Penetraatiotestaus on järjestelmällinen ja eettinen tapa testata yrityksesi tietoturvaa simuloimalla oikeaa hyökkääjää.
Testaus antaa realistisen kuvan järjestelmän haavoittuvuuksista, tietoturvariskeistä ja niiden vaikutuksista liiketoimintaan. Sen avulla voi parantaa järjestelmien suojauksia, täyttää alan vaatimukset ja kasvattaa sidosryhmien luottamusta.
Tekven penetraatiotestaukset rakentuvat automaattisesta skannauksesta ja manuaalisesta hakkeroinnista, jossa asiantuntijamme laittavat hakkerilasit päähän ja pyrkivät kaivamaan tietoturva-aukkoja kohteesta.
Hyödynnämme penetraatiotestauksissamme alan parhaita teknologioita ja prosesseja sekä luomme jokaiselle asiakkaalle räätälöityjä skenaarioita kyberhyökkäysten kulusta. Huijauskampanjoilla laadimme organisaationne kulttuuriin istuvia sosiaalisen manipuloinnin skenaarioita, joilla testataan henkilöstönne valppautta.
Tunnista haavoittuvuudet hyökkäysvektorit tietoturvariskit konfiguraatiovirheet pääsynhallinnan puutteet hallitsemattomat laitteet
Haavoittuvuuksien tunnistus
Paljastaa järjestelmäsi tai sovelluksesi heikot kohdat, jotka voivat johtaa tietovuotoihin tai väärinkäyttöön.
Vaatimustenmukaisuus
Organisaationne voi osoittaa noudattavan lakien, sääntelyiden ja toimialan tietoturvavaatimuksia.
Riskien tunnistaminen
Näet konkreettisesti, mitä kyberhyökkääjä voisi tehdä todellisessa tilanteessa ja ymmärrät riskien kriittisyyden.
Luottamuksen rakentaminen
Asiakkaasi ja yhteistyökumppanisi arvostavat läpinäkyvää ja ammattimaista tietoturvatoimintaa, mikä vahvistaa brändiäsi ja liiketoimintaa.
Testauksen kohde
Tekve tarjoaa penetraatiotestausta seuraaviin kohteisiin, joiden laajentaminen on aina mahdollista asiakaskohtaisesti.
Web-sovellukset
Mitä?
Etsimme haavoittuvuuksia web-sovelluksesi koodista, komponenteista ja arkkitehtuurista.
Hyötyjä?
Tunnistat ajoissa kriittiset haavoittuvuudet, suojaat asiakkaiden tiedot ja vahvistat brändin luotettavuutta.
Käytännössä?
Suoritamme ensin automaattiset skannaukset ja sen jälkeen manuaalisen analyysin hakkerin näkökulmasta. Laadimme lopuksi raportin, joka sisältää selkeät korjausohjeet.
Mobiilisovellukset
Mitä?
Arvioimme mobiilisovelluksesi turvallisuutta laite- ja käyttöjärjestelmätasolla sekä sovellusliikennettä ja tietojen tallennusta.
Hyötyjä?
Saat näkyvyyden mobiiliympäristön erityisongelmiin, estät luvattomat tietovuodot ja parannat käyttäjäkokemusta lisäämällä sovelluksen luotettavuutta.
Käytännössä?
Testaamme sekä iOS- että Android-sovellukset automaattisin työkaluin ja manuaalisin menetelmin sekä havaitsemme haavoittuvuudet.
Sisäverkko
Mitä?
Tutkimme organisaatiosi sisäverkkoa paljastaaksemme haavoittuvuuksia, jotka voisivat mahdollistaa hyökkääjän liikkeet, tietojen varastamisen tai järjestelmän lamauttamisen.
Hyötyjä?
Parannat organisaatiosi turvallisuuden perustaa estämällä mahdolliset sivuttaisliikkeet ja arkaluonteisen tiedon kaappaamisen.
Käytännössä?
Suoritamme verkon kartoitukset, tunnistamme avoimet palvelut ja järjestelmät, testaamme palvelinympäristöt ja konfiguraatiot sekä raportoimme löydökset selkeillä korjausohjeilla.
Ulkoverkko
Mitä?
Tarkastelemme ulkoa päin organisaatiosi palveluja ja rajapintoja havaitaksemme julkisesti näkyvät haavoittuvuudet ja mahdollisuudet tunkeutumiseen.
Hyötyjä?
Näet, miltä yrityksesi näyttää potentiaalisen hyökkääjän näkökulmasta, ja voit estää ennalta verkon ulkopuolelta alkavia hyökkäyksiä.
Käytännössä?
Aloitamme avoimien lähteiden tiedonkeruulla (OSINT), käytämme automaattisia haavoittuvuusskannauksia ja lopuksi manuaalisia testejä. Raportoimme löydökset sekä annamme suositukset suojausten vahvistamiseen.
Fyysinen pentestaus
Mitä?
Selvitämme, miten helppoa on tunkeutua fyysisesti tiloihinne, ohittaa kulunvalvonta ja päästä käsiksi laitteisiin tai tietoihin.
Hyötyjä?
Vahvistat kokonaisvaltaista turvallisuutta estämällä luvattoman pääsyn ja suojaat kriittisiä tietoja myös fyysisestä näkökulmasta.
Käytännössä?
Asiakkaan tarpeiden mukaisesti suoritamme fyysisen soluttautumisen oranisaation tiloihin. Testaamme fyysiset esteet, tarkkailemme sisäänpääsyn hallintaa sekä dokumentoimme heikkoudet. Annamme konkreettiset suositukset turvakäytäntöjen ja tilaratkaisujen kehittämiseen.
Sosiaalinen manipulointi
Mitä?
Arvioimme henkilöstönne valmiutta kohdata sosiaalisen manipuloinnin yrityksiä, kuten huijausviestejä, puheluita tai valehenkilöitä.
Hyötyjä?
Lisäät organisaatiosi “inhimillisen palomuurin” kestävyyttä ja ennaltaehkäiset tietomurtoja, jotka perustuvat psykologiaan eivätkä pelkästään teknologiaan.
Käytännössä?
Suunnittelemme kohdennettuja huijauskampanjoita, valesähköposteja ja testipuheluita. Käymme tulokset läpi yhdessä, annamme koulutussuositukset ja kehitysehdotukset.
Kulunhallinta puutteellinen – ovi ilman lukitusta tai valvontaa voi antaa luvattoman pääsyn
Valvontajärjestelmä puuttuu – tilan tapahtumia ei voi jäljittää.
Laitteet suojaamattomia – fyysinen varastaminen on mahdollista ilman valvontaa.
Asiakirjojen tietoturvariski – arkaluontoista tietoa ei ole suojattu.
Näytöt suojaamattomia – yrityksen data voi olla näkyvillä ulkopuolisille.
Hyökkääjän näkökulma
Kyberhyökkääjät eivät tunne rajojaan puhumattakaan niiden ylittämisen seuraamuksia, minkä takia on tärkeää testata järjestelmät ja organisaation toiminta hyökkääjien näkökulmasta.
Hyökkääjän näkökulma mahdollistaa realistisen skenaarion, jossa penetraatiotestaaja pyrkii tunnistamaan ja hyödyntämään haavoittuvuuksia samalla tavalla kuin oikea hyökkääjä toimisi.
Organisaatio voi keskittyä tunnetuihin riskeihin, mutta hyökkääjä etsii aina uusia, odottamattomia reittejä järjestelmien kompromisoimiseksi. Penetraatiotestaus paljastaa myös tällaisia vähemmän ilmeisiä aukkoja.
Tekven Prosessi
Jokainen asiakasprojekti on erilainen, mutta esimerkkinä yleinen penetraatiotestauksen prosessi.
Kartoitus
Määritellään asiakkaan tarpeita vastaavat tavoitteet, joihin kuuluu penetraatiotestauksen tavoitteet, kohde ja prioriteetit. Käydään läpi kohteena oleva ympäristö ja kerätään tarvittava dokumentaatio penetraatiotestauksen suorittamiseen.
