Blogi

Veracode SCA Header
sdlc
Tapio Särkelä

Veracode SCA – uudempi ja parempi

Veracode osti taannoin SourceClearin. Yhdistämällä ohjelmiston koostumuksen analyysin tekniikat ohjelmistotalot voisivat kehittää entistä parempia sovelluksia avoimen lähdekoodin avulla tietoturvan säilyessä korkealla tasolla.

Veracode
veracode
Tapio Särkelä

Mitä on sovellusten tietoturva?

Jokaisen yrityksen sovellusympäristö on liiketoimintakriittinen ja kasvaa koko ajan. Mobiili- ja pilvipalvelut ovat muuttaneet ja muuttavat dramaattisesti miten liiketoimintaa tehdään.

Mint Splunk Consulting Services
siem
Thomas

Mint Splunk Consulting Services

Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti – turvallisesti.

Programming languages cubes
veracode
Tapio Särkelä

Veracode julkisti tuen uusille ohjelmointikielille: Apex, Go ja PLSQL

Kun Veracodella harkitaan uusien ohjelmointikielin tukea, tarkastelun kohteena ovat asiakkaiden nykyiset teknologiaratkaisut sekä uudet, kehittyvät kielet, joiden avulla voitaisiin tuoda innovaatioita turvallisesti markkinoille nopeammin. Tätä silmällä pitäen Veracode lisäsi äskettäin tuen Apex-, Go- ja PLSQL-ohjelmointikielille.

Veracode and Travis CI
veracode
Teemu Turpeinen

Integrating Travis CI with Veracode

This blog post will show you how to integrate Travis CI and Veracode. Travis is a cloud based continuous integration (ci) service, that can be used to automate tests and builds for software projects hosted in GitHub.

Business street
Saku Tuominen

4X4 – mitä tietoturvallisuus liiketoiminnassa tarkoittaa ja mitä ei

Tietoturvan pyhää kolmijakomantraa – tietojen luottamuksellisuutta, eheyttä ja saatavuutta on toisteltu alan seminaareissa ja powerpointeissa kulumiseen saakka. Haluan tässä kirjoituksessa keskittyä nimenomaan käytännön esimerkein valaisemaan, mitä tietoturvallisuus yrityksissä tarkoittaa. Oikaisen samalla myös pari väärinkäsitystä siitä, mitä se ei tarkoita.

Fintech and Eu banking regulation
Tapio Särkelä

EU: finanssialan kyberresilienssi, testaus ja regulaatio

Tämä blogi on tarkoitettu läpivalaisuksi juuri nyt ajankohtaisista finanssialan ja tietoturvan asioista. Olemme lukeneet sivutolkulla materiaalia, ja tässä kiireiselle lyhyt yhteenveto sekä viittaukset lähdemateriaaleihin. Jos kiireiden keskellä sattuisi löytymään aikaa tutustua vähän pitkällisemminkin asiaan.

Scanners - Overview of different scanners
audit
Thomas

Mitä tarkoittaa tietoturvaskannaus – 5 näkökulmaa

Vaikka yritämme tehdä erittäinkin selväksi, mitä mikäkin skanneri milloinkin tekee, kohtaamme kuitenkin aika ajoin toteamuksen ”mutta meillä on jo skanneri”. Tätä on vaikea lähteä kumoamaan. Asiantuntijaroolissa tunnen aina tässä kohtaa suurta tarvetta selittää, myyntiroolissa selittely ei välttämättä tuota suuria voittoja.

Splunk Hardened Delivery
siem
Thomas

Splunk delivery models

Mint Security has a set of predefined delivery models to choose from. These are based on best practices and experience.

OWASP Top-10 Application Risk
audit
Thomas

Mitä on pentestaaminen?

Yleinen web-sovelluksen tietoturvan arviointiin käytetty työkalu on tunkeutumistestaus. Rakkaalla lapsella on monta nimeä, ja tunkeutumistestaus tunnetaan myös nimellä pentest eli englanniksi penetration testing. Kyseessä on luvallinen simuloitu hyökkäys, jolla pyritään käyttämään sovellusta siten, että se voi olla vahingollista joko järjestelmälle, järjestelmässä olevalle tiedolle tai järjestelmää kättäville henkilöille.

Auditoinnista raporttiin
audit
Thomas

Miten toteutamme auditoinnin

Kun asiakas on todennut auditointitarpeen ja tilannut meiltä auditoinnin, toteutus aloitetaan määrittelemällä yhdessä auditoinnin tavoitteet ja osa-alueet. Tässä työvaiheessa on tyypillisesti mukana asiakkaan puolelta järjestelmästä tai projektista vastaava henkilö ja/tai hänen valtuuttamansa henkilöt.

Auditoinnin punainen lanka
audit
Thomas

Miten tilaan onnistuneen auditoinnin?

Auditoinnin tilaaminen aloitetaan määrittelemällä sen tarkoitus. Näin saadaan heti lähtökuopissa kiinni siitä, mitä tavoitellaan ja mitä sillä voi enimmillään saavuttaa. Tavoitteiden on oltava realistisia ja niihin on aina luettava mukaan myös oman toiminnan kehittyminen ja virheistä oppiminen.

siem
Teemu Turpeinen

Splunk Enterprise Architectural Decisions

So, you’ve got your Splunk Enterprise up and running and collecting data from some of your systems. A few dashboards have been created too and life is good. But perhaps, there could be more .

Verified by Veracode
sdlc
Thomas

Veracode’n verifioimaa koodia

Osoita sovelluskehityksesi tietoturvan erinomaisuus Veracode Verified -ohjelman avulla. Tällä tavoin teet tietoturvasta kilpailuedun – ja samalla teet ostamisen asiakkaillesi helpommaksi. Kun myynti toimii, takaat myös sen, että tietoturva saa arvoisensa aseman sovelluskehityksessä.

business
Elina Partanen

Hyödynnä riskirekisteriä jatkuvuussuunnittelussa

Mint Security toimittaa riskienhallinnan ja jatkuvuuden konsultointipalveluita ja on huomannut, että linkki riskirekisterin ja jatkuvuussuunnitelmien välillä ei aina ole selkeä.

business
Saku Tuominen

ISMS – mikä se on ja mihin sitä tarvitaan?

Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.

Splunk header
siem
Thomas

Minted by Splunk

Mint Security provides a vast range of überconsulting for Splunk. From a single server to clustered multisite setups with integrated SSO and 2FA.

sdlc
Tapio Särkelä

Veracode SCA kirjastoanalyysi paljastaa haavoittuvuudet ja lisenssiriskit

Veracoden SCA-toiminto (Software Composition Analysis) havaitsee avoimen lähdekoodin kirjaston käyttöön liittyvät riskit, joita saattavat olla esim. vanhentuneet ja riskialttiit versiot. Lisäksi joihinkin avoimen lähdekoodin kirjastoihin saattaa liittyä myös lisenssiriski, jos sovellusta käytetään kaupallisiin tarkoituksiin.

Veracode open source risk
sdlc
Thomas

Ymmärrä avoimen lähdekoodin riskit

Sovelluskehitystiimeille asetettavat vaatimukset ovat suuremmat kuin koskaan. Ketteryyden ja kehitysnopeuden vaatimusten jatkuvassa kasvussa, DevOpsin ja hyvin voideltujen CI/CD-järjestelmien edessä kehittäjät ovat äärettömässä tuotantopaineessa.

sdlc
Tapio Särkelä

Ohjelmistokehityksen tietoturvallisuuden tila – SOSS 2018

Veracode on äskettäin julkaissut uusimman SSOS (State of Software Security) -raporttinsa. Vuosittain julkaistava raportti sisältää kattavan analyysin yli 700 000 sovelluksen skannauksesta saaduista tuloksista, kuten analyysit haavoittuvuuksien yleisyydestä ja miten niitä on korjattu, erot toiminnassa eri toimialojen välillä sekä paljon muuta.

siem
Teemu Turpeinen

Getting started with Splunk Enterprise

Splunk Enterprise is known as a de-facto do-it-all log collector, that in reality is fairly easy to start with, but can be complex to master.

audit
Thomas

Palvelunestohyökkäys on ystävä

Onko absurdia ajatella, että palvelunestohyökkäys voisi olla positiivinen? Ei suinkaan. Silloin, kun on kyse harkitusta ja hyvin suunnitellusta harjoituksesta, jossa riskit on arvioitu, on kyse hyvinkin positiivisesta asiasta. Tärkeää on kuitenkin juuri harkinta ja riskien hallinta.

business
Elina Partanen

Käytännönläheinen jatkuvuussuunnittelu skenaarioiden avulla

Mint Security toimittaa jatkuvuussuunnittelua konsultointipalveluna ja on todennut skenaariopohjaisen lähestymistavan tehokkaana keinona keskittyä asiakkaan tärkeimpiin toimintoihin. Skenaariot toimivat myös kriisiharjoitusten pohjana. Kattava jatkuvuussuunnittelu sisältää valmius-,

tweaks
Saku Tuominen

CIRCLean sanitoi USB-muistit ennen kytkemistä koneeseen

Yritysmaailman merkittävimpiin päivittäisten kyberuhkien joukkoon lukeutuvien USB-tikkujen vaarat ovat moninaiset. Nämä helppokäyttöiset ja pienikokoiset tallennusvälineet ovat jo ainakin 15 vuoden ajan olleet varkaille ja muille

current events
Thomas

KRACK ja turvallisen sisäverkon käsite

Lokakuussa 2017 löydettiin KRACK-haavoittuvuus, joka vaarantaa Wi-Fi -verkkojen turvallisuuden. Haavoittuvuuksia julkaistaan harva se päivä. Yleensä ne jäävät tietoturvasisäpiirin tietoon monimutkaisen teknisen jargonin taakse. Merkittävimmät niistä

business
Thomas

Tietojärjestelmien kovennukset

Palveluita ja palvelimia julkaistaan verkkoon. Siis Internetiin. Ja Internet on viattomalle ja suojaamattomalle palvelimelle paha paikka. Miten palvelimia ja palveluita voidaan suojata? Kuvitellaan että palomuurihan tätä suojelee. Kyllä, osittain niinkin – mutta palomuurin tehtävä ei oikeastaan ole estää liikennettä – vaan hallitusti mahdollistaa liikennettä.

ssl/tls
Thomas

SSL ja TLS – ehjä tänään, rikki huomenna – miten ratkaisemme tämän?

SSL/TLS (jatkossa yksinkertaisesti ja kansankielisesti SSL) on haaste. Väärin konfiguroituja SSL-palvelimia haastetaan ja kiusataan jatkuvasti. SSL on internetin perusturvallisuutta johon käyttäjät oppivat luottamaan. Toisaalta tutkimusta algoritmien ja menetelmien luotettavuudesta ja turvallisuudesta tehdään jatkuvasti – ja joka kerta kun tutkimustuloksia julkistetaan pitäisi niiden seuraus ja impakti ymmärtää.

current events
Thomas

Kun radiosta soi ”Fuck Donald Trump”

Viime viikolla uutisoitiin siitä, miten amerikkalaiset radioasemat soittivat Fuck Donald Trump -nimistä kevyeksi musiikiksi laskettavaa teosta jatkuvalla toistolla. Uutiskynnys ylittyi minulla kuitenkin siitä syystä, että

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.