29.06 2022

Verkkosovellusten pentestaus auttaa havaitsemaan tietoturva-aukkoja ja ehkäisemään kyberhyökkäyksiä

Joka päivä noin 30 000 verkkosivustoa joutuu maailmalla kyberhyökkäysten uhriksi (https://www.sophos.com/en-us/labs/Security-threat-report). Riski, että jossain vaiheessa nämä tilastot sisältävät myös yrityksesi verkkosivuston, on melko suuri. Monet organisaatiot eivät kuitenkaan kiinnitä paljon huomiota kyberturvallisuuteen, vaikka verkkosovellukset ovat pääasiallisia kohteita, joiden kautta pääsee yrityksen tai organisaation sisäverkkoon ja siihen tallennettuihin tietoihin.

Verkkosovellusten pentestaus on tehokas tapa havaita tietoturva-aukkoja ja estää kyberhyökkäykset. Pentestauksessa käytetään hyökkääjien tavallisesti käyttämiä tekniikoita ja sovellus analysoidaan hyökkääjän näkökulmasta.

Kuka voi hyötyä verkkosovellusten pentestauksesta?

Yrityksen, jolla on julkinen verkkosivusto tai joka kehittää asiakkaille verkkopohjaisia ratkaisuja, tulee tehdä pentestauksia vähintään kerran vuodessa tai aina laajojen kehitysprojektien päätyttyä estääkseen kyberrikollisia hyökkäämästä ja pääsemästä heidän kanaviinsa. Lähes jokaisella yrityksellä on julkinen nettisivu, joka sisältää erilaisia yksinkertaisia toimintoja, kuten yhteydenottolomakkeen, palautelomakkeen sekä asiakkaille mahdollisuuden tehdä hakuja tai muita liiketoimintaan liittyviä toimintoja. Tällaiset toiminnot ovat usein ovi hyökkääjälle päästakseen yrityksen sisäiseen verkkoon.

Monien vuosien neuvontakokemuksemme perusteella voimme sanoa, että yleisesti on kahdenlaisia asiakkaita, jotka voivat hyötyä verkkosovellusten pentestauksesta eniten ja saada tarvittavan varmuuden. Nämä ovat yrityksiä, joilla on julkinen verkkosivusto, ja yrityksiä, jonka tuotteena ovat verkkoratkaisut.

Alla luettelemme tärkeimmät verkkosovellusten tietoturvatestausta koskevat väärinkäsitykset, jotka haluamme kumota:

  • Sivustomme ei sisällä tärkeitä toimintoja – on vain yhteydenottolomake ja mahdollisuus jättää anonyymejä kommentteja.
    Sivusto voi silti olla alttiina kriittisille tietoturvavirheille, kuten XSS-haavoittuvuudet (cross-site scripting) tai injektiohyökkäykset (injection attacks). Näiden tietoturvavirheiden seurauksena hyökkääjä voi päästä verkkopalvelimeen tai järjestelmänvalvojan tileihin. Erityisen vaarallisia tällaisista tietoturvavirheistä tekee se, että niiden tuloksena saatu ensipääsy puolestaan muuttuu paljon vakavammaksi tietoturvavirheeksi, jolloin hyökkääjä voi ottaa haltuunsa yrityksen koko sisäisen verkon.
  • Verkkopalvelimellamme ei ole erityistä kaupallista arvoa, ja hyökkäyksen tapahtuessa voimme aina käyttää varmuuskopiota järjestelmän palauttamiseen ja sitten päivittää sen.
    Pääsy verkkopalvelimeen on vain jäävuoren huippu. Sen avulla hyökkääjä voi saada jalkansa oven väliin ja olla askeleen lähempänä yrityksen koko verkon hallintaa. Erityisen vaarallisia ovat tilanteet, joissa hyökkääjä pääsee verkkopalvelimeen kohdistuvan hyökkäyksen tuloksena käsiksi henkilötietoihin ja käyttäjätileihin. Tällainen hyökkäys vahingoittaa yrityksesi mainetta ja sen seurauksena menetät asiakkaidesi luottamuksen.
  • Olemme ottaneet käyttöön laajasti käytetyn sisällönhallintajärjestelmän, joten verkkosivumme ovat turvallisia.
    Heti kun tällaisessa järjestelmässä havaitaan uusi turvavirhe, verkkosivustostasi tulee erittäin haavoittuva kohde. Noin 35 % verkkohyökkäyksistä kohdistuu laajalti käytettyihin sisällönhallintajärjestelmiin, kuten WordPressiin ja Joomlaan.
Viide httpswwwacunetixcomwhite-papersacunetix-web-application-vulnerability-report-2021wordpress-and-other-cms-vulnerabilities


