Penetraatiotestaus

Arviointi, testaus ja sertifiointi

Penetraatiotestauspalvelumme (lyhyemmin pentestaus, tunkeutumistestaus), NTXATTACK, on eettinen hakkerointipalvelu joko tietojärjestelmien tai IT-infrastruktuurin senhetkisen tietoturvallisuuden arviointiin ja testaukseen.

Tietoturvatestaukseen yhdistetään yleensä arkkitehtuurin läpikäyntiä, tietoturva-arkkitehtuurin arviointia ja, jos tarpeen, omissa tiloissa tai pilvessä ajettavan hosting-ympäristön konfiguraation arviointia ajoympäristön kovettamisen ja ohjelmistovarmuuden näkökulmista.

Sovelluksen tietoturvatestaus

NTXATTACK application on ohjelmiston tietoturvan arviointi- ja pentestauspalvelu. Tyypillisiä arviointikohteita ovat ohjelmistokeskeiset järjestelmät kuten:

web-sovellukset ja -sivustot
intranet- ja extranet-sivustot sekä muut sivustot, jotka edellyttävät kirjautumista tai pääsynhallintaa
verkkokaupat, tilauspohjaiset palvelut ja muut ammatilliset palvelut, jotka sisältävät maksuintegraatioita
taustajärjestelmät, jotka palvelevat esim. IoT-laitteita tai mobiilisovelluksia
API-rajapinnat ja muut ohjelmointi- ja integraatiorajapinnat
hajautetut järjestelmät, joille on usein luonteenomaista hajautetut käyttöönottomallit, tietojen replikointi, klusteroidut palvelinympäristöt ja järjestelmän tiukat saatavuus-, tiedon tinkimättömyys- ja yhtenäisyysvaatimukset.

NTXATTACK -lähestymistapa ja toimitukset tukevat sekä kehitystiimejä että organisaatioita, jotka hankkivat ulkoisia kehityspalveluita.

IT-infrastruktuurin tietoturvatestaus

NTXATTACK Infrastructure on IT-infrastruktuurin (IT-infra) turvallisuuden arviointi- ja pentestauspalvelu. Kuten red team -toimeksiannoissa, työskentelemme yhdessä asiakkaan teknisen tiimin kanssa ja käymme läpi kohteena olevan IT-infran sekä senhetkiset tekniset turvajärjestelmät, jotta saamme käsityksen alkutilanteesta. Alkutilanteen dokumentoinnin lisäksi määrittelemme projektin laajuuden ja sovimme käytettävistä penetraatiomenetelmistä.

IT-infran pentestaus sopii esim. omissa tiloissa tai pilvessä olevien IT-ympäristöjen, WiFi-verkkojen, palvelinympäristöjen tai etätyöskentelyn mahdollistavien järjestelmien tietoturvan varmistamiseen ja tietoturvaheikkouksien löytämiseen.

Infra pentestaus voidaan yhdistää palvelimien määritysten arviointiin (koventaminen, luotettavuus, auditoitavuus).

CyberSafe -sertifiointi

Netox CyberSafe on käytännönläheinen kyberturvallisuussertifikaatti yrityksille, organisaatioille ja yksittäisille tietojärjestelmille. Se perustuu tunnettuihin ja standardoituihin viitekehyksiin ja kriteereihin, kuten ISO 27001, NIST, KATAKRI, VAHTI-ohjeet, OWASP ASVS/Top-10 sekä lukuisiin muihin parhaisiin käytänteisiin. Haluamme tarjota vaihtoehdon kaikenkokoisille yrityksille, jotka eivät ehkä halua, tarvitse tai pysty saamaan muodollisia raskaan sarjan sertifikaatteja.

CyberSafe kattaa tärkeimmät hallinnollisen ja teknisen tietoturvan alueet painottaen käytännön kyberturvaa. Arviointiprosessissa on eliminoitu tarpeeton byrokratia ja vähennetty dokumentointiin ja hallintamalleihin liittyviä vaatimuksia, unohtamatta kuitenkaan asianmukaisia tietoturvan hallinnoinnin käytäntöjä.

CyberSafe -sertifikaatti myönnetään NTXATTACK Application – ja NTXATTACK Infrastructure -arviointikohteille, joilla ei ole paikkaamattomia ja hyödynnettävissä olevia kriittisiä tai korkean luokituksen haavoittuvuuksia.

Miksi?

Turvallisuuden arvioinnin päätavoitteena on varmistaa, ovatko käytössä olevat (tai käyttöön tulevat, mikäli turvallisuutta arvioidaan ennen käyttöönottoa, niin kuin pitäisi) turvallisuuskäytännöt riittäviä takaamaan kyberuhkien sietokykyvyn ja keskeytymättömän toiminnan satunnaisia tai tahallisia häiriöitä vastaan.

Kohdejärjestelmän täytyy tukea siltä edellytettyjä tietoturvatavoitteita ja torjua merkittävät väärinkäytökset sekä valtuutetuilta ja valtuuttamattomilta asiakasohjelmilta ja käyttäjiltä, kuten esimerkiksi tietomurrot, yritykset vääristää tietoa tai kaataa järjestelmiä, tai tunkeutumiset yrityksen taustajärjestelmiin ja -verkkoihin.

Yrityksen sisäisten intressien ohella, myös asiakkaat ja muut kolmannet osapuolet voivat esittää vaatimuksia järjestelmien suojaamiseksi. Vaatimuksina voivat olla riippumattomien turvatarkastuksien tai turvallisuusarviointien suorittaminen ohjelmistotuotteille tai verkkopalveluille, tai esimerkiksi organisaation kyberturvallisuuden arviointi osana liiketoiminnan arviointiprosessia.