tämän jälkeen järjestelmät skannataan löydösten laajentamiseksi. Esimerkiksi Nmapin kaltaista työkalua voidaan hyödyntää avointen porttien skannaamisessa. Penetraatiotesteissä käytetään tietenkin useita erilaisia työkaluja tarkkojen hyökkäysten tekoon. Joitakin yleisiä työkaluja ovat SQL-injektiohyökkäysten testaaminen, paikkaamattomien haavoittuvuuksien hyödyntäminen, sosiaalisen manipuloinnin hyökkäykset, jne. Kun tietoa on kerätty riittävästi, seuraava vaihe on päästä sisään järjestelmiin. Tässä kohtaa hyökkääjä käynnistäisi ns. payloadin vaarantaakseen kohteena olevan järjestelmän. Jos järjestelmän hyväksikäyttö onnistuu, on seuraavana vaiheena ylläpitää pääsy järjestelmiin mahdollisimman pitkään. Näin voidaan määrittää, kuinka paljon arvokasta dataa tällä tavalla voidaan kerätä. Lopuksi eettisen hakkerin pitäisi peittää jälkensä. Tarkoitus on pysyä anonyymina, joten kaikki jäljet tietojen keräämisestä, tapahtumalokit, prosessissa käytetyt sisäiset laitteet jne. on poistettava.
Eettiselle hakkerille annetaan kohdejärjestelmää koskevia tietoja ennen testin suorittamista.
Tämä on valkoinen laatikko -testin vastakohta, eli hakkerille ei anneta mitään muita tietoja kohdejärjestelmän nimeä lukuun ottamatta. Tätä kutsutaan myös “sokkotestiksi”.
Tämä on radikaalimpi versio musta laatikko -testauksesta. Salaisessa penetraatiotestissä lähes kukaan yrityksessä ei tiedä penetraatiotestin suorittamisesta. Tämä pitää sisällään myös IT- ja turvallisuushenkilöstön. Ajatuksena on testata koko kyberturvallisuusprosessia sekä vastinetoimenpiteitä yrityksen sisällä.
Ennen salaisen penetraatiotestin suorittamista on ehdottoman tärkeää määrittää toimenpiteen kattavuus ja toimintatavat selkeästi kirjallisena. Näin vältetään mahdolliset ongelmat viranomaisten kanssa.
Tätä testiä kutsutaan myös “tuplasokkotestiksi”.
Kuten nimikin kertoo, nämä testit suoritetaan ulkoisesti. Näin ollen penetraatiotestaajat pyrkivät hyödyntämään yrityksen ulkopintateknologioiden haavoittuvuuksia, kuten sivuston ja muualla sijaitsevien palvelinten haavoittuvuuksia. Joissakin tapauksissa kohdeyritys voi jopa estää hakkeria saapumasta tiloihin fyysisesti.
Tämä on ulkoisen penetraatiotestin vastakohta. Tässä tapauksessa testi suoritetaan yrityksen sisäisten järjestelmien sisältä. Tavoitteena on määrittää, kuinka haavoittuvaisia yrityksen järjestelmät ovat sisältä päin verrattuna ulkoa tulevaan hyökkäykseen.
Oli kyse sitten sisäisestä, ulkoisesta tai salaisesta penetraatiotestauksesta, C-YBER voi auttaa kaikissa penetraatiotestitarpeissanne. Jos siis tarkoituksenanne on tehostaa nykyisiä kyberturvatoimenpiteitänne merkittävästi, olette tulleet oikeaan paikkaan.
Etkö ole varma, minkälainen penetraatiotestaus on yrityksellenne tarpeen? Ei hätää. Asiantuntijatiimimme auttaa teitä joka käänteessä. On kuitenkin parempi, että te löydätte kaikki turvallisuutenne porsaanreiät ennen kuin joka muu tekee niin!
Voitte lähettää meille sähköpostia osoitteeseen info@c-yber.fi tai soittaa numeroon (+372) 602 3532.
