Tietoturva-auditointi ja penetraatiotestaus ovat molemmat tärkeitä työkaluja, mutta mikä niiden ero...
Mitä tietoturvatestaus on käytännössä?
Rakkaalla lapsella on monta nimeä ja tietoturvatestauksesta käytetään myös nimityksiä: murtotestaus, penetraatiotestaus, pentest tai leikkisästi “pena”. Tietoturvatestauksessa pyritään murtautumaan tietojärjestelmään tai käyttämään sovelluksen toimintoja luvattomasti (penetraatiotestaus/murtotestaus).
Kyse on eettisestä hakkeroinnista, jossa järjestelmään toteutetaan white hat hengessä hyökkäys hyödyntäen samoja tekniikoita ja työkaluja, joita rikolliset hyödyntävät. White hat on termi, jota käytetään hyväntahtoisesta ja eettisin periaattein toteutetusta hakkeroinnista/hyökkäyksestä. Black hat termiä käytetään, kun toimitaan pahantahtoisin tavoittein piittaamatta eettisyydestä.
Käytännössä järjestelmään pyritään sovitusti ja luvan kanssa “murtautumaan keinolla millä hyvänsä” ja pyrkimyksenä on järjestelmän hyödyntäminen sillä tavoin, miten sen ei kuuluisi olla mahdollista. Joissain yhteyksissä kyberhyökkäystä ja hakkerointia verrataan perinteisten lukkojen tiirikointiin tai kassakaapin murtamiseen. Hyvä ja varmatoiminen lukko tai kassakaappi on vaikeasti tiirikoitavissa ja murrettavissa.
Edellinen vertaus on siinä mielessä huono, että perinteisen lukon tai kassakaapin murtaminen vaatii fyysisen pääsyn kohteeseen.
Internetiin avoinna olevaa verkkosovellusta voi periaatteessa kuka tahansa yrittää murtaa, mistä päin maailmaa tahansa ja milloin tahansa (24/7/365).
Laadukkaasti toteutetusta tietoturvatestauksesta saat lopputuloksena todellisuutta kuvaavan raportin sovelluksen tietoturvan tasosta ulkopuolisen pahantahtoisen hyökkääjän näkökulmasta. Raportin avulla on mahdollista kehittää ja varmistaa sovelluksen laatua ja turvallisuutta, joka edesauttaa tiedon luottamuksellisuutta, eheyttä, saatavuutta ja jäljitettävyyttä.
Tietoturvan tason tunnistaminen auttaa varautumisessa ja edesauttaa ongelmien ennaltaehkäisyssä.
Parhaimmassa tapauksessa
- Sovelluksen käyttäjäkokemus kohentuu ja luottamus järjestelmän toimintavarmuuteen kasvaa.
- Lisäksi asiakkaat ja loppukäyttäjät arvostavat “vihreää tietoturvatestauspaperia” ja ennen kaikkea sitä, että olet avoin järjestelmän tietoturvasta ja kerrot menetelmät, joilla tietoturvauhkia torjutaan. Varautuminen on ensiarvoisen tärkeää kaikin puolin. Yksinkertaisuudessaan kyse on happotestistä, joka esittää miltä verkkosovellus näyttää tietoturva näkökulmasta ulkoapäin tarkasteltaessa.
- Mikäli tietoturvatestauksen raportti näyttää vihreää valoa, voit nukkua yösi kepeämmin ja todeta tietoturvan olevan ainakin näiltä osin hyvällä tasolla.