Tietoturvaosaaminen
on JRComplexin tukijalka ja JRC onkin erityisen tunnettu ja arvostettu
ns. teknisen auditoinnin eli haavoittuvuustestauksen osaaja.
Auditoinnin onnistumisessa ja
tuloksellisuudessa keskeisellä sijalla on suorittavien
asiantuntijoiden vahva työkokemus ja laaja-alainen osaaminen.
JRComplex Oy:n Jouni Rosenlöf on työskennellyt vaativien
tietoturvallisuusauditointien parissa jo vuodesta 1998 lähtien.
Tietoturvallisuusauditoinnin
avulla voidaan saada kokonaisnäkemys tietoturvallisuuden
nykytilasta.
Auditointi kohdistuu asiakkaan liiketoiminnalle olennaisiin
järjestelmiin, tietoverkkoon,
organisaatioyksikköön tai
toimintaprosessiin. Auditoinnista saatavan tiedon
avulla riskienhallintaa voidaan paremmin kehittää ja
kohdentaa
tietoturvallisuusinvestointeja tarkemmin. Auditointi
tehdään
haastattelemalla vastuuhenkilöt, tutustumalla soveltuvin osin
dokumentaatioon sekä tarkastamalla tekniset
kohdejärjestelmät. Tehdyn
työn pohjalta annetaan riippumaton arvio tietoturvallisuuden
nykytilasta. Havaintojen pohjalta tehtävä riskiarvio
perustuu
JRComplexin käyttämään
riskiluokitukseen ja
soveltuvin osin seuraaviin
lähteisiin:
-
Standardit
-
Valtionhallinnon
tietoturvallisuuden ohjeistukset (Vahti)
-
CERT
turvallisuussuositukset
-
Tietoturvapolitiikat,
ohjeistukset ja tavoitemäärittelyt
-
Lakisääteiset
vaatimukset
Arvioinneissa
painotetaan asiantuntijan
kokemusta vastaavien ympäristöjen
turvallisuusratkaisuista
sekä
tietoturvallisuusalan ns. ”best practise”
suosituksia.
Tarkastuksessa
mahdollisesti havaitun tietoturvariskin
todennäköisyyden
arvio sisältyy
riskiluokitukseen ja se perustuu asiantuntijan kokemukseen vastaavien
riskien toteutumasta vastaavissa tilanteissa ja
ympäristöissä.
Riskiarvioinnissa huomioidaan myös mahdollisten kompensoivien
kontrollien vaikutus esim. riski olemassa, mutta
esimerkiksi
valvonta pienentää tai rajoittaa riskiä.
Jokaisesta
tarkastuksessa havaitusta riskistä annetaan suositus riskien
hallitsemiseksi. Suositus perustuu tarkastajan kokemukseen vastaavien
riskien hallinnasta, sekä keskusteluun asiakkaan
vastuuhenkilön kanssa.
Projekti
jakaantuu esimerkiksi seuraaviin osakokonaisuuksiin ja osatavoitteisiin:
-
Nykytilakartoitus
ja turvallisuustavoitteet. Tavoitteena
on saada yleiskuva tarkastettavasta
toimintaympäristöstä, soveltuvista
turvallisuusvaatimuksista sekä jatkuvuusvaatimuksista.
-
Tietoliikenneturvallisuus.
Tavoitteena on saada arvio runkoverkon ja rajapintojen
turvallisuushallinnasta, sekä käytettävyyden
varmistamisesta
-
Laitteistoturvallisuus.
Tavoitteena on saada arvio käytettävyyden
varmistamisesta
teknisten
ratkaisuiden avulla
-
Tietoaineistoturvallisuus.
Tavoitteena on saada arvio tietoaineistojen
käytettävyystarpeista,
oikeellisuuden ja eheyden varmistamisesta,
turvallisuusluokittelusta, aineiston tallennuksesta ja
hävittämisestä,
sekä näiden
vaatimusten
toteutumisesta sovellus- ja
verkkoympäristöissä
-
Ohjelmistoturvallisuus.
Tavoitteena on saada arvio tunnistamis-, profiilienhallinta-,
turvallisuusvalvonta- ja jatkuvuudenhallinta menettelytavoista
-
Käyttöturvallisuus.
Tavoitteena on saada arvio ylläpidon prosessien
turvallisuudesta
(ylläpito, muutoshallinta ja jatkuvuudenhallinta). Toisena
tavoitteena on saada arvio loppukäyttäjien
menettelytapojen
turvallisuudesta ja ohjeistuksesta.
