6 yleistä virhettä kyberturvallisuudessa – ja miten penetraatiotestaus voi auttaa

Monet organisaatiot ovat viime vuosina investoineet merkittävästi kyberturvallisuuteen. Palomuurit, EDR-ratkaisut, valvonta, SOC-palvelut, tietoturvatietoisuuskoulutukset – lista on pitkä ja kasvaa vuosi vuodelta. Silti tietomurtoja tapahtuu, myös yrityksissä, jotka ovat tehneet paljon asioita oikein. Yksi kyberturvallisuuden heikkouksien taustalla oleva syy on yllättävän yleinen: organisaatio ei ole testannut kyberturvallisuuttaan tavalla, joka vastaa sitä, miten hyökkäykset todellisuudessa tapahtuvat.

NetNordicilla kohtaamme usein yrityksiä, joilla on korkeat turvallisuustavoitteet ja hyvät työkalut, mutta joilta puuttuu silti yksi olennainen asia: selkeä ja konkreettinen vastaus yksinkertaiseen kysymykseen – mitä oikeasti tapahtuisi, jos joku yrittäisi murtautua järjestelmiimme tänään?

Tässä kohtaa kuvaan astuu penetraatiotestaus (yleisesti pentesting). Oikein toteutettuna se antaa juuri sen, mitä pelkillä politiikoilla ja hallintapaneeleilla on vaikea saavuttaa: realistisen ja käytännönläheisen kuvan riskeistä ja niiden vaikutuksista – sekä selkeät prioriteetit ja keinot havaittujen puutteiden korjaamiseen.

Mitä kyberturvallisuuden testaaminen penetraatiotestauksella tarkoittaa?

Kyberturvallisuuden testaaminen voi tarkoittaa monia asioita:
haavoittuvuusskannauksia, vaatimustenmukaisuusauditointeja, konfiguraatiotarkastuksia tai simulaatioharjoituksia. Kaikilla näillä on oma arvonsa. Penetraatiotestaus toimii kuitenkin eri tasolla.

Penetraatiotesti on hallittu ja luvallinen simulaatio todellisesta kyberhyökkäyksestä, jonka toteuttavat eettiset tietoturva-asiantuntijat. Tavoitteena ei ole tuottaa vain teknistä raporttia, vaan ymmärtää, mitä hyökkääjä voisi oikeasti tehdä, jos hän kohdistaisi hyökkäyksensä organisaatioosi juuri nyt.

Toisin sanoen penetraatiotestaus yhdistää tekniset haavoittuvuudet liiketoimintavaikutuksiin. Juuri tämä tekee siitä niin arvokkaan: kyse ei ole teoreettisista riskeistä, vaan todellisista hyökkäyspoluista, joita vastustaja voisi hyödyntää

Vaatimustenmukaisuus on tärkeää. Lainsäädäntö ja viitekehykset ovat nostaneet turvallisuuden perustasoa erityisesti organisaatioissa, jotka tarjoavat kriittisiä palveluita tai käsittelevät arkaluonteista tietoa. On kuitenkin vaarallista olettaa, että vaatimusten täyttäminen tarkoittaa automaattisesti hyvää turvallisuutta.

Compliance kertoo, onko oikeat kontrollit ja dokumentaatio olemassa. Penetraatiotestaus puolestaan kertoo, toimivatko nämä kontrollit silloin, kun joku yrittää kiertää ne. Tämä ero on ratkaiseva.

Monet tietomurrot tapahtuvat organisaatioissa, jotka näyttävät paperilla hyvin suojatuilta – koska hyökkääjät etsivät aukkoja sääntelykehysten ulkopuolelta. He hyödyntävät heikkouksien yhdistelmiä, muutosten myötä syntyneitä virheellisiä asetuksia sekä katkoksia työkalujen ja tiimien välillä.

Vaatimustenmukaisuus on lähtökohta – penetraatiotestaus on sen todennus.

Haavoittuvuusskannaukset ovat tärkeä osa kyberturvallisuutta. Ne auttavat tunnistamaan tunnettuja haavoittuvuuksia (kuten CVE:t), puuttuvia päivityksiä, vanhentuneita ohjelmistoja ja virheellisiä konfiguraatioita.

Ne eivät kuitenkaan ole sama asia kuin penetraatiotestaus. Skannaus kertoo, mikä voi olla ongelma. Penetraatiotestaus kertoo, voiko ongelmaa todella hyödyntää – ja mitä siitä seuraa. Molempia tarvitaan, mutta ne palvelevat eri tarkoituksia. Kyberturvallisuutta ei voi arvioida kunnolla, ellei ymmärretä, mitä kukin menetelmä näyttää – ja mitä se ei näytä.

