2NS, profile picture
Uploaded by2NS
PDF, PPTX272 views

Hyökkays haavoittuvaan verkkopalveluun

Vastaa kysymyksiin: Mikä hakkeri? Miksi tietoturva on tärkeää? Miksi testata tietoturvaa? Miten tietoturvaa testataan?

Embed presentation

Download as PDF, PPTX
SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   Hyökkäys haavoittuvaan verkkopalveluun
2NS Korkeinta osaamista valikoiduilla tietoturvan osa-alueilla.
Puhujat Juho Ranta §  CTO §  Eettinen hakkeri §  Twitter: @JuhoRanta Jani Manninen §  Yli 15 vuoden kokemus ohjelmistokehityksestä ja tietoturvasta §  Eettinen hakkeri §  Twitter: @Jani_Manninen
Mikä hakkeri? A hacker is someone who seeks and exploits weaknesses in a computer system or computer network. https://en.wikipedia.org/wiki/Hacker_(computer_security)
Miksi tietoturva on tärkeää? Järjestelmät ovat kehittyneet valtavasti viimeisen 20 vuoden aikana. Niistä on tullut entistä kriittisempiä liiketoiminnalle. Asiakkaiden täytyy luottaa järjestelmiin, joita he käyttävät.
Kuka hyökkää? Tiettyä rajattua ryhmää ei ole olemassa. Hyökkääjä voi vaihdella satunnaisesta onnenonkijasta ammattilaisiin.
Miksi hyökätä? Hyökkääjällä on lähes aina syy hyökkäykselle. Motiivina on hyökkäyksestä hyötyminen. Mitä suurempi palkkio on, sitä enemmän hyökkääjä on valmis käyttämään resursseja.
Miksi testata tietoturvaa? Kasvavaa riskiä pitää pyrkiä kontrolloimaan. Yksi keino on testaus. Tämän avulla voidaan selvittää sovelluksessa olevia heikkouksia ja saadaan tieto tarvittavista toimenpiteistä.
Miksi testata tietoturvaa? Testauksen tavoitteena on parantaa sovelluksen tietoturvaa ja pienentää tämän avulla riskiä. Riski pienenee, kun selvillä olevat toimenpiteet toteutetaan.
Kokonaisuus ratkaisee Vaikka yksittäinen sovellus ei olisi kriittinen, voidaan sitä käyttää osana hyökkäystä. Myös vähemmän kriittisten sovellusten tietoturvaan on kiinnitettävä huomiota.
”Sovellukseen ei pääse Internetistä” Palomuuri tuo lisäturvaa, mutta ei estä motivoitunutta hyökkääjää.
”Sovelluksen tietoturva on kunnossa” 100% vuonna 2014 tehdyistä auditoinneista johti korjaaviin toimenpiteisiin. Case-esimerkki: ERP-järjestelmässä saatiin haavoittuvuuden avulla haltuun pääkäyttäjän oikeudet.
Tietoturvasertifikaatti Tuotteelle suoritetaan tietoturvatestaus julkista kriteeristöä vasten. Sertifikaatti todentaa, että auditoinnissa ei löytynyt haavoittuvuuksia tai ne on verifioitu korjatuksi.
Miten testataan? 2NS:n asiantuntijat toimivat eettisenä hakkerina. He laittavat hakkerin hatun päähän, etsivät ja todentavat hyväksikäytettäviä haavoittuvuuksia kohdejärjestelmästä.
Demo
OWASP Top 10 / 2013 1.  Injection 2.  Broken authentication and session management 3.  Cross-Site Scripting 4.  Insecure Direct Object References 5.  Security Misconfiguration 6.  Sensitive Data Exposure 7.  Missing Function Level Access Control 8.  Cross-Site Request Forgery 9.  Using Known Vulnerable Components 10.  Unvalidated redirects and Forwards https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   www.2ns.fi

More Related Content

PPTX
Verkkopalvelun tietoturva
by2NS
 
PDF
Digiturva17 sovellusturva-16.10.17
byjapijapi
 
PPTX
Tietoturva ja internet luento 22.1.2016
byrierjarv
 
PPTX
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
byNixu Corporation
 
PDF
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
byPetri Aukia
 
PDF
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
byNixu Corporation
 
PPTX
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
byTieturi Oy
 
PPT
Tekninen näkökulma: Lokienhallinta vai SIEM?
byNixu Corporation
 
Verkkopalvelun tietoturva
by2NS
 
Digiturva17 sovellusturva-16.10.17
byjapijapi
 
Tietoturva ja internet luento 22.1.2016
byrierjarv
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
byNixu Corporation
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
byPetri Aukia
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
byNixu Corporation
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
byTieturi Oy
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
byNixu Corporation
 

Viewers also liked

PDF
Finding Our Happy Place in the Internet of Things
byPamela Pavliscak
 
PDF
Internet of Things - The Tip of an Iceberg
byDr. Mazlan Abbas
 
PDF
Laurea, Palvelumuotoilun menetelmät 7.11.2015
byTaneli Heinonen
 
PDF
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
byTaneli Heinonen
 
PDF
CV Sami Malaska FIN
bySami Malaska
 
PDF
[Infographic] How will Internet of Things (IoT) change the world as we know it?
byInterQuest Group
 
PDF
Livro kabeko
byPaulo Roberto Roberto
 
PPT
Verkkosovellusten tietoturvastrategia 20.4.2010
byjapijapi
 
PDF
Yrityksen tietoturvan varmentaminen käytännössä
by2NS
 
PPT
Cyber Warfare
byJyrki Kasvi
 
PDF
Nuoret netissä pelaten ja somettaen THAI2016
byPauliina Mäkelä
 
PