VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

Samankaltaiset tiedostot
Opas verkkopalvelun tietoturvan varmentamiseen

KRIITTISIMMÄT HAAVOITTUVUUDET WEB-SOVELLUKSISSA

Virtu tietoturvallisuus. Virtu seminaari

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Turvallisen sovelluskehityksen käsikirja. Antti Vähä-Sipilä, F-Secure

ISACA Finland OWASP The OWASP Foundation. Timo Meriläinen Antti Laulajainen.

Talous- ja velkaneuvonta: Asiakasrekisteri. Tarjousten vertailu. Tiivistelmä

Opetushallitus pyytää tarjoustanne tämän tarjouspyynnön ja sen liitteiden mukaisesti.

Tietoturvakonsulttina työskentely KPMG:llä

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Onnistunut SAP-projekti laadunvarmistuksen keinoin

Project-TOP QUALITY GATE

Kansallisen palveluväylän pilotoinnin tukeminen. JulkICTLab-projektihakemus

Testauspalvelu laadunvarmistajana Arekin monitoimittajaympäristössä. Satu Koskinen Teknologiajohtaja, Arek Oy

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Kasva tietoturvallisena yrityksenä

Verkkosovellusten tietoturvastrategia

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

HELSINGIN KAUPUNKITILAOHJEEN LAATIMINEN / MINIKILPAILUTUS. A. Tuote ja / tai palvelumuotoilu sekä konseptisuunnittelu

HELPPOUDEN VOIMA. Business Suite

1. Tuo web selaimella toimiminen ilman asennuksia ei oikein onnistu. Onko tuo välttämätön ominaisuus Simulandiassa?

Web-sovellusten testaus

Teollisuusautomaatiojärjestelmän tietoturvan arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Kustannustehokas hankintaosastosi

Mistä on kyse ja mitä hyötyä ne tuovat?

Sähköi sen pal l tietototurvatason arviointi

Omakannan Omatietovaranto palvelun asiakastestaus

Tietoturvan huomioon ottaminen tietojärjestelmähankinnassa

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Laboratorioprosessin. koostuu Labquality-päivät PSHP Laboratoriokeskus

ONKI-projekti JUHTA KANSALLISKIRJASTO - Kirjastoverkkopalvelut


OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Lausunto Sovelluskehityksen tietoturvaohjeluonnoksesta

TYPO3 - Open Source Enterprise CMS

Luonnos: Tietoliikennepalveluiden hankinta

SOFOKUS KATSASTUS Katsomme verkkopalvelusi konepellin alle.

PAS-RATKAISUN PALVELUKUVAUS

Tarjousten vertailu ja hankintapäätös

Miten voin selvittää säästömahdollisuuteni ja pääsen hyötymään niistä?

SEPA päiväkirja. Dokumentti: SEPA_diary_EM_PV.doc Päiväys: Projekti : AgileElephant Versio: V0.9

Testausautomaation mahdollisuudet käyttöliittymän testauksessa. Anssi Pekkarinen

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Kustannustehokas hankintaosastosi. Beijing - Shanghai - Hong Kong - New Delhi - Stockholm - Helsinki

Työkalut ohjelmistokehityksen tukena

Suorituskyky- ja tietoturvatestaus Kelassa

HUOM! Sinisellä taustavärillä on merkitty tarjoajan täytettäväksi tarkoitetut sarakkeet/kohdat/solut.

Simulaattoriavusteinen ohjelmistotestaus työkoneympäristössä. Simo Tauriainen

Järjestelmäarkkitehtuuri (TK081702) SOA, Service-oriented architecture SOA,

Verkostoautomaatiojärjestelmien tietoturva

ARVIOINTILOMAKE / VIHERALAN ERIKOISAMMATTITUTKINTO Määräys 47/011/2015 Viheralan hankintatoiminta

Huollon ja ylläpidon merkitys sisäilmakysymyksissä Maija Lehtinen Espoo, Tilapalvelut-liikelaitos

-kokemuksia ja näkemyksiä

Käyttöjärjestelmät. 1pJÄKÄ1 KÄYTTÖJÄRJESTELMÄN HALLINTA, 12 OSP

HAAVOITTUVUUSPALKINTO- OHJELMAN SÄÄNNÖT JA EHDOT

Vaatimustaulukon vaatimukset 1.2 ja 7.1. ovat sama vaatimus hieman eri sisällöllä. Kumpi vaatimus on voimassa?

Kuopio Testausraportti Kalenterimoduulin integraatio

TURVAA LIIKETOIMINTASI KAIKKIALLA. Protection Service for Business

APPLICATION MANAGEMENT SERVICES. ecraft

OWASP CLASP turvallisten web sovellusten takaajana

HALLITSE HAAVOITTUVUUKSIA

Jan Hursti, Kehityspäällikkö, Isoworks Oy. Turvallista pilvipalvelua keskisuurille yrityksille

KUNTIEN JA HUS:N ASIAKAS- JA POTILASTIETOJÄRJESTELMÄN HANKINTA

Suorin reitti Virtu-palveluihin

Osallistu julkisiin hankintoihin helposti ja turvallisesti. Tarjouspalvelu Pienhankintapalvelu Marketplace

CT60A4150 OHJELMISTOTESTAUKSEN PERUSTEET. Jussi Kasurinen Kevät 2016

SiSällyS Kirjoit tajat termistöä johdanto 1.1 Kilpailutuksen lähtökohdat 1.2 Osaava kilpailuttaja 1.3 Tavoitteiden selvittäminen

Testauksen hallintaa teekkareille (ja muille kiinnostuneille) Arto Stenberg

Open source uusia mahdollisuuksia operaattoreille


Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Kuopio. Testitapausluettelo: Projektit-osakokonaisuus

1. Tietokonejärjestelmien turvauhat

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Verkostoautomaatiojärjestelmien tietoturva

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

UNA-POC esittely: KanTa-tilannekuvanäkymä

Merlin Systems Oy. Kommunikaatiokartoitus päätöksenteon pohjaksi. Riku Pyrrö, Merlin Systems Oy

Helsingin kaupunki Pöytäkirja 1 (9) Hankintakeskus

Varhaiskasvatuksen tilastointijärjestelmä JUULIA VUOROHOIDON OHJELMASOVELLUS. Vertikal Oy Luvaton käyttö kielletty

Digital by Default varautumisessa huomioitavaa

Oracle 11g tietokannan päivityksen tarjoamat hyödyt ja kustannussäästöt

Valtion konesali- ja kapasiteettipalvelut

Auditointi. Teemupekka Virtanen

Suorituskyvyn varmistaminen sovelluskehityksen eri vaiheissa Paavo Häkkinen, Presales Teamleader Compuware Finland

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

TOIMINTA KANTA-PALVELUJEN HÄIRIÖTILANTEESSA

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Helsingin kaupunki Esityslista 21/ (5) Liikennelaitos -liikelaitoksen johtokunta (HKL) Haj/

Digi pienissä kunnissa ja maaseudulla

Tietoturvatestaus Teemu Vesala

Ympäristöystävällinen IT

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Julkisen hallinnon yhteinen kokonaisarkkitehtuuri

tsoft Tarkastusmenettelyt ja katselmukset Johdanto Vesa Tenhunen

Transkriptio:

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN Tietoturvaopas1 2NS - Haavoittuvuustutkimustiimi www.2ns.fi

2/10 Johdanto Olemme vuodesta 2005 lähtien toteuttaneet yli 1000 verkkopalvelun haavoittuvuustestausta ja auditointia sekä tietoturvan varmentamiseen liittyvää projektia. Näistä syntyneeseen kokemukseen pohjautuen olemme koonneet tähän oppaaseen, miten tietoturva on hyvä varmentaa verkkopalvelujen kehityksessä, käyttöönotossa ja elinkaaren aikana. Tietoturvaan liittyvät toimenpiteet on kuvattu modulaarisesti, jotta kukin voi soveltaa eri vaiheita joko täysimääräisesti tai osittain oman tarpeensa ja riskikykynsä mukaan. Toivotamme haavoittuvuusvapaita verkkopalveluita! - 2NS Haavoittuvuustutkimustiimi

3/10 Sisällysluettelo 1. TIIVISTELMÄ 4 2. TIETOTURVAN VARMENTAMISEN VAIHEET 5 2.1. KEHITTÄJIEN KOULUTUS 5 2.2. UHKAMALLINNUS 5 2.3. KOODIKATSELMOINNIT 6 2.4. TIETOTURVA-AUDITOINTI/HAAVOITTUVUUSTESTAUS 6 2.5. KORJAUSTEN VERIFIOINTI 7 2.6. TIETOTURVAN YLLÄPITO JA SÄÄNNÖLLINEN VARMENTAMINEN 7 3. MITÄ MUUTA VOI TEHDÄ TIETOTURVAN PARANTAMISEKSI 8 3.1. TEKNISET TOIMET 8 3.2. TIETOTURVAN HUOMIOINTI VERKKOPALVELUITA HANKITTAESSA 8 4. YLEISIMMÄT AIHEESEEN LIITTYVÄT VIITEKEHYKSET 9

4/10 1. Tiivistelmä Verkkopalvelun tietoturva on hyvä varmentaa vaiheittain jo kehityksen alusta asti, vaikkakin jo käytössä olevasta palvelustakin pystytään vielä haavoittuvuudet tunnistamaan ja sitä kautta poistamaan. Verkkopalvelun tietoturvan varmentamisen vaiheet elinkaaren aikana ovat: 1. Kehittäjien koulutus 2. Uhkamallinnus 3. Koodikatselmointi 4. Tietoturva-auditointi/haavoittuvuustestaus 5. Säännöllinen skannaus ja tarkastukset 6. Tietoturvatilanteen reaaliaikainen valvonta käytön aikana

5/10 2. Tietoturvan varmentamisen vaiheet 2.1. Kehittäjien koulutus Sovelluskehittäjien koulutuksessa annetaan kehittäjille ja projektipäälliköille kattavasti tietoa miten järjestelmän tietoturva tulee huomioida kehitysvaiheen aikana. Koulutuksissa tehdään usein myös käytännön harjoituksia esim. hakkeroimalla omaa järjestelmää tai koulutuksen järjestäjän demojärjestelmää. Hyviä aiheita koulutukselle ovat esimerkiksi: Miten tietoturva tulee huomioida sovelluskehityksen eri vaiheissa (tietoturvavaatimusten luominen, uhkamallinnus, hyökkäyspintaalan minimointi, turvalliset kehitysmenetelmät jne.) Yleisimmät haavoittuvuudet (OWASP TOP 10) Tietoturvan periaatteet ja oikein mitoitettu panostaminen Harjoitustehtävät (haavoittuvuustestauksessa käytettävien työkaluihin tutustuminen, hyökkääminen sovelluksia ja järjestelmiä vastaan jne.) 2.2. Uhkamallinnus Uhkamallinnuksessa (esim. workshop) kerätään järjestelmään kohdistuvat riskit sekä priorisoidaan ne. Tämän perusteella muodostetaan tietoturvavaatimuslista sekä suunnitelma tietoturvakontrollien teknisestä toteuttamisesta, joiden pohjalta on mahdollista toteuttaa turvallinen järjestelmä.

6/10 2.3. Koodikatselmoinnit Tietoturvan kannalta keskeisimmille osa-aluillle (esim. tiedon validointi funktiot / luokat jne.) on hyvä tehdä koodikatselmointi. Koodikatselmoinnin lopputuloksena saadaan korjausehdotukset mahdollisista puutteista, jotta ne kyetään korjaamaan kustannustehokkaasti jo kehityksen aikana. 2.4. Tietoturva-auditointi / haavoittuvuustestaus Varsinaisella tietoturva-auditoinnilla / haavoittuvuustestauksella varmistetaan palvelun tietoturva. Auditoinnissa tunnistetaan palvelussa olevat haavoittuvuudet, havainnollistetaan niiden hyväksikäyttötapaukset sekä annetaan niiden korjaussuositukset. Tietoturvaauditoinnilla on hyvä kattaa sekä sovellus että palvelinympäristö. Auditoinnissa keskitytään muun muassa alla esitettyihin haavoittuvuuksiin, mutta myös muut mahdolliset haavoittuvuudet tunnistetaan: Injektiot Autentikointi ja istunnonhallintahaavoittuvuudet Cross Site Scripting Turvattomat suorat objektiviittaukset Turvattomat konfiguraatiot Arkaluonteisen tiedon paljastuminen Puuttuva funktiotason pääsynhallinta Pyyntöväärennös (CSRF) Haavoittuvien komponenttien käyttö Validoimattomat edelleenohjaukset (OWASP TOP 10 haavoittuvuudet, lähde OWASP)

7/10 2.5. Korjausten verifiointi Auditoinnissa havaitut haavoittuvuudet korjataan, jonka jälkeen verifioidaan, että korjaukset on tehty asianmukaisesti. 2.6. Tietoturvan ylläpito ja säännöllinen varmentaminen Saavutettu tietoturvan taso on hyvä ylläpitää. Esimerkiksi uudet ominaisuudet ja muutokset sovelluksessa ja palvelinympäristössä, palvelimen päivitystilanne sekä uusien hyväksikäyttömenetelmien syntyminen saattavat aiheuttaa riskiä. Säännölliseen varmentamiseen yleisiä toimenpiteitä ovat muun muassa: Ajastettu automaattinen haavoittuvuusskannaus Kustannustehokas koneellinen tapa havaita uusia haavoittuvuuksia Verkkopalvelun tietoturvantilanteen reaaliaikainen valvonta Käynnissä oleviin hyökkäyksiin kyetään reagoimaan heti. Säännöllinen tietoturvatarkastus / auditointi Tietoturvakriittisyyden mukaan verkkopalvelun tietoturva on suositeltavaa tarkastaa säännöllisin väliajoin (uudet hyväksikäyttömenetelmät, muutokset ja uudet ominaisuudet sovelluksessa ja palvelimella, palvelimen päivitystilanne jne.)

8/10 3. Mitä muuta voi tehdä tietoturvan parantamiseksi 3.1. Tekniset toimet Suorituskykytestaus / kuormitustestaus Palvelun saatavuus on usein myös tärkeä ominaisuus esimerkiksi kuormitustilanteissa. Testauksessa selvitetään kuormituksen vaikutus palvelun tasoon ja saatavuuteen. Tämä tehdään simuloimalla suurta määrää yhtäaikaisia käyttäjiä sovituilla käyttötapauksilla, jotta opitaan palvelun käyttäytyminen kuormituksen aikana ja kyetään tekemään mahdolliset korjaukset palvelun suorituskykyyn. Penetraatiotestaus Penetraatiotestaus on hyvä tehdä kriittisille palveluille. Tässä otetaan kokonaisvaltaisempi näkökulma, kuin yksittäisten haavoittuvuuksien testaamisessa. Palvelusta löytyneitä teknisiä haavoittuvuuksia yhdistellään ja lisäksi käytetään myös muita hyökkäyskomponentteja kuten sosiaalista manipulointia tai muista tietojärjestelmistä löytyneitä haavoittuvuuksia. Tavoitteena on varmentaa tietojärjestelmän tietoturvan riittävyys tapauksessa, kun järjestelmään vastaan hyökätään järjestelmällisesti. 3.2. Tietoturvan huomiointi verkkopalveluita hankittaessa Tarjouspyynnön vaihe - Tietoturvavaatimukset Tarjouskilpailun onnistumisen kannalta on tärkeää, että tietojärjestelmätoimittajat osaavat ottaa tarjousta tehdessään huomioon järjestelmälle asetetut tietoturvavaatimukset. Tämä asettaa tarjoajat samalle lähtöviivalle. Mikäli tietoturvavaatimuksia tuodaan jälkikäteen tarjouksen hyväksymisen jälkeen, on vaarana, että niiden mahdollisesti aiheuttamista kustannuksista tulee erimielisyyksiä.

9/10 Tarjousten vertailun vaihe - Tietoturvakuvausten vertaaminen Toimitettavan järjestelmän tietoturvatoteutus tulisi ilmetä riittävällä tasolla toimittajien tarjouksista. Tarjousten katselmoinnissa tarjouksen sisältöä peilataan tarjouspyynnössä annettuja tietoturvavaatimuksia vasten. Tarjousten katselmoinnin yhteydessä kootaan havainnot löydetyistä puutteista ja listataan tarkentavia kysymyksiä toimittajille. Vaiheen lopputuloksena muodostetaan kuva kunkin toimittajan kyvystä vastata asetettuihin tietoturvavaatimuksiin. Tätä voidaan käyttää päätöksenteon tukena valittaessa tai karsittaessa toimittajia. 4. Yleisimmät aiheeseen liittyvät viitekehykset Viitekehyksiä joita esimerkiksi ammattilaiset seuraavat ovat: OWASP (Open Web Application Security Project) OSSTMM (Open Source Security Testing Methodology Manual)

2NS on vuodesta 2005 asti toteuttanut yli 1000 tietoturva-auditointia ja haavoittuvuustestausta. Palvelemme yli 150 koti- ja ulkomaista asiakasta (Suomi, USA, Ruotsi, Hollanti, Viro, Latvia, Norja). Asiakaskuntamme koostuu muun muassa yrityksistä, julkishallinnosta ja finanssialasta. Palvelemme asiakkaitamme tinkimättömällä ammattitaidolla. Meille on tärkeää, että asiakas saa tulokset ymmärrettävässä muodossa selkeiden korjauskehoitusten kera. Meillä on kokemusta valtakunnan kriittisimmistä ympäristöistä: Asiakkaamme ovat pienistä ohjelmistoyrityksistä suurempiin toimijoihin, muun muassa Finnair, Neste Oil, Veikkaus, CSC, VRK, Affecto, Innofactor, Tallink Silja, Huhtamäki ja Varma. Haavoittuvuustutkimustiimimme on julkaissut lukuisia haavoittuvuustiedotteita, muun muassa SAP:n, Oraclen, F-Securen, IBM:n ja HP:n laitteista ja järjestelmistä. Ota yhteyttä, autamme mielellämme! www.2ns.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute