Blogi

Scanners - Overview of different scanners
audit
Thomas

Mitä tarkoittaa tietoturvaskannaus – 5 näkökulmaa

Vaikka yritämme tehdä erittäinkin selväksi, mitä mikäkin skanneri milloinkin tekee, kohtaamme kuitenkin aika ajoin toteamuksen ”mutta meillä on jo skanneri”. Tätä on vaikea lähteä kumoamaan. Asiantuntijaroolissa tunnen aina tässä kohtaa suurta tarvetta selittää, myyntiroolissa selittely ei välttämättä tuota suuria voittoja.

OWASP Top-10 Application Risk
audit
Thomas

Mitä on pentestaaminen?

Yleinen web-sovelluksen tietoturvan arviointiin käytetty työkalu on tunkeutumistestaus. Rakkaalla lapsella on monta nimeä, ja tunkeutumistestaus tunnetaan myös nimellä pentest eli englanniksi penetration testing. Kyseessä on luvallinen simuloitu hyökkäys, jolla pyritään käyttämään sovellusta siten, että se voi olla vahingollista joko järjestelmälle, järjestelmässä olevalle tiedolle tai järjestelmää kättäville henkilöille.

Auditoinnista raporttiin
audit
Thomas

Miten toteutamme auditoinnin

Kun asiakas on todennut auditointitarpeen ja tilannut meiltä auditoinnin, toteutus aloitetaan määrittelemällä yhdessä auditoinnin tavoitteet ja osa-alueet. Tässä työvaiheessa on tyypillisesti mukana asiakkaan puolelta järjestelmästä tai projektista vastaava henkilö ja/tai hänen valtuuttamansa henkilöt.

Auditoinnin punainen lanka
audit
Thomas

Miten tilaan onnistuneen auditoinnin?

Auditoinnin tilaaminen aloitetaan määrittelemällä sen tarkoitus. Näin saadaan heti lähtökuopissa kiinni siitä, mitä tavoitellaan ja mitä sillä voi enimmillään saavuttaa. Tavoitteiden on oltava realistisia ja niihin on aina luettava mukaan myös oman toiminnan kehittyminen ja virheistä oppiminen.

siem
Teemu Turpeinen

Splunk Enterprise Architectural Decisions

So, you’ve got your Splunk Enterprise up and running and collecting data from some of your systems. A few dashboards have been created too and life is good. But perhaps, there could be more .

Verified by Veracode
sdlc
Thomas

Veracode’n verifioimaa koodia

Osoita sovelluskehityksesi tietoturvan erinomaisuus Veracode Verified -ohjelman avulla. Tällä tavoin teet tietoturvasta kilpailuedun – ja samalla teet ostamisen asiakkaillesi helpommaksi. Kun myynti toimii, takaat myös sen, että tietoturva saa arvoisensa aseman sovelluskehityksessä.

business
Elina Partanen

Hyödynnä riskirekisteriä jatkuvuussuunnittelussa

Mint Security toimittaa riskienhallinnan ja jatkuvuuden konsultointipalveluita ja on huomannut, että linkki riskirekisterin ja jatkuvuussuunnitelmien välillä ei aina ole selkeä.

business
Saku Tuominen

ISMS – mikä se on ja mihin sitä tarvitaan?

Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.

siem
Thomas

Minted by Splunk

Mint Security provides a vast range of überconsulting for Splunk. From a single server to clustered multisite setups with integrated SSO and 2FA.

sdlc
Tapio Särkelä

Veracode SCA kirjastoanalyysi paljastaa haavoittuvuudet ja lisenssiriskit

Veracoden SCA-toiminto (Software Composition Analysis) havaitsee avoimen lähdekoodin kirjaston käyttöön liittyvät riskit, joita saattavat olla esim. vanhentuneet ja riskialttiit versiot. Lisäksi joihinkin avoimen lähdekoodin kirjastoihin saattaa liittyä myös lisenssiriski, jos sovellusta käytetään kaupallisiin tarkoituksiin.

Veracode open source risk
sdlc
Thomas

Ymmärrä avoimen lähdekoodin riskit

Sovelluskehitystiimeille asetettavat vaatimukset ovat suuremmat kuin koskaan. Ketteryyden ja kehitysnopeuden vaatimusten jatkuvassa kasvussa, DevOpsin ja hyvin voideltujen CI/CD-järjestelmien edessä kehittäjät ovat äärettömässä tuotantopaineessa.

sdlc
Tapio Särkelä

Ohjelmistokehityksen tietoturvallisuuden tila – SOSS 2018

Veracode on äskettäin julkaissut uusimman SSOS (State of Software Security) -raporttinsa. Vuosittain julkaistava raportti sisältää kattavan analyysin yli 700 000 sovelluksen skannauksesta saaduista tuloksista, kuten analyysit haavoittuvuuksien yleisyydestä ja miten niitä on korjattu, erot toiminnassa eri toimialojen välillä sekä paljon muuta.

siem
Teemu Turpeinen

Getting started with Splunk Enterprise

Splunk Enterprise is known as a de-facto do-it-all log collector, that in reality is fairly easy to start with, but can be complex to master.

audit
Thomas

Palvelunestohyökkäys on ystävä

Onko absurdia ajatella, että palvelunestohyökkäys voisi olla positiivinen? Ei suinkaan. Silloin, kun on kyse harkitusta ja hyvin suunnitellusta harjoituksesta, jossa riskit on arvioitu, on kyse hyvinkin positiivisesta asiasta. Tärkeää on kuitenkin juuri harkinta ja riskien hallinta.

business
Elina Partanen

Käytännönläheinen jatkuvuussuunnittelu skenaarioiden avulla

Mint Security toimittaa jatkuvuussuunnittelua konsultointipalveluna ja on todennut skenaariopohjaisen lähestymistavan tehokkaana keinona keskittyä asiakkaan tärkeimpiin toimintoihin. Skenaariot toimivat myös kriisiharjoitusten pohjana. Kattava jatkuvuussuunnittelu sisältää valmius-,

tweaks
Saku Tuominen

CIRCLean sanitoi USB-muistit ennen kytkemistä koneeseen

Yritysmaailman merkittävimpiin päivittäisten kyberuhkien joukkoon lukeutuvien USB-tikkujen vaarat ovat moninaiset. Nämä helppokäyttöiset ja pienikokoiset tallennusvälineet ovat jo ainakin 15 vuoden ajan olleet varkaille ja muille

current events
Thomas

KRACK ja turvallisen sisäverkon käsite

Lokakuussa 2017 löydettiin KRACK-haavoittuvuus, joka vaarantaa Wi-Fi -verkkojen turvallisuuden. Haavoittuvuuksia julkaistaan harva se päivä. Yleensä ne jäävät tietoturvasisäpiirin tietoon monimutkaisen teknisen jargonin taakse. Merkittävimmät niistä

business
Thomas

Tietojärjestelmien kovennukset

Palveluita ja palvelimia julkaistaan verkkoon. Siis Internetiin. Ja Internet on viattomalle ja suojaamattomalle palvelimelle paha paikka. Miten palvelimia ja palveluita voidaan suojata? Kuvitellaan että palomuurihan tätä suojelee. Kyllä, osittain niinkin – mutta palomuurin tehtävä ei oikeastaan ole estää liikennettä – vaan hallitusti mahdollistaa liikennettä.

ssl/tls
Thomas

SSL ja TLS – ehjä tänään, rikki huomenna – miten ratkaisemme tämän?

SSL/TLS (jatkossa yksinkertaisesti ja kansankielisesti SSL) on haaste. Väärin konfiguroituja SSL-palvelimia haastetaan ja kiusataan jatkuvasti. SSL on internetin perusturvallisuutta johon käyttäjät oppivat luottamaan. Toisaalta tutkimusta algoritmien ja menetelmien luotettavuudesta ja turvallisuudesta tehdään jatkuvasti – ja joka kerta kun tutkimustuloksia julkistetaan pitäisi niiden seuraus ja impakti ymmärtää.

current events
Thomas

Kun radiosta soi ”Fuck Donald Trump”

Viime viikolla uutisoitiin siitä, miten amerikkalaiset radioasemat soittivat Fuck Donald Trump -nimistä kevyeksi musiikiksi laskettavaa teosta jatkuvalla toistolla. Uutiskynnys ylittyi minulla kuitenkin siitä syystä, että

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.