Miten tietoturvatestaus eroaa haavoittuvuuksien skannauksesta?

Haavoittuvuusskannaus on koneellinen menetelmä teknisen tietoturvan arviointiin. Siinä hyödynnetään työkaluja, jotka etsivät avoimia tietoliikenneportteja, tunnettuja haavoittuvuuksia sekä konfiguraatiovirheitä. Menetelmä on nopea ja edullinen, mutta se varjopuolena on heikko osumatarkkuus (esim. websovellusten kohdalla alle 24 % haavoittuvuuksista löytyy pelkästään skannaamalla, loppujen 76 %  löytämiseen tarvitaan asiantuntijaa).

Penetraatiotestaus on kattavampi tapa arvioida tietoturvaa. Se kuitenkin aina aloitetaan haavoittuvuusskannauksella, koska sitä kautta muodostuu alustava näkemys testattavan järjestelmän tietoturvan tasosta. Penetraatiotestaus kuitenkin menee paljon pidemmälle kuin skannaus siinä, että pelkkien haavojen raportoinnin sijaan myös selvitetään, miten isoa vahinkoa niillä pystytään aiheuttamaan. Aktiivisen hyödyntämisen avulla saadaan skannerien raportoimat ”väärät positiiviset” (false positive) havainnot poistettua sekä haavoittuvuuksien todellinen riskitaso arvioitua.

Lue blogistamme lisää näiden menetelmien kattavasta vertailusta: Pentestaus ja haavoittuvuuksien skannaus – mikä näiden ero on?