Penetraatiotestin arvo on suoraan sidoksissa sen laajuuteen ja kohdentamiseen. Siksi ensimmäinen askel on aina määrittää, mikä on liiketoiminnan kannalta tärkeintä:

• mitkä järjestelmät ovat kriittisiä toiminnalle
• mitä olisi vakavinta menettää
• missä arkaluonteista tietoa käsitellään tai säilytetään
• mitkä palvelut ovat välttämättömiä päivittäiselle toiminnalle

Ilman näitä vastauksia testauksesta tulee helposti joko liian pintapuolista tai liian laajaa – ja molemmissa tapauksissa tuloksia on vaikea hyödyntää.

Näemme usein seuraavia ongelmia:

Testataan ”jotain” eikä tärkeintä

Testaus tehdään, koska se ”kuuluu tehdä”, mutta kohdistuu helpoimpaan ympäristöön, ei kriittisimpään.

Hybrid-IT-ympäristöjen aliarviointi

Pilvipalveluista huolimatta organisaatiot ovat edelleen riippuvaisia identiteetinhallinnasta, päätelaitteista, SaaS-ratkaisuista, integraatioista ja usein myös paikallisesta infrastruktuurista. Pilvi ei poista riskejä – se muuttaa niitä.

Riippuvuuksien ja kolmansien osapuolten unohtaminen

Turvallisuus ei rajoitu omaan IT-ympäristöön. Toimittajat, alihankkijat ja ulkoistetut palvelut muodostavat usein merkittäviä katvealueita.

Hyvin rajattu penetraatiotesti on liiketoimintalähtöinen ja voi keskittyä esimerkiksi:

• CRM-järjestelmiin ja asiakastietoihin
• HR-järjestelmiin ja identiteetinhallintaan
• tuotanto- ja operatiivisiin järjestelmiin
• sähköpostiin ja toimistosovelluksiin
• kriittisiin infrastruktuurikomponentteihin

Tavoitteena ei ole testata kaikkea kerralla, vaan testata tärkeimmät asiat ensin – ja jatkaa testaamista muutosten myötä.

Perinteisesti penetraatiotestit toteutetaan yleensä kerran vuodessa. Joissakin tapauksissa jopa harvemmin. Tämä on ymmärrettävää, sillä penetraatiotestit ovat historiallisesti olleet ajallisesti rajattuja, manuaalisia ja konsulttivetoisia. Tämä ei kuitenkaan vastaa sitä todellisuutta, jossa nykyaikaiset IT-ympäristöt kehittyvät.

Nykyään useimmat organisaatiot ovat jatkuvassa muutoksessa. Muutokset voivat olla pieniä tai suuria, ja ne voivat ilmetä esimerkiksi seuraavasti:

• uusia SaaS-palveluita otetaan käyttöön
• pilvikonfiguraatioita muutetaan
• käyttäjiä ja käyttöoikeuksia lisätään ja poistetaan
• uusia toimittajia liitetään mukaan
• järjestelmiä päivitetään ja integroidaan

Hyökkääjät ovat kuitenkin jatkuvasti aktiivisia. He eivät odota vuosittaista testausajankohtaasi, vaan voivat työskennellä viikkoja tai kuukausia löytääkseen keinoja, joilla turvatoimet voidaan kiertää.

On tärkeää muistaa, että penetraatiotesti on aina tilannekuva. Se näyttää, miltä ympäristö näytti juuri testaushetkellä. Haasteena on se, että ympäristö voi näyttää täysin erilaiselta jo kuukauden kuluttua. Tästä syystä yhä useammat organisaatiot siirtyvät jatkuvaan validointiin, jossa penetraatiotestaus on osa jatkuvaa turvallisuustyötä eikä vain vuosittainen virstanpylväs.

Hyökkääjät turvautuvat harvoin yhteen ainoaan haavoittuvuuteen. Suurin osa onnistuneista hyökkäyksistä toteutuu itse asiassa useiden pienten heikkouksien yhdistelmänä:

• virheelliset konfiguraatiot
• avoimet tai altistuneet palvelut
• heikot tai uudelleenkäytetyt kirjautumistiedot
• käyttäjätilit, joilla on liian laajat käyttöoikeudet
• puutteet valvonnan kattavuudessa
• riittämätön verkon segmentointi
• inhimilliset virheet ja sosiaalinen manipulointi

Penetraatiotestaus on arvokasta siksi, että se heijastaa tätä todellisuutta. Se osoittaa, mitä tapahtuu silloin, kun useita heikkouksia voidaan ketjuttaa yhdeksi laajemmaksi haavoittuvuudeksi.

Laajuudesta riippuen testaus voi sisältää myös inhimillisiä hyökkäysmenetelmiä, kuten phishing-simulaatioita tai identiteettivarkausyrityksiä – koska monissa tapauksissa nopein reitti sisään kulkee yhä ihmisten kautta.

Johtoryhmien näkökulmasta tämä edellyttää muutosta ajattelutavassa: kyberturvallisuus ei ole pelkästään teknisiä kontrollimekanismeja. Se liittyy vahvasti ihmisiin, prosesseihin ja siihen, miten organisaatio reagoi paineen alla.

Yleinen käsitys on, että organisaatio on suojattu, kun käytössä ovat oikeat työkalut. Palomuurit, EDR-ratkaisut, SOC-valvonta, identiteettikontrollit ja hälytykset ovat kaikki tärkeitä. Työkalut voivat silti jättää aukkoja, jos niitä ei ole konfiguroitu oikein, jos niitä ei ylläpidetä pitkäjänteisesti tai jos niitä ei validoida todellisia hyökkäysskenaarioita vastaan.

Monissa organisaatioissa syntyy katvealueita seuraavista syistä:

• monimutkaisuus kasvaa ympäristön laajentuessa
• näkyvyys jakautuu useiden tiimien ja toimittajien kesken
• ulkoistetut ympäristöt vähentävät suoraa hallintaa
• räätälöidyt järjestelmät eivät noudata standardoituja turvamalleja
• toimitusketjusta muodostuu todellinen hyökkäyspinta

Penetraatiotestaus on käytännöllinen tapa varmistaa, että suojaustoimet toimivat yhtenä kokonaisuutena, eivät vain yksittäisten tuotteiden kokoelmana.

Millainen on korkealaatuinen penetraatiotesti?

Hyvän penetraatiotestin tehtävänä ei ole ainoastaan tuottaa havaintoja. Sen tulee tuottaa ymmärrystä ja selkeitä prioriteetteja. Ennen kaikkea sen tulee antaa selkeä kuva siitä, missä heikkoudet sijaitsevat ja millaisia uhkia ne voivat aiheuttaa.

Ja lopuksi – turvallisuus on yhteistyötä. Turvallisuutta ei voi ulkoistaa ja unohtaa. Se toimii parhaiten silloin, kun organisaatio ja turvallisuuskumppani työskentelevät yhdessä tiiminä.

Manuaalinen penetraatiotestaus ja jatkuva validointi – miksi useimmat organisaatiot tarvitsevat molempia

Manuaaliset penetraatiotestit ovat edelleen välttämättömiä. Inhimillistä luovuutta, kokemusta ja kykyä ajatella hyökkääjän tavoin on vaikea jäljitellä. Manuaalisilla testeillä on kuitenkin myös rajoitteensa: ne ovat yleensä ajallisesti rajattuja, jaksottaisia ja vaikeasti toistettavia korkealla frekvenssillä.

Tästä syystä monet organisaatiot yhdistävät manuaalisen penetraatiotestauksen jatkuviin validointimenetelmiin. Siinä missä manuaalinen testaus tarjoaa syvyyttä, luovuutta ja räätälöityjä tutkimuksia, jatkuva validointi auttaa varmistamaan, että turvakontrollit toimivat edelleen ympäristön muuttuessa.

Usein tehokkain lähestymistapa on hybridimalli: jatkuva turvallisuus päivittäisen varmuuden tueksi ja säännölliset manuaaliset testit syvällisempää arviointia, korkean riskin järjestelmiä ja vaatimustenmukaisuusvaatimuksia varten.

Testaa kyberturvallisuutta sen parantamiseksi – ei vain vaatimuksen täyttämiseksi

Penetraatiotestaus ei ole vain keino osoittaa, onko organisaatio turvaton. Se on myös keino poistaa epävarmuutta.

Uhkamaisemassa, jossa hyökkääjät ovat sitkeitä ja ympäristöt muuttuvat jatkuvasti, kyky testata kyberturvallisuutta jatkuvasti ja realistisesti on keskeinen osa nykyaikaista turvallisuusjohtamista. Lopulta luottamus ei synny siitä, että kontrollit ovat olemassa, vaan siitä, että tiedetään niiden toimivan.

/