  • Olemme ulkoistaneet verkkosivujemme kehittämisen ja hallinnan, ja kumppanimme huolehtii yrityksemme turvallisuudesta.
    Useimmat verkkosovellusten turvavirheet syntyvät vahingossa, eivätkä useimmat kehittäjät ole erikoistuneet kyberturvallisuuteen. Pentestaukseen on aina parempi käyttää riippumatonta kolmatta osapuolta, joka on alan asiantuntija. Kyseessä ovat kuitenkin yrityksesi tiedot ja hyvinvointi. Jos kehität verkkoratkaisuja asiakkaillesi, yrityksesi tiedot tai resurssit eivät ole vaarassa, vaan maineesi ja työn laatu. Jos varmistat kehittämiesi ratkaisujen turvallisuuden ja pentestaukset ovat vahvistaneet tämän, osoitat asiakkaillesi, että olet luotettava kumppani. Pentestauksen tilaaminen maailmanlaajuisesti tunnetulta ja luotettavalta yritykseltä on vahva laatumerkki, joka lisää uskottavuuttasi.
  • If you develop web-based solutions for your customers, it is not your company’s data or resources that are at risk but your reputation and quality of work. If you ensure the security of the solutions you have developed and penetration tests have verified this, you will prove to your customers that you are a reliable development partner. Ordering a penetration test from a globally renowned and trusted company is a strong quality label that will help to enhance your credibility.

Miten KPMG:n kyberturvaosaajat voivat olla avuksesi?

Kyberturvallisuusasiantuntijamme voivat tunnistaa mahdolliset haavoittuvuudet, joiden avulla hyökkääjät voivat käyttää sovellustasi tai verkkosivustoasi hyväkseen. Jos kehität verkkoratkaisuja kolmansille osapuolille, voimme käyttää verkkosovellusten pentestausta tunnistaaksemme tuotteidesi mahdolliset hyökkäysvektorit ja kyberturvallisuusongelmat, joista et ehkä ole tietoinen.

Lähestymistapamme on joustava ja asiakaslähtöinen noudattaen aina sopivimpien turvallisuusstandardien (OWASP ASVS) vaatimuksia. Raporttimme sisältää arvion kyberturvallisuuden yleisestä laadusta, joka sisältää ammattimaisen arvion testatusta verkkosovelluksesta kyberturvallisuuden näkökulmasta.

Sellainen on malliarviointi:

Pentestauksen lisäksi etsimme virheitä, jonka korjaaminen auttaa parantamaan verkkosovelluksesi yleistä kyberturvallisuutta. Tätä varten noudatamme kaikkia kyberturvallisuuden parhaita käytänteitä ja standardeja (OWASP ASVS, CIS Benchmarks). Tämän jälkeen laadimme yksityiskohtaisen raportin, joka sisältää luettelon tietoturvavirheistä, suosituksia niiden korjaamiseksi ja ohjeellisen korjausjärjestyksen. Sinun ollessa yhteydessä asiantuntijoihimme, voit kysyä lisäkysymyksiä siitä, kuinka voit parhaiten korjata havaitut virheet.

Kun korjaukset on tehty, suoritamme tarkastustestin varmistaaksemme, että korjaukset on tehty oikein, ne ovat tehokkaita eikä korjausprosessissa ole syntynyt uusia virheitä.

ASVS -standardilla (Application Security Verification Standard) on seuraavat tasot:

  • Taso 1 (Perustaso) – vähimmäistaso, joka sopii kaikille verkkosovelluksille;
  • Taso 2 (Vakiotaso) – suositeltu taso useimmille sovelluksille; tätä tasoa suositellaan, kun sovellus käsittelee arkaluonteisia tietoja, kuten henkilötietoja, tai liittyy liiketoimintaprosesseihin;
  • Taso 3 (Edistynyt taso) – sopii kriittisille järjestelmille, mukaan lukien rahoitussektoriin liittyvät sovellukset tai kriittiset järjestelmät sotilas- ja julkisella sektorilla.

Se kaikki kuulostaa todella kalliilta

Verkkosovellusten pentestauksen hinta riippuu työn laajuudesta, sovelluksen toiminnallisuudesta ja tietoturvavaatimuksista, joiden perusteella haluat tarkistaa verkkosivustosi.


Useimmiten hankeen kustannukset vaihtelevat, pysyen 5 000 ja 15 000 euron välillä.

Ota yhteyttä saadaksesi lisätietoja. Kartoitamme nykyisen tilanteesi ja löydämme parhaan ratkaisun yrityksellesi tai organisaatiollesi.



Rein Luhtaru

Vanhempi kyberturvallisuusasiantuntija
rluhtaru@kpmg.com

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Narva mnt 5, 10117 Tallinna, Viro
${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR-analyysi 

HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.

Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.

Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.

Email again: