.

Veebirakenduste turvatestimine

Kirjeldus

Veebirakendustest on saanud üks levinumaid sihtmärke küberrünnakutele, sest need on laialt levinud ja avalikult ligipääsetavad. Seetõttu on väga tähtis, et rakendustes olevad turvanõrkused avastatakse ning parandatakse enne kui nad muutuvad ohtlikuks teie organisatsioonile.

Veebirakenduse turvatestimise teenus pakub sõltumatut ohuanalüüsi teie veebirakendusele. Selle teenuse käigus simuleeritakse päris elulisi rünnakuid, et tuvastada rakenduses olevaid turvanõrkusi. Meie testimise metodoloogia järgib rahvusvaheliselt tunnustatud parimaid praktikaid ja turvastandardeid.


KPMG teenus on eelkõige mõeldud ettevõtetele ja organisatsioonidele, kes:

  1. Arendavad ja/või kasutavad veebirakendusi, mis töötlevad (tundlikke) kliendi- ja/või ärikriitilisi andmeid.
  2. Kasutavad tootmisel ja tööstuses veebirakendusi sisemiste süsteemide haldamiseks.
  3. Kasutavad veebirakendusi, et pakkuda klientidele panganduse või e-poe teenuseid.
  4. Haldavad kriitilisi infrastruktuure või pakuvad meditsiiniteenuseid.

Turvatestimiste läbiviimise sagedus on paindlik ning seda võib teha, kas mingi kindla aja tagant või ajastada need hetkedele kui rakendusest on valmimas uus versioon või on avastatud mõni uus ohtlik turvanõrkus. Turvatestimise projekti pikkus sõltub suuresti testitava rakenduse mahust ning keerukusest, kuid on tüüpiliselt suurusjärgus 2,5 nädalat.


Teenuse etapid

  • 1. etapp

    Eelkohtumine kliendiga.

    Enne projekti alustamist on väga tähtis, et osapooled arutavad läbi projekti sisu ning lepivad kokku projekti puudutavates tingimustes, et saavutada projekti lõppedes mõlemaid osapooli rahuldav tulemus. Selles etapis lepitakse kokku projekti skoop ehk ulatus, tingimused, läbiviimise aeg, hind, vajalikud ressurssid ning testimise metodoloogia. See etapp tagab, et igale kliendi murele lähenetakse individuaalselt ning need saavad lahenduse, mis sobib kõige paremini.

  • 2. etapp

    Info kogumine.

    Meie meeskond kasutab kliendi poolt saadetud dokumentatsiooni ning avalikult kättesaadavat infot, et luua endale selge arusaamine rakenduse äriloogikast ning funktsionaalsetest ja mitte-funktsionaalsetest nõuetest. Selleks kasutame turvatestijate pikaaegset kogemust ning automaatseid tööriistu info kogumiseks.

  • 3. etapp

    Turvanõrkuste avastamine.

    Kasutame erinevaid professionaalseid tööriistu ja ründetehnikaid, et avastada rakendusest turvanõrkusi ning töötame vastavalt OWASP turvastandartitele.

  • 4. etapp

    Ohuanalüüs.

    Meie kogenud ja sertifitseeritud meeskond analüüsib igat turvanõrkust põhjalikult ning hindab turvanõrkuse riskitaset vastavalt ründe tõenäosusele ja kliendi varale avalduvale mõjule.

  • 5. etapp

    Näidisrünnakute läbiviimine.

    Me kontrollime igat turvanõrkust kasutades ründeid ja tehnikaid, mis on võimalikult sarnased päris rünnakutele, kuid teeme seda kontrollitud moel ning seeläbi hoiame ära kaasneva kahju kliendi varadele. Selles etapis eemaldatakse valepositiivsed leiud ning testitakse kliendiandmete konfidentsiaalsust, terviklikkust ning käideldavust.

  • 6. etapp

    Raporti ettevalmistus ning esitlus.

    Projekti tulemused pannakse kirja veebirakenduse turvatestimise raportis. Raport toob välja rakenduse turvalisuse kõige tähtsamad kitsaskohad ning järjestab tegevused, mida selle parendamiseks tuleks teha. Iga turvanõrkuse parandamiseks antakse meiepoolsed soovitused ning üldine hinnang nende tegevuste läbiviimise keerukusest ja vajalikest ressurssidest. Projekt lõpetatakse raporti esitlemisega kliendile, kus tutvustatakse tulemusi ning vastatakse kõikidele täiendavatele küsimustele.

Veebirakenduse turvatestimise väljund

Veebirakenduse turvatestimise raport sisaldab:

  • Üldist kokkuvõtet, mis annab kõrgetasemelise ning mittetehnilise ülevaate
    projekti tulemustest ja on sisendiks äriliste otsuste tegemisel.
  • Kirjeldust testimise skoobist, kasutatud metodoloogiatest ning kõikidest läbiviidud tegevustest.
  • Põhjalikku tehnilist kirjeldust avastatud turvanõrkustest, mis on järjestatud vastavalt nende riskitasemele.
  • Soovitusi turvanõrkuste eemaldamiseks või nende mõju vähendamiseks.
  • Näidisrünnakuid, mis näitavad ära potentsiaalse rünnaku ohtlikkust.

    • Lisaks sisaldab meie raport eraldi ekspertarvamust veebirakenduse üleüldisest turvatasemest ehk “Turvalisuse kvaliteedihinnang”. Selle käigus hinnatakse igat rakendust vastavalt üldisele turvatasemele.

Näidis kvaliteedihinnangust












Tunned huvi?
KPMG ekspertide sertifikaadid
OSCP
Certified Information Systems Security Professional
GWAPT
GIAC Web Application Penetration Tester
CISSP
Certified Information Systems Security Professional
CISM
Certified Information Security Manager
CISA
Certified Information Systems Auditor
CEH
Certified Ethical Hacker
GSEC
GIAC Security Essentials Certification
A+
CCNA
CISSP
CRISC
GCCC
GMOB
GPEN
Linux+
NATO CSP
Network+
OSWP
Security+
Server+
SSCP
Tekkis lisaküsimusi?
Võtke ühendust
Mihkel Kukk
KPMG Baltics OÜ
Narva mnt 5, Tallinn 10117, Estonia
Tel: +372 626 8700
@ 2022 KPMG BALTICS OÜ, EESTI OSAÜHING JA ŠVEITSI ÜHINGUGA KPMG INTERNATIONAL COOPERATIVE ("KPMG INTERNATIONAL") LEPINGULISELT
SEOTUD SÕLTUMATUTE ETTEVÕTJATE VÕRGUSTIKU LIIGE. KÕIK ÕIGUSED KAITSTUD.