Haavoittuvuustestaus

Haavoittuvuustestaus on yksi osa teknistä tietoturvallisuutta. Haavoittuvuustestauksessa kohdejärjestelmää erilaisin julkaistuin testausmenetelmin. Kohdejärjestelmä voi olla verkkoon liitetty palvelin tai verkonaktiivilaite. Testaus tehdään aina asiakkaan kanssa sovitulla laajuudella ja asiakkaalle sopivana aikana. Testaus tehdään turvalliseksi katsottuja menetelmiä käyttäen. Asiakkaan halutessa voidaan tarkastuksen tasoa lisätä. Tällöin on olemassa mahdollisuus palveluiden sammumiselle.

Testaus tuottaa asiakkaalle automaattisen raportin josta selviää tutkitun järjestelmän

  • uhkataso (high, medium, low, log)
  • avoimet portit
  • palveluiden ohjelmistoversiot
  • mahdollisia ratkaisuja tilanteen korjaamiseksi
Järjestelmästä saatava raportti toimitetaan yhteyshenkilölle salattuna (GnuPG) ellei toisin sovita. Raportti on englannin kielinen.

Automaattinen raportti sopii organisaatioille joissa on riittävästi ammattitaitoa raportin tulkitsemiseen. Lisäpalveluna on saatavissa myös raportin analysointi. Raportin analysoinnista asiakas saa automaattisen raportin lisäksi suomen kielisen raportin jossa on tiivistetysti löydetyt haavoittuvuudet sekä yleisiä korjausehdotuksia.

Haavoittuvuustestaus on suositeltavaa toteuttaa säännöllisesti uudistuvien hyväksikäyttömenetelmien johdosta. Jatkuvassa testauksessa järjestelmästä saa tietoa tutkitun järjestelmän turvatason kehittymisestä pidemmällä aikavälillä. Testaus on mahdollista ja jopa suositeltavaa suorittaa myös organisaation sisäverkossa oleville laitteille.

 

Käyttökohteet

Haavoittuvuustestaus paljastaa yleisesti käytössä olevien palvelinsovellusten sekä verkkolaitteiden haavoittuvuuksia. Se EI paljasta räätälöidyn tuotantojärjestelmän haavoittuvuuksia. Yleisiä käyttökohteita ovat omien ja ulkoistettujen järjestelmien päivitystilanteen auditoinnit.

 

Esimerkki

Ohessa esimerkki automaattisesta raportista. Kyseinen esimerkkiraportti on aidosta ympäristöstä mutta laitteen tiedot on muutettu.

Linkki raporttiin