Automaattinen testaus
Aloitetaan kohteen dokumentaation lukeminen ja suoritetaan automaattiset testaukset. Tässä vaiheessa hyödynnetään mahdollisesti passiivisen ja aktiivisen tiedustelun menetelmiä kohteen kartoittamiseksi.
Automaattinen testaus antaa hyvän kokonaiskuvan kohteesta, jota hyödynnetään seuraavassa vaiheessa.
Manuaalinen hakkerointi
Manuaalisessa tarkastuksessa asiantuntijamme pureutuvat syvemmälle ja hyödyntävät hakkerimaisia ajattelutapoja ja kokemustaan.
Näin tunnistetaan monimutkaisempia haavoittuvuuksia, joita automaattiset työkalut eivät havaitse, sekä arvioidaan haavoittuvuuksien todellista hyväksikäyttöpotentiaalia.
Raportointi
Raportointivaiheessa löydökset kootaan selkeäksi ja ymmärrettäväksi kokonaisuudeksi, joka sisältää havaittujen haavoittuvuuksien kuvaukset, niiden kriittisyysarviot sekä käytännönläheiset korjaustoimenpiteet.
Raportti toimii pohjana tietoturvan parantamiselle ja auttaa organisaatiota tekemään tietoon perustuvia kehittämispäätöksiä.
Miksi valita Tekve ?
Emme tyydy pelkkään automaattiseen haavoittuvuuksien etsintään, vaan yhdistämme manuaalisen hakkeroinnin, tekniset analyysit, sosiaalisen manipuloinnin ja fyysisen turvallisuuden arvioinnit. Näin saat aidosti kattavan kuvan organisaatiosi tietoturvasta.
Tiimimme eettiset hakkerit omaavat vahvan kokemuspohjan, alalla tunnustettuja sertifikaatteja ja kyvyn soveltaa hakkerin ajattelumallia. He eivät vain listaa ongelmia, vaan tarjoavat konkreettisia ratkaisuja niiden korjaamiseksi.
Tarjoamme tukea ja neuvoja myös testauksen jälkeen. Kattava raporttimme, koulutusmahdollisuudet, uudelleentestaukset ja jatkuva seuranta varmistavat, että tietoturvan kehittäminen jatkuu suunnitelmallisesti ja pitkäjänteisesti.
Sertifioitua toimintaa
Hinnoitteluesimerkkejä
Penetraatiotestaukset räätälöidään jokaiselle asiakkaalle erikseen ja lopullinen hinta muodostuu testauksen laajuudesta, monimutkaisuudesta, kohteen tyypistä sekä asiantuntijoiden työmäärästä.
Alhaalla muutama esimerkki.
Web-sovellus
Soveltuu pieniin, selkeärakenteisiin web-sovelluksiin, joissa on rajattu määrä toiminnallisuuksia ja käyttäjärooleja.
alv (0%)
-
Kartoitus ja suunnittelu
-
Automaattiset haavoittuvuusskannaukset
-
Manuaaliset testit yleisiä sovellushaavoittuvuuksia vastaan (esim. XSS, SQL-injektiot)
-
Monimutkaisten logiikkavirheiden etsintä
-
Ytimekäs raportti löydöksistä ja korjaussuosituksista
-
Purkutilaisuus tulosten läpikäyntiin
Keskisuuri sisäverkko
Tässä hintaluokassa voi olla kyse yrityksestä, jolla on useita palvelimia, erilaisia verkon segmentointeja ja sisäisiä järjestelmiä, kuten tiedostopalvelimia ja toimintakriittisiä sovelluksia.
alv (0%)
-
Laajuuden ja kohteiden määrittely
-
Verkon ja palvelinjärjestelmien kartoitus
-
Automaattiset skannaukset ja manuaaliset tunkeutumisyritykset
-
Active Directory -turvallisuuden arviointi
-
Kattava raportti priorisoiduilla korjausohjeilla
-
Purkutilaisuus ja konsultointi jatkotoimista