Tarkastuksessa huomioidaan mm. seuraavia
asioita:
Tarkastettavan
kohteen tai tehtävän
-
Tietoturvadokumentaatio on olemassa ja
asianmukainen
-
Käytännön
menettelytapoihin ei sisälly merkittäviä
riskejä
-
Vastuualueet
ja toimintaohjeet ovat selkeät
-
Tietoturvallisuuden
hallintaan on olemassa riittävät
työvälineet, resurssit ja tekniset mahdollisuudet
-
Tietoturvallisuusosaaminen
on riittävää
-
Käytännön
menettelytavat vastaavat tavoitteita ja
tietoturvaohjeistuksia
-
Tietoturvallisuuden
hallinta on järjestelmällistä
ja säännöllistä
- Tietoturvallisuuden
testaaminen on systemaattista
-
Tietoturvallisuusvalvonta
pystyy havaitsemaan
määritellyt tietoturvatapahtumat
- Tietoturvatapahtumien
raportointi on systemaattista ja selkeää
-
Jatkuvuuden
hallinta vastaa tavoitteita
Haavoittuvuustestaus
on
projekti, jossa yritetään
hakkerimenetelmillä murtautua
kohdeorganisaation järjestelmiin. JRComplex on erityisen tunnettu ja
arvostettu haavoittuvuustestauksen osaaja ja tietomurtotapausten
tutkija.
Haavoittuvuustestaus voi
koostua
ns.
Blackbox-tyyppisestä testauksesta, jossa kohteesta annetaan
vain
vähän
etukäteisinformaatiota tai ns. Whitebox -testistä,
jossa
kaikki
tarvittava informaatio kohteesta on testaajien
käytettävissä.
Parhaan mahdollisen testaustuloksen saamiseksi suositellaan aina Whitebox menettelytapaa.
Testit suoritetaan aina täydellä
teholla, eli asiakkaan on varauduttava mahdollisiin teknisiin
häiriöihin kohdejärjestelmissä. Mahdolliset tekniset häiriötilanteet
ovat olleet kuitenkin erittäin harvinaisia.
Haavoittuvuustestaus
voidaan tehdä
Internetin lisäksi myös LAN-verkosta ja/tai kohdentaa
vain
tiettyihin palveluihin tai järjestelmiin tai vain tiettyihin oikeustasoihin.
Haavoittuvuustestaus teknologiaa ja
menettelytapoja voidaan käyttää myös
ohjelmistotestauksen osana ja täydentäjänä.
Ohjelmistotestaus haavoittuvuustestauksen näkökulmasta
laajentaa perinteistä ohjelmistotestausta kokonaan uudelle
alueelle, jossa pystytään löytämään mm.:
- Ohjelmiston ennustamaton
toiminta
- Ohjelmiston
käytettävyys ja kuormituskestävyys
yllättävissä tilanteissa
- Ohjelmiston
tunnistamattomat tietoturvaongelmat
- Ohjelmiston
arkkitehtuurin ja suunnittelun heikkoudet
- Ohjelmiston
käsittelemän datan luottamuksellisuuden ja eheyden
varmistaminen
- Ohjelmiston
käyttävaltuushallinnan luotettavuus
Projektin
tavoitteena on
selvittää sisältyykö
kohdeympäristöön sellaisia teknisiä
riskejä,
joiden avulla saattaisi olla mahdollista:
- Saada kohde kokonaan tai osittain hyökkääjän hallintaan
- Saada
kohteesta haltuun
luottamuksellista informaatiota
- Saada vaikutettua kokonaan tai osittain kohteen toimintaan
Haavoittuvuustestaus prosessi ja
menetelmät pohjaavat JRComplex
Oy:n
kehittämään testausprosessiin.
Haavoittuvuustestauksessa
käytettävät
työvälineet
etenevät testin kuluessa yleisemmistä kohti
erityisvälineitä.
Yleisiin välineisiin kuuluvat ns. skanneriohjelmistot, joilla
tehdään kohteen ensimmäisen
vaiheen kartoitus.
Hyökkäysskannerit ajetaan täydellä
teholla, eli
palveluestohyökkäykset
ovat aktivoituna. Ensimmäisen vaiheen tavoitteena on
informaation
kerääminen kohteesta.
Yleiset välineet jakaantuvat
seuraaviin luokkiin:
Toisessa vaiheessa
analysoidaan
ensimmäisen
vaiheen tuloksia ja valitaan tarvittava joukko erityisiä
testitapauksia,
joilla pyritään iskemään
käyttöjärjestelmä,
ohjelmistoversio,
arkkitehtuuri tai koodisidonnaisiin turvallisuusaukkoihin.
Merkittävin
osa Toisen vaiheen testausta tapahtuu asiantuntijan manuaalityönä.
Kaikki testitapaukset suunnitellaan juuri testattavan kohteen ja
tilanteen mukaan.
Kolmannessa
vaiheessa
tulokset kootaan
yhteen selkeäksi dokumentiksi ja loppupalaveriesitykseksi.
Toimeksiannon
lopputuotteena on raportti, jossa annetaan arvio kunkin kohteen
tietoturvallisuuden kokonaisuudesta, sekä arvioidaan kunkin
tarkastushavainnon muodostama riski erikseen.
Raportti
sisältää yleisen osan (ns. management
summary),
sekä teknisemmän
asiantuntijaosan.
Yksityiskohtaisista
tarkastushavainnoista kuvataan Audit
trail testiin jolla havainto on
saatu, niin että testi on tarvittaessa toistettavissa.
Havainnoista
annetaan suositus jolla havaittua riskiä voidaan hallita.
Riskit kuvataan yksinkertaisella kolmiportaisella aseteikolla.
JRComplexin lähestymistapa
riskianalyysiin ja tietoriskienhallintaan on syntynyt
käytännön asiakasprojektien tuloksena. Emme
myy riskianalyysituotteita, vaan
syvällistä osaamista tietoriskien systemaattisesta
hallinnasta ja olennaisista uhkista. JRComplex on saanut asiakkailtaan erityisen hyvää palautetta riskianalyysin koulutuksista.
Tietoriskienhallinnan
prosessimaisen lähestymistavan tavoitteena on toimintoketju,
joka
kokoaa
kaikki tietoturvallisuuden hallintaan olennaisesti kuuluvat vaiheet
tukemaan toisiaan. Tavoitteena on, että tietoturvallisuuden
taso
ja sen
muutokset saadaan mitattua, tietoturvatapahtumia seurataan
järjestelmällisesti ja tietoturvallisuuden
käsitteet ja
menetelmät ovat
mahdollisimman yhtenäisiä läpi
organisaation.
Tietoturvallisuuden
hallinnan tehostuminen mm.
- Säästää
kustannuksia
kohdentamalla tietoturvainvestointeja tarkemmin
- Auttaa
havaitsemaan
tietoturvatasojen muutokset nopeammin
- Nopeuttaa
ja
helpottaa
tietoturvallisuuden hallintaa
- Lisää
organisaation
tietoturvatietoutta
- Mahdollistaa
paremman
lisäarvon tietoturvatyölle
- Mahdollistaa
entistä
tarkoituksenmukaisemmat menettelytavat
- Kohdentaa
tietoturvaohjeistukset ja koulutuksen tarkemmin
Tietoturvallisuuden
hallinnan prosessia kuvataan seuraavasti:
- Riskien mittaaminen ja informaation tuottaminen
- Riskianalyysi
(uhkat, riskit, toimenpiteet ja kustannukset)
- Kokonaistilannekuva
- Toimintasuunnitelma
Menetelmä lähtee
edellä
kuvatun
kokonaisuuden hallinnasta ja implementoinnista. Keskeinen osa projektia
on määritellä
asiakkaalle riskianalyysityövälineet ja menettelytavat,
joiden avulla voidaan järjestelmällisesti ja
yksikäsitteisesti arvioida
riskejä, kontrolleja ja kustannuksia.
Linux ja Open Source
tietoturvaratkaisut perustuvat Linux/Unix
ympäristöjen
suojaamisessa ja
turvaamisessa suositeltuihin teknologioihin ja Open Source
tietoturvaratkaisujen erityisosaamiseen. Ratkaisuihin
kuuluu mm.
- Linux
järjestelmien
tietoturvatiukennukset
- Linux/Unix
järjestelmien
tarkastukset ja esitutkinta murtautumisepäily tilanteissa
- Linux
ympäristöjen
valvontaratkaisut
- Linux
ympäristöjen
standardointi ja hallintaratkaisut
- Linux ympäristöjen korkean käytettävyyden ratkaisut
|