küberturvalisus
29.06 2022

Veebirakenduse läbistustestimine aitab avastada turvanõrkused ja ennetada küberrünnakuid

Iga päev satub ülemaailmselt umbes 30 000 veebilehte küberünnakute ohvriks (https://www.sophos.com/en-us/labs/security-threat-report). Oht, et selle statistika hulka võib sattuda ka Sinu ettevõtte veebileht on üpris tõenäoline. Siiski ei pööra suur osa organisatsioonidest küberturvalisusele erilist tähelepanu, hoolimata sellest, et veebirakendused on peamised sihtmärgid, mille abil pääseb ligi ettevõtte või organisatsiooni sisevõrgule ja sealolevatele andmetele.

Veebirakenduste läbistustestimine on efektiivne moodus turvanõrkuste avastamiseks ning küberrünnakute ennetamiseks. Läbistustestimise käigus kasutatakse ründajale omaseid tehnikaid ning analüüsitakse rakendust ründaja vaatest.

Kellele on veebirakenduse läbistustestimine mõeldud?

Ükskõik milline ettevõte, kellel on avalik veebileht või kes tegeleb veebipõhiste lahenduste arendamisega klientidele, peaksid läbistusteste tegema vähemalt kord aastas või laiamahuliste arenduste valmimisel, et vältida küberkurjategijate rünnakuid ja ligipääsu nende kanalitele. Pea igal ettevõttel on avalik veebileht, mis sisaldab erinevaid lihtsaid funktsionaalsusi nagu näiteks kontaktivorm, tagasisidevorm, võimalus klientidel päringuid esitada või muid äriga seotud toiminguid teha. Sellised funktsionaalsused on tihtipeale uks, läbi mille ründaja pääseb ligi ettevõtte sisevõrgule.

Oma pikaajalise küberturvalisuse nõustamise kogemuse põhjal saame öelda, et enamjaolt on kahte tüüpi kliente, kes saavad veebirakenduse läbistustestist kõige rohkem kasu ja kindlustunnet. Need on ettevõtted, kellel on avalik veebileht ja ettevõtted, kes ise arendavad veebipõhiseid lahendusi tootena.


Peamised veebirakenduste turvatestimisega seotud valearvamused, mida soovime ümber lükata

  • Meie veebileht ei sisalda tähtsat funktsionaalsust, seal on ainult kontaktvorm ja võimalus jätta anonüümselt kommentaare.
    Veebileht võib siiski olla haavatav kriitilistele turvavigadele nagu murdskriptimine (cross-site scripting) või süstrünnakud (injection attacks). Selliste turvavigade tulemusena on võimalik ründajal pääseda ligi veebiserverile või administratiivkontodele. Eriti ohtlikuks muudab sellised turvavead aspekt, et nende tulemusel esmase ligipääsu saamine muutub omakorda palju tõsisemaks turvaveaks, mille abil võidakse üle võtta kogu ettevõtte sisevõrk.
  • Meie veebiserveril pole erilist ärilist väärtust ning ründe korral saame alati süsteemi varukoopiast taastada ning seejärel uuendada.
    Ligipääs veebiserverile on ainult jäämäe tipp, millega ründaja saab jala ukse vahele ning on samm lähemal kogu ettevõtte võrgu üle võtmisele. Eriti ohtlikud on olukorrad, kus veebiserveri ründamise käigus pääseb ründaja ligi isikuandmetele ning kasutajakontodele. Selline rünnak kahjustab teie mainet ning tulemusena kaotate klientide usalduse.
  • Kasutame laialt levinud sisuhaldussüsteemi, seetõttu on meie leht turvaline.
    Nii kui leitakse antud süsteemis uus turvaviga, saab teie veebileht koheselt väga haavatavaks sihtmärgiks. Umbes 35% veebirünnakutest viiakse läbi laialt levinud sisuhaldussüsteemide vastu nagu WordPress ja Joomla.
Viide httpswwwacunetixcomwhite-papersacunetix-web-application-vulnerability-report-2021wordpress-and-other-cms-vulnerabilities


  • Oleme veebilehe arenduse ning halduse mujalt sisse ostnud ja teenusepartner hoolitseb meie ettevõtte turvalisuse eest. Enamik veebirakenduste turvavigadest tekivad kogemata ning suurem osa arendajatest pole spetsialiseerunud küberturbele. Läbistustestimiseks on alati parem kasutada sõltumatut kolmandat osapoolt, kes on oma ala ekspert. Tegemist on siiski teie ettevõtte andmete ning heaoluga.
  • Kui arendate klientidele veebipõhiseid lahendusi. Antud juhul ei riski te oma ettevõtte andmete või resurssidega, vaid oma maine ning töökvaliteediga. Tagades arendatud lahenduste turvalisuse, mis on läbistustestimisega kontrollitud, tõestate oma klientidele, et olete usaldusväärne arenduspartner. Läbistustesti tellimine ülemaailmselt tuntud ja usaldusväärselt ettevõttelt on kindel kvaliteedimärk ning aitab teie usaldust tugevdada.

Kuidas KPMG küberturvalisusetiim saab aidata?

Meie küberturbe eksperdid tuvastavad võimalikud ohukohad, mille abil ründaja saab teie rakendust või veebilehte enda kasuks ära kasutada. Kui arendate veebipõhiseid lahendusi kolmandatele osapooltele, saame veebirakenduse läbistustestimise käigus tuvastada võimalikud ründevektorid ning küberturbeprobleemid teie toodetes, millest te ei pruugi teadlikud ollagi.

Meie lähenemine on paindlik ning kliendipõhine, järgime oma töös alati kõige sobivamaid turvastandardite nõudeid (OWASP ASVS). Meie raport sisaldab hinnangut üldisele küberturbe kvaliteedile, mis hõlmab endas professionaalset hinnangut testitava veebirakenduse seisukorrale küberturbe vaatest.

Näidishinnang:

Joonis 1


Lisaks läbistustestimisele otsime ka vigu, mille parandamine aitab suurendada teie veebirakenduse üldist küberturbe seisukorda. Selleks järgime kõiki parimaid küberturbe praktikaid ning standardeid (OWASP ASVS, CIS Benchmarks). Töö tulemusena väljastame detailse raporti, mis sisaldab loetelu turvavigadest, soovitusi nende parandamiseks ning mis järjekorras neid parandada. Lisaks saate meie ekspertidega suheldes küsida täiendavaid küsimusi, kuidas kõige paremini leitud vigu parandada.

Pärast paranduste tegemist viime läbi kontrolltesti, mille käigus veendutakse, et parandused said tehtud õigesti, need on efektiivsed ning paranduste käigus ei tekkinud uusi vigu.


Millised on erinevad ASVS (Application Security Verification Standard) turvastandardi tasemed?

  • Tase 1 (Lihtne) – Minimaalne tase, mis on sobilik kõikidele veebirakendustele
  • Tase 2 (Tavaline) – Soovitatav tase enamikele rakendustele. Soovitatav juhul, kui rakendus töötleb tundlikku infot, nagu näiteks isikuandmed või hõlmab endas ärilisi protsesse.
  • Tase 3 (Edasijõudnud) – Sobilik elutähtsatele süsteemidele. Nende hulka kuuluvad rakendused, mis on seotud finantssektoriga või kriitilised süsteemid militaar- ja avalikus sektoris.

Kõik see kõlab väga kallilt

Veebirakenduse läbistustestimise hind sõltub töö ulatusest, milline on rakenduse funktsionaalsus ning milliste turvanõuete vastu soovite oma veebilehte kontrollida.


Joonis 2


Enamasti jääb ühe projekti hind vahemikku 5000 – 15 000 eurot.

Täpsema info saamiseks, võtke meiega ühendust, kaardistame hetkeolukorra ning leiame teie ettevõttele või organisatsioonile sobivaima lahenduse.


Rein Luhtaru

Küberturvalisuse vanemspetsialist
rluhtaru@kpmg.com

KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus

Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..

KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetust on mõistlik ära kasutada

Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaudu ..

KPMG IT-ekspert: praktikust koolitaja teeb koolituse põnevaks ja kasulikuks

IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..

Ettevõtetel on viimane võimalus taotleda küberturvalisuse toetust

Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..

küberturvalisus

Partnerite nõrkus mõjutab ka teie kaitstust

Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..

küberturvalisus

Küberrünnakute sagenemine on pannud tegutsema ka Euroopa Keskpanga

Küberrünnakute keerukuse ja sageduse suurenemine kujutab endast kogu Euroopas kriitilist ohtu fin..

küberrünnak

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: