iTurva Infra – Tarkastukset verkon palveluihin ja topologiaan


Haavoittuvuuskartoituksella voidaan vastata:

Johtamisen haasteeseen – kartoitus täyttää johtajan vastuuta huolellisuuteen ja on osa hyvää IT-hallintotapaa sekä täyttää SOX, CobiT ja ISO/IEC 27001:2005 vaatimukset.

Tuotannolliseen haasteeseen – kartoitus tunnistaa normaalin ylläpidon ulkopuolelle jäävät uhat, jotka vaikuttavat tuotantokatkoksiin.

Investoinnin haasteeseen – kartoituksen avulla voidaan todentaa, onko infrastruktuuripalveluihin kohdistetusta tietoturvainvestoinnista hyötyä.

Tekninen osa-alue

Tällä osa-alueella kartoitetaan ja tutkitaan kohteen ICT-infrastruktuuri etälukemalla järjestelmäasetukset, luotaamalla (probing) avoimet tietoliikenneportit sisäverkosta käsin sekä havaitsemaan avoimia järjestelmätilejä. Käytettävissä olevilla ohjelmistoilla (avoin lähdekoodi) suoritetaan automaattinen tiedonkeruu ja tekninen raportointi.

Lisäpalveluna voidaan toteuttaa erillinen hyväksikäyttö-menetelmä (Exploitation/Penetration) kohteeseen. Tällä menettelyllä pyritään simuloimaan tiedon kaappaaminen (hakkerointi) kohdejärjestelmästä hyödyntämällä kohteen heikkouksia.

Hallinnollinen osa-alue

Tällä osa-alueella kartoitetaan ja tutkitaan kohteen ICT-infrastruktuurin arvoketju päästä päähän. Palvelua räätälöidään sisältämään mm. päätelaitteet, lähi- ja operaattoriverkot, sovellukset, palvelimet ja tietokannat. Kartoituksen sisältö riippuu kohteen laajuudesta ja pitää sisällään eri tarkastuselementtejä:

  • hallinto ja komentoketju sekä kohteen omistajuus
  • päivittäinen operatiivinen toiminta
  • muutoshallinta
  • konfigurointihallinta
  • käyttäjähallinta
  • pääsyhallinta (lupamenettely, todentaminen ja etäkäyttö)
  • osaamistaso (taito)
  • turvallisuushallinto
  • kohdesuojelu (fyysinen ja looginen)
  • kolmansien osapuolten osallisuus ja ulkoistaminen

Raportointi

Raportoinnin tavoite on tuottaa selkeä ja informatiivinen dokumentti tutkittavan kohteen tilasta täyttää sille asetetut vaatimukset ja tarkoituksenmukaiset standardit. Raportissa kohdetta voidaan verrata asiakkaan esittämien vaatimusten pohjalta tai käyttää kansainvälisiä viitekehyksiä, ”paras käytäntö” tai standardeja. Raportti sisältää aina suositeltavia parannusehdotuksia ja konkreettisia korjaustoimia.

takaisin