Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Mikäli vastasit ”kyllä” yhteenkään kysymykseen, on haastattelumuotoinen auditointi juuri sopiva vastaus tarpeisiin. Haastattelumuotoinen auditointi täydentää pentestausta — siinä missä pentestaaminen antaa teknisen täsmänäkemyksen tiettyyn sovelluksen kohtaan, haastattelu auttaa muodostamaan käsityksen ja ymmärryksen siitä mitä kaikkea tietyn kohdan ympärillä on ja tapahtuu.

Meidän lähestymistapamme

Haastatteluauditoinnissa käydään keskustellen ja erilaisiin todisteisiin nojaten läpi sovitut osa-alueet. Mikäli havaitsemme asioita, jotka eivät ole linjassa suositusten kanssa, haastamme asiakasta kyseenalaistamaan tehtyjä ratkaisuja ja miettimään, voisiko toteutus tapahtua standardinmukaisesti — eli toimia oikein. Emme keksi pyörää uudelleen, vaan nojaamme olemassa oleviin virallisiin standardeihin, parhaisiin käytäntöihin ja yleisesti tunnustettuihin viitekehyksiin.
Saku performing a security review
Esimerkiksi ISO 27001 -tietoturvastandardi on oiva lähde käytettäväksi myös teknisten työkalujen ja ylläpitoprosessien virtaviivaistamisessa. ISO 27001:aa ja muita vastaavia lähteitä käyttäen laadimme asiakkaallemme räätälöidyn kysymyssetin, jolla saadaan tehokkaasti selvitettyä esim. lokituskäytäntöjen, pääkäyttäjähallinnan ja sovellusalustan turvallisuusasetusten nykyinen taso — ja nimenomaan olemassa oleviim viitekehyksiin peilaten. Mikäli kohdejärjestelmä on pilvipainotteinen tai ollaan siirtämässä sovellusta pilveen, suuntaamme katseemme pilvipalveluiden turvallisuuden arviointikriteeristöön eli PiTuKriin. CIS:n benchmarkit ovat hyviä tiettyjen teknologioiden yksityiskohtaiseen seulontaan sekä myös tukemaan parhaiden käytäntöjen avulla toteutettavaa lähestymistä.
Haastattelulla voidaan helposti löytää myös päällekkäisyyksiä. Lähtökohtana voi olla esimerkiksi tilanne, jossa asiakkaan aikaa kuluu tarpeettomasti applikaatioinfrastruktuurin tietoturva-asetusten säätämiseen, koska nykyisen pilvipalveluntarjoajan vakioituja suojausmekanismeja ei ole otettu tehokkaaseen käyttöön.

Esimerkkejä kysymyksistä:

  • Onko tarve korotetuille käyttöoikeuksille (mukaan lukien pääkäyttäjätunnukset ja muut erityisiä oikeuksia omaavat toiminnot) järjestelmäkohtaisesti listattu ja niitä tarvitsevat henkilöt tunnistettu?
  • Millaisilla perusteilla erityisiä käyttöoikeuksia myönnetään?
  • Voiko käyttäjä suorittaa tavanomaisia toimiaan käyttäen korotetuin käyttöoikeuksin varustettua käyttäjätunnustaan?

Miten me tämän teemme

Security review subject instructions

Me valmistaudumme haastatteluun tunnistamalla yhdessä asiakkaan kanssa olennaisimmat osa-alueet (esimerkiksi pilvi-infrastruktuuri, lokitus ja monitorointi sekä henkilötietojen käsittelyn tietoturvallisuus), valitsemalla sopivat viitekehykset ja laatimalla haastattelukysymykset.

Määrittelemme asiakkaalta mahdollisesti tarvittavan haastattelun etukäteismateriaalin ja -dokumentit sekä tutustumme niihin. Valitut kysymykset ja väittämät toimitetaan asiakkaalle jo ennen haastattelua, jotta itse haastattelutilanne olisi mahdollisimman sujuva ja osapuolet ovat voineet siihen valmistautua.

Kun ollaan valmiita haastatteluun, suoritamme sen. Teamsissa tai neukkarissa. Kysymme kysyttävämme, pyydämme todisteita ja käymme tarvittavat tarkentavat keskustelut.

Projektin päätteeksi toimitamme loppuraportin ja käymme sen yhdessä asiakkaan kanssa läpi. Haastatteluissa käytämme asiakkaalle parhaiten sopivaa kieltä ja raportin tuotamme englanniksi.

Raporttiin voi sisältyä esimerkiksi:

  • suosituksia jokaiselta toiminta-alueelta
  • suositusten asettuminen sopiviin viitekehyksiin
  • tärkeimmät puuttuvat tai parannusta vaativat prosessit
  • tärkeimmät puuttuvat tai parannusta vaativat dokumentit
  • ajatuksia käytetyistä ja ehdotettavista tietoturvan mittareista
  • ensimmäiset askeleet muutoksen aikaan saamiseen — teknisestä ja hallinnollisesta näkökulmasta
Security review report
Team meeting

Auditointi

Auditointi Auditointi lyhyesti Auditointi tarkoittaa monia asioita. Meille se tarkoittaa asiakkaalle räätälöityä järjestelmä-, ympäristö sekä prosessitarkistusta. Sen lisäksi että kuuntelemme mistä asiakas on kiinnostunut, kerromme

Lue lisää »
Redteaming - Search Engine
Blogit

Red Teaming ja Recon

Recon and red teaming can be done separately, but they also work hand in hand. It may be a good idea for a company to do a thorough recon to understand the adversaries view on the organization – and this not only in the technical sense.

Lue lisää »
OWASP Top-10 Application Risk
Blogit

Mitä on pentestaaminen?

Yleinen web-sovelluksen tietoturvan arviointiin käytetty työkalu on tunkeutumistestaus. Rakkaalla lapsella on monta nimeä, ja tunkeutumistestaus tunnetaan myös nimellä pentest eli englanniksi penetration testing. Kyseessä on luvallinen simuloitu hyökkäys, jolla pyritään käyttämään sovellusta siten, että se voi olla vahingollista joko järjestelmälle, järjestelmässä olevalle tiedolle tai järjestelmää kättäville henkilöille.

Lue lisää »
Auditoinnista raporttiin
Blogit

Miten toteutamme auditoinnin

Kun asiakas on todennut auditointitarpeen ja tilannut meiltä auditoinnin, toteutus aloitetaan määrittelemällä yhdessä auditoinnin tavoitteet ja osa-alueet. Tässä työvaiheessa on tyypillisesti mukana asiakkaan puolelta järjestelmästä tai projektista vastaava henkilö ja/tai hänen valtuuttamansa henkilöt.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.