Miten tietoturvatestaus tehdään?

Tietoturvaa voidaan arvioida usealla eri menetelmällä, joista testaaminen on yksi. Testaamisessa monesti painopiste on haavoittuvuuksien etsimisessä ja niiden vakavuuden arvioinnissa. Liiketoimintakonteksti on keskeinen tekijä havaintojen riskitason ja vakavuuden arvioinnissa ja olennainen myös testauksen suunnittelussa. Ilman sitä on vaikea päättää mikä on pakollista testata ja minkä voi mahdollisesti jättää testauksen ulkopuolelle.

Testauksen kattavuuden osalta puhutaan skouppaamisesta eli mitä tarkalleen testaukseen sisällytetään (sovellukset, rajapinnat, järjestelmät, ominaisuudet, jne). Toinen keskeinen tekijä on, miten perinpohjaisesti testaus kannattaa suorittaa eli riittääkö esimerkiksi haavoittuvuusskannaus vai tarvitaanko penetraatiotestaus. Näiden eroista kerrotaan tarkemmin oppaan seuraavassa luvussa.

Tärkeää on ymmärtää, millaisia ovat kohteeseen liittyvät tunnistetut tietoturvauhkat tai -riskit. Mikäli näitä ei ole tiedossa, voi olla hyvä paikka aloittaa uhkamallinnuksesta.

1. Scope-palaveri

Scope-palaverissa kohde esitellään testaustiimille liiketoimintakontekstissaan. Palaverin tärkein tavoite on tuottaa testauksen työmääräarvio, koska se riippuu kohteen suuruusluokasta, kompleksisuudesta ja testauksen menetelmistä.

Jos kohde on websovellus tai mobiilisovellus, työmääräarviointiin riittää usein sen esittely suoraan käyttöliittymän kautta. Helpointa scope-palaveri on toteuttaa Teams-kokouksena. Toinen vaihtoehto on toimittaa tunnukset demo-ympäristöön, mutta näitä ei aina ole saatavilla.

Jos kohde on ulko-tai sisäverkko, työmäärää arvioidaan verkkoon kuuluvien palvelinten tai käytössä olevien domain-nimien ja/tai IP-osoitteiden lukumäärän perusteella.

Kun kohde on testaustiimin tiedossa, varmistetaan vielä että suunniteltu testausmenetelmä on liiketoimintatavoitteen näkökulmasta oikea. Tavoitteita ovat mm. ulkoisille sidosryhmille raportointi, riskiarviot sekä haavoittuvuuksien hallinta.

Scope-palaveriin tarvitaan tilaajan taholta liiketoimintatarpeesta tietävät sekä kohteiden teknologian tuntevat henkilöt. Esimerkiksi ulkoverkon testaamisessa suositeltavat osallistujat ovat CISO, CIO ja IT Manager. Sovelluksen osalta product manager, lead developer sekä toimintaympäristöstä eli infrastruktuurista vastaava henkilö. Jos sovellus toimii kumppanin ympäristössä, on heidänkin hyvä olla tulevasta testauksesta tietoisia.

2. Testiympäristön valmistelu

Testausta tuotannossa ei suositella, mutta joskus ei ole vaihtoehtoja. Suositus kuitenkin on tehdä testaus tuotannonkaltaisesssa ympäristössä (testi- tai esituotantoympäristö), jotta tehdyt havainnot pätevät myös tuotannossa.

Mikäli testiympäristö sijaitsee tilaajan sisäverkossa, tarvitaan testaamista varten palomuuriavaukset tai vaihtoehtoisesti VPN-yhteys. Jos testi- tai esituotantoympäristö on saavutettavissa julkisesta verkosta, erillisiä avauksia ei tarvita.

Testattavaan sovellukseen tarvitaan testitunnukset, jotta testaustyössä voidaan testata mm. organisaatio- ja käyttäjätasojen mukaisia näkyvyysrajoituksia. Testitunnukset auttavat myös epärehellisen loppukäyttäjän näkökulmasta tehtävien testitapausten suorittamista.

Ennen testaamista on hyvä ottaa varmuuskopio, erityisesti jos testataan tuotannossa tai jos testidatakin on työläs tuottaa uudelleen.

3. Testaaminen ja raportointi

Testaus suoritetaan asiantuntijatyönä ja siinä hyödynnetään sekä automaattisia että manuaalisia tietoturvatyökaluja ja menetelmiä. Tehdyt havainnot varmistetaan pyrkimällä hyödyntämään niitä. Näin poistetaan ns. väärät positiiviset havainnot sekä saadaan tarkempi vaikutusarvio oikeille havainnoille.

Testaukseen käytettävä aika riippuu kohteen laajuudesta ja kompleksisuudesta. Tyypillisesti testausprojekti web-sovellukselle kestää n. 1–2 viikkoa, verkkoympäristöjen testaaminen taas 2–4 viikkoa.

Testauksen lopputuloksena tuotetaan raportti, jossa kuvataan tehdyn työn laajuus, mahdolliset havainnot ja niiden aiheuttama riski sekä korjaussuositukset. Tulokset käydään läpi erillisessä palaverissa tilaajan kanssa, jolloin varmistetaan että havaintojen vakavuus ja vaadittavat korjaustoimenpiteet ovat kaikille selkeitä.