Opas verkkopalvelun tietoturvan varmentamiseen

Samankaltaiset tiedostot
VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

Tech Conference Office 365 tietoturvan heikoin #TechConfFI

KRIITTISIMMÄT HAAVOITTUVUUDET WEB-SOVELLUKSISSA

Virtu tietoturvallisuus. Virtu seminaari

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Turvallisen sovelluskehityksen käsikirja. Antti Vähä-Sipilä, F-Secure

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Talous- ja velkaneuvonta: Asiakasrekisteri. Tarjousten vertailu. Tiivistelmä

ISACA Finland OWASP The OWASP Foundation. Timo Meriläinen Antti Laulajainen.

Opetushallitus pyytää tarjoustanne tämän tarjouspyynnön ja sen liitteiden mukaisesti.

Tietosuoja sovelluskehityksessä. Pyry Heikkinen

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Onnistunut SAP-projekti laadunvarmistuksen keinoin

Verkkosovellusten tietoturvastrategia

Tietoturvakonsulttina työskentely KPMG:llä

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Digitaalinen haavoittuvuus MATINE Tampere

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Kasva tietoturvallisena yrityksenä

Project-TOP QUALITY GATE

Web-sovellusten testaus

Miten voin selvittää säästömahdollisuuteni ja pääsen hyötymään niistä?

1. Tuo web selaimella toimiminen ilman asennuksia ei oikein onnistu. Onko tuo välttämätön ominaisuus Simulandiassa?

TYPO3 - Open Source Enterprise CMS

Mistä on kyse ja mitä hyötyä ne tuovat?

PAS-RATKAISUN PALVELUKUVAUS

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA


Tietoturvatestaus Teemu Vesala

Lausunto Sovelluskehityksen tietoturvaohjeluonnoksesta


Kansallisen palveluväylän pilotoinnin tukeminen. JulkICTLab-projektihakemus

KAOS 2015: Integraatioiden standardointi suunnittelumallien avulla. Ilkka Pirttimaa, Chief ICT Architect, Stockmann ICT

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

OWASP CLASP turvallisten web sovellusten takaajana

Testauspalvelu laadunvarmistajana Arekin monitoimittajaympäristössä. Satu Koskinen Teknologiajohtaja, Arek Oy

HELPPOUDEN VOIMA. Business Suite

Järjestelmäarkkitehtuuri (TK081702)

Luonnos: Tietoliikennepalveluiden hankinta

Teollisuusautomaatiojärjestelmän tietoturvan arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Tarjousten vertailu ja hankintapäätös

Testausautomaation mahdollisuudet käyttöliittymän testauksessa. Anssi Pekkarinen

APPLICATION MANAGEMENT SERVICES. ecraft

Oracle 11g tietokannan päivityksen tarjoamat hyödyt ja kustannussäästöt

Omakannan Omatietovaranto palvelun asiakastestaus

SEPA päiväkirja. Dokumentti: SEPA_diary_EM_PV.doc Päiväys: Projekti : AgileElephant Versio: V0.9

TeliaSonera Identity and Access Management

Järjestelmäarkkitehtuuri (TK081702) SOA, Service-oriented architecture SOA,

Laboratorioprosessin. koostuu Labquality-päivät PSHP Laboratoriokeskus

HUOM! Sinisellä taustavärillä on merkitty tarjoajan täytettäväksi tarkoitetut sarakkeet/kohdat/solut.

ARVIOINTILOMAKE / VIHERALAN ERIKOISAMMATTITUTKINTO Määräys 47/011/2015 Viheralan hankintatoiminta

HELSINGIN KAUPUNKITILAOHJEEN LAATIMINEN / MINIKILPAILUTUS. A. Tuote ja / tai palvelumuotoilu sekä konseptisuunnittelu

Vaatimustaulukon vaatimukset 1.2 ja 7.1. ovat sama vaatimus hieman eri sisällöllä. Kumpi vaatimus on voimassa?

Huollon ja ylläpidon merkitys sisäilmakysymyksissä Maija Lehtinen Espoo, Tilapalvelut-liikelaitos

Kuopio Testausraportti Kalenterimoduulin integraatio

Takki. Lisää ot sik k o osoit t am alla. Nyt se sopii, tai sitten ei. Jussi Vänskä Espotel Oy. vierailuluentosarja OTM kurssi

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Suorin reitti Virtu-palveluihin

Ostolasku: 100 % verkkolaskuja CloudScanratkaisun avulla.

Verkostoautomaatiojärjestelmien tietoturva

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Verkottunut suunnittelu

Osallistu julkisiin hankintoihin helposti ja turvallisesti. Tarjouspalvelu Pienhankintapalvelu Marketplace

Laatukustannukset. Laadun hallinta. Laadun kustannuksista

Risto Pelin Microsoft Project 2002 projekti- ja yritystason järjestelmänä


Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Parit hyvät keissit. Avustava lakimies Sanna-Mari Suojanen. Julkisten hankintojen neuvontayksikkö Rådgivningsenheten för offentlig upphandling

Projektin suunnittelu

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Järjestelmäarkkitehtuuri (TK081702) Järjestelmäarkkitehtuuri. Järjestelmäarkkitehtuuri

Helsingin kaupunki Pöytäkirja 1 (9) Hankintakeskus

Kari Rouvinen Johtaja, Technology Products & Solutions. Oracle Finland Oy

LähiTapiolan Bug Bounty ohjelma

CT60A4150 OHJELMISTOTESTAUKSEN PERUSTEET. Jussi Kasurinen Kevät 2016

Digital by Default varautumisessa huomioitavaa

Tietoturvan huomioon ottaminen tietojärjestelmähankinnassa

SOFOKUS KATSASTUS Katsomme verkkopalvelusi konepellin alle.

Valtion konesali- ja kapasiteettipalvelut

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Menetelmäraportti Ohjelmakoodin tarkastaminen

Helsingin kaupunki Esityslista 21/ (5) Liikennelaitos -liikelaitoksen johtokunta (HKL) Haj/

Kustannustehokas hankintaosastosi

Työkalut ohjelmistokehityksen tukena

Verkostoautomaatiojärjestelmien tietoturva

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Suorituskyky- ja tietoturvatestaus Kelassa

VERKKOSOVELLUSTEN YLEISIMMÄT HAAVOITTU- VUUDET JA KÄYTÄNTEET NIIDEN EHKÄISEMISEKSI

Liiketoimintajärjestelmien integrointi

Ympäristöystävällinen IT

tsoft Tarkastusmenettelyt ja katselmukset Johdanto Vesa Tenhunen

Web-sovellusten haavoittuvuudet ja penetraatiotestaus. Kristian Harju

-kokemuksia ja näkemyksiä

TURVAA LIIKETOIMINTASI KAIKKIALLA. Protection Service for Business

SOPIMUS [SOVELLUSHANKINNASTA]

ONKI-projekti JUHTA KANSALLISKIRJASTO - Kirjastoverkkopalvelut

Transkriptio:

Opas verkkopalvelun tietoturvan varmentamiseen Haavoittuvuustutkimustiimi - 2NS www.2ns.fi

2/10 Johdanto Olemme vuodesta 2005 lähtien toteuttaneet yli 1000 verkkopalvelun haavoittuvuustestausta ja auditointia sekä tietoturvan varmentamiseen liittyvää projektia. Näistä syntyneeseen kokemukseen pohjautuen olemme koonneet tähän oppaaseen, miten tietoturva on hyvä varmentaa verkkopalvelujen kehityksessä, käyttöönotossa ja elinkaaren aikana. Tietoturvaan liittyvät toimenpiteet on kuvattu modulaarisesti, jotta kukin voi soveltaa eri vaiheita joko täysimääräisesti tai osittain oman tarpeensa ja riskikykynsä mukaan. Toivotamme haavoittuvuusvapaita verkkopalveluita! -2NS:n haavoittuvuustutkimustiimi

3/10 Sisällysluettelo 1. TIIVISTELMÄ 4 2. TIETOTURVAN VARMENTAMISEN VAIHEET 5 1. KEHITTÄJIEN KOULUTUS 5 2. UHKAMALLINNUS 5 3. KOODIKATSELMOINNIT 6 4. TIETOTURVA-AUDITOINTI / HAAVOITTUVUUSTESTAUS 6 5. KORJAUSTEN VERIFIOINTI 7 6. TIETOTURVAN YLLÄPITO JA SÄÄNNÖLLINEN VARMENTAMINEN 7 3. MITÄ MUUTA VOI TEHDÄ TIETOTURVAN PARANTAMISEKSI 8 1. TEKNISET TOIMET 8 2. TIETOTURVAN HUOMIOINTI VERKKOPALVELUITA HANKITTAESSA 8 4. YLEISIMMÄT AIHEESEEN LIITTYVÄT VIITEKEHYKSET 9

4/10 1. Tiivistelmä Verkkopalvelun tietoturva on hyvä varmentaa vaiheittain jo kehityksen alusta asti, vaikkakin jo käytössä olevasta palvelustakin pystytään vielä haavoittuvuudet tunnistamaan ja sitä kautta poistamaan. Verkkopalvelun tietoturvan varmentamisen vaiheet elinkaaren aikana ovat: 1. Kehittäjien koulutus 2. Uhkamallinnus 3. Koodikatselmointi 4. Tietoturva-auditointi / haavoittuvuustestaus 5. Säännöllinen skannaus ja tarkastukset 6. Tietoturvatilanteen reaaliaikainen valvonta käytön aikana

5/10 2. Tietoturvan varmentamisen vaiheet 1. Kehittäjien koulutus Sovelluskehittäjien koulutuksessa annetaan kehittäjille ja projektipäälliköille kattavasti tietoa miten järjestelmän tietoturva tulee huomioida kehitysvaiheen aikana. Koulutuksissa tehdään usein myös käytännön harjoituksia esim. hakkeroimalla omaa järjestelmää tai koulutuksen järjestäjän demojärjestelmää. Hyviä aiheita koulutukselle on esim: Miten tietoturva tulee huomioida sovelluskehityksen eri vaiheissa (tietoturvavaatimusten luominen, uhkamallinnus, hyökkäyspintaalan minimointi, turvalliset kehitysmenetelmät jne.) Yleisimmät haavoittuvuudet (OWASP TOP 10) Tietoturvan periaatteet ja oikein mitoitettu panostaminen Harjoitustehtävät (haavoittuvuustestauksessa käytettävien työkaluihin tutustuminen, hyökkääminen sovelluksia ja järjestelmiä vastaan jne.) 2. Uhkamallinnus Uhkamallinnuksessa (esim. workshop) kerätään järjestelmään kohdistuvat riskit sekä priorisoidaan ne. Tämän perusteella muodostetaan tietoturvavaatimuslista sekä suunnitelma tietoturvakontrollien teknisestä toteuttamisesta, joiden pohjalta on mahdollista toteuttaa turvallinen järjestelmä.

6/10 3. Koodikatselmoinnit Tietoturvan kannalta keskeisimmille osa-aluillle (esim. tiedon validointi funktiot / luokat jne.) on hyvä tehdä koodikatselmointi. Koodikatselmoinnin lopputuloksena saadaan korjausehdotukset mahdollisista puutteista, jotta ne kyetään korjaamaan kustannustehokkaasti jo kehityksen aikana. 4. Tietoturva-auditointi / haavoittuvuustestaus Varsinaisella tietoturva-auditoinnilla / haavoittuvuustestauksella varmistetaan palvelun tietoturva. Auditoinnissa tunnistetaan palvelussa olevat haavoittuvuudet, havainnollistetaan niiden hyväksikäyttötapaukset sekä annetaan niiden korjaussuositukset. Tietoturva-auditoinnilla on hyvä kattaa sekä sovellus että palvelinympäristö. Auditoinnissa keskitytään muun muassa alla esitettyihin haavoittuvuuksiin, mutta myös muut mahdolliset haavoittuvuudet tunnistetaan: Injection Broken Authentication and Session Management Cross Site Scripting Insecure Direct Object References Security Misconfiguration Sensitive Data Exposure Missing Function Level Access Control Cross-Site Request Forgery (CSRF) Using Components with Known Vulnerabilities Unvalidated Redirects and Forwards (OWASP TOP 10 haavoittuvuudet, lähde OWASP)

7/10 5. Korjausten verifiointi Auditoinnissa havaitut haavoittuvuudet korjataan, jonka jälkeen verifioidaan, että korjaukset on tehty asianmukaisesti. 6. Tietoturvan ylläpito ja säännöllinen varmentaminen Saavutettu tietoturvan taso on hyvä ylläpitää. Esimerkiksi uudet ominaisuudet ja muutokset sovelluksessa ja palvelinympäristössä, palvelimen päivitystilanne sekä uusien hyväksikäyttömenetelmien syntyminen saattavat aiheuttaa riskiä. Säännölliseen varmentamiseen yleisiä toimenpiteitä ovat muun muassa: Ajastettu automaattinen haavoittuvuusskannaus à Kustannustehokas koneellinen tapa havaita uusia haavoittuvuuksia Verkkopalvelun tietoturvantilanteen reaaliaikainen valvonta à Käynnissä oleviin hyökkäyksiin kyetään reagoimaan heti. Säännöllinen tietoturvatarkastus / auditointi à Tietoturvakriittisyyden mukaan verkkopalvelun tietoturva on suositeltavaa tarkastaa säännöllisin väliajoin (uudet hyväksikäyttömenetelmät, muutokset ja uudet ominaisuudet sovelluksessa ja palvelimella, palvelimen päivitystilanne jne.)

8/10 3. Mitä muuta voi tehdä tietoturvan parantamiseksi 1. Tekniset toimet Suorituskykytestaus / kuormitustestaus Palvelun saatavuus on usein myös tärkeä ominaisuus esimerkiksi kuormitustilanteissa. Testauksessa selvitetään kuormituksen vaikutus palvelun tasoon ja saatavuuteen. Tämä tehdään simuloimalla suurta määrää yhtäaikaisia käyttäjiä sovituilla käyttötapauksilla, jotta opitaan palvelun käyttäytyminen kuormituksen aikana ja kyetään tekemään mahdolliset korjaukset palvelun suorituskykyyn. Penetraatiotestaus Penetraatiotestaus on hyvä tehdä kriittisille palveluille. Tässä otetaan kokonaisvaltaisempi näkökulma, kuin yksittäisten haavoittuvuuksien testaamisessa. Palvelusta löytyneitä teknisiä haavoittuvuuksia yhdistellään ja lisäksi käytetään myös muita hyökkäyskomponentteja kuten sosiaalista manipulointia tai muista tietojärjestelmistä löytyneitä haavoittuvuuksia. Tavoitteena on varmentaa tietojärjestelmän tietoturvan riittävyys tapauksessa, kun järjestelmään vastaan hyökätään järjestelmällisesti. 2. Tietoturvan huomiointi verkkopalveluita hankittaessa Tarjouspyynnön vaihe - Tietoturvavaatimukset Tarjouskilpailun onnistumisen kannalta on tärkeää, että tietojärjestelmätoimittajat osaavat ottaa tarjousta tehdessään huomioon järjestelmälle asetetut tietoturvavaatimukset. Tämä asettaa tarjoajat samalle lähtöviivalle. Mikäli tietoturvavaatimuksia tuodaan jälkikäteen tarjouksen hyväksymisen jälkeen, on vaarana, että niiden mahdollisesti aiheuttamista kustannuksista tulee erimielisyyksiä.

9/10 Tarjousten vertailun vaihe - Tietoturvakuvausten vertaaminen Toimitettavan järjestelmän tietoturvatoteutus tulisi ilmetä riittävällä tasolla toimittajien tarjouksista. Tarjousten katselmoinnissa tarjouksen sisältöä peilataan tarjouspyynnössä annettuja tietoturvavaatimuksia vasten. Tarjousten katselmoinnin yhteydessä kootaan havainnot löydetyistä puutteista ja listataan tarkentavia kysymyksiä toimittajille. Vaiheen lopputuloksena muodostetaan kuva kunkin toimittajan kyvystä vastata asetettuihin tietoturvavaatimuksiin. Tätä voidaan käyttää päätöksenteon tukena valittaessa tai karsittaessa toimittajia. 4. Yleisimmät aiheeseen liittyvät viitekehykset Viitekehyksiä joita esim me ammattilaiset seuraamme ovat: OWASP (Open Web Application Security Project) OSSTMM (Open Source SecurityTesting Methodology Manual)

10/10 2NS on vuosien aikana toteuttanut yli 1000 tietoturva-auditointia / haavoittuvuustestausta Palvelemme yli 100 koti- ja ulkomaista asiakasta. Yritykset, julkishallinto, finanssiala ja ohjelmistoyritykset (Suomi, USA, Ruotsi, Hollanti, Viro, Latvia, Norja) Tyytyväisten asiakkaiden osuus 100 % Kokemusta valtakunnan kriittisimmistä ympäristöistä Asiakkaamme ovat pienistä ohjelmistoyrityksistä suurempiin toimijoihin, muun muassa Finnair, Neste Oil, Veikkaus, CSC, VRK, Affecto, Innofactor, Tallink Silja, Huhtamäki, Varma Haavoittuvuustutkimustiimimme on julkaissut lukuisia haavoittuvuustiedotteita, muun muassa SAP:n Oraclen, F-Securen, IBM:n ja HP:n laitteista ja järjestelmistä. Lisätietoa: www.2ns.fi Autamme mielellämme! Second Second Nature Nature Security Security Oy Oy www.2ns.fi I I 010 010322 3229000 9000 I I info@2ns.fi info@2ns.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute