Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

Mikäli vastasit ”kyllä” yhteenkään kysymykseen, on haastattelumuotoinen auditointi juuri sopiva vastaus tarpeisiin. Haastattelumuotoinen auditointi täydentää pentestausta — siinä missä pentestaaminen antaa teknisen täsmänäkemyksen tiettyyn sovelluksen kohtaan, haastattelu auttaa muodostamaan käsityksen ja ymmärryksen siitä mitä kaikkea tietyn kohdan ympärillä on ja tapahtuu.

Meidän lähestymistapamme

Haastatteluauditoinnissa käydään keskustellen ja erilaisiin todisteisiin nojaten läpi sovitut osa-alueet. Mikäli havaitsemme asioita, jotka eivät ole linjassa suositusten kanssa, haastamme asiakasta kyseenalaistamaan tehtyjä ratkaisuja ja miettimään, voisiko toteutus tapahtua standardinmukaisesti — eli toimia oikein. Emme keksi pyörää uudelleen, vaan nojaamme olemassa oleviin virallisiin standardeihin, parhaisiin käytäntöihin ja yleisesti tunnustettuihin viitekehyksiin.
Saku performing a security review
Esimerkiksi ISO 27001 -tietoturvastandardi on oiva lähde käytettäväksi myös teknisten työkalujen ja ylläpitoprosessien virtaviivaistamisessa. ISO 27001:aa ja muita vastaavia lähteitä käyttäen laadimme asiakkaallemme räätälöidyn kysymyssetin, jolla saadaan tehokkaasti selvitettyä esim. lokituskäytäntöjen, pääkäyttäjähallinnan ja sovellusalustan turvallisuusasetusten nykyinen taso — ja nimenomaan olemassa oleviim viitekehyksiin peilaten. Mikäli kohdejärjestelmä on pilvipainotteinen tai ollaan siirtämässä sovellusta pilveen, suuntaamme katseemme pilvipalveluiden turvallisuuden arviointikriteeristöön eli PiTuKriin. CIS:n benchmarkit ovat hyviä tiettyjen teknologioiden yksityiskohtaiseen seulontaan sekä myös tukemaan parhaiden käytäntöjen avulla toteutettavaa lähestymistä.
Haastattelulla voidaan helposti löytää myös päällekkäisyyksiä. Lähtökohtana voi olla esimerkiksi tilanne, jossa asiakkaan aikaa kuluu tarpeettomasti applikaatioinfrastruktuurin tietoturva-asetusten säätämiseen, koska nykyisen pilvipalveluntarjoajan vakioituja suojausmekanismeja ei ole otettu tehokkaaseen käyttöön.

Esimerkkejä kysymyksistä:

  • Onko tarve korotetuille käyttöoikeuksille (mukaan lukien pääkäyttäjätunnukset ja muut erityisiä oikeuksia omaavat toiminnot) järjestelmäkohtaisesti listattu ja niitä tarvitsevat henkilöt tunnistettu?
  • Millaisilla perusteilla erityisiä käyttöoikeuksia myönnetään?
  • Voiko käyttäjä suorittaa tavanomaisia toimiaan käyttäen korotetuin käyttöoikeuksin varustettua käyttäjätunnustaan?

Miten me tämän teemme

Security review subject instructions

Me valmistaudumme haastatteluun tunnistamalla yhdessä asiakkaan kanssa olennaisimmat osa-alueet (esimerkiksi pilvi-infrastruktuuri, lokitus ja monitorointi sekä henkilötietojen käsittelyn tietoturvallisuus), valitsemalla sopivat viitekehykset ja laatimalla haastattelukysymykset.

Määrittelemme asiakkaalta mahdollisesti tarvittavan haastattelun etukäteismateriaalin ja -dokumentit sekä tutustumme niihin. Valitut kysymykset ja väittämät toimitetaan asiakkaalle jo ennen haastattelua, jotta itse haastattelutilanne olisi mahdollisimman sujuva ja osapuolet ovat voineet siihen valmistautua.

Kun ollaan valmiita haastatteluun, suoritamme sen. Teamsissa tai neukkarissa. Kysymme kysyttävämme, pyydämme todisteita ja käymme tarvittavat tarkentavat keskustelut.

Projektin päätteeksi toimitamme loppuraportin ja käymme sen yhdessä asiakkaan kanssa läpi. Haastatteluissa käytämme asiakkaalle parhaiten sopivaa kieltä ja raportin tuotamme englanniksi.

Raporttiin voi sisältyä esimerkiksi:

  • suosituksia jokaiselta toiminta-alueelta
  • suositusten asettuminen sopiviin viitekehyksiin
  • tärkeimmät puuttuvat tai parannusta vaativat prosessit
  • tärkeimmät puuttuvat tai parannusta vaativat dokumentit
  • ajatuksia käytetyistä ja ehdotettavista tietoturvan mittareista
  • ensimmäiset askeleet muutoksen aikaan saamiseen — teknisestä ja hallinnollisesta näkökulmasta
Security review report
SRI - Integrity attribute
Blogit

Ulkoisten resurssien käyttö web-sovelluksissa ja SRI

Web-sovellusten pentesteissä toistuvasti vastaan tuleva ilmiö on ulkoisten resurssien (tietoturvaton) käyttö. Ulkoisista, kolmannen osapuolen lähteistä, yleensä eri CDN (Content Delivery Network) palveluista ladattujen resurssien, kuten Javascriptin, CSS:n tai fonttien käytössä itsessään ei ole mitään erikoista, mikäs sen mukavampaa kuin pultata asioita pikaisesti omaan sovellukseen ja säästää aikaa ja rahaa.

Lue lisää »
SecDevOps Hackathon
Blogit

Koulutus pitkä ja kallis? Mieluummin tehokas ja hauska.

Saavun neukkariin 08:32, pari minuuttia yli sovitun ajan. Putsi, tämän koulutuksen toinen ja (pää)vetäjä, toivottaa huomenet aina yhtä iloisena ja innokkaana. Käydään pikaisesti kuulumiset läpi, vertaillaan nukuttujen tuntien määrää ja samalla testaillaan ATK:ta, jotta saadaan koulutus alkamaan ilman kommerverkkejä. 08:49 ”the bossin” eli Thomaksen kasvot ilmestyvät Teamsiin – hienoa – päästään testamaan myös audiot. Kor***n johdosta koulutuksia vedetään luonnollisesti etänä. 

Lue lisää »
Redteaming - Search Engine
Blogit

Red Teaming ja Recon

Recon and red teaming can be done separately, but they also work hand in hand. It may be a good idea for a company to do a thorough recon to understand the adversaries view on the organization – and this not only in the technical sense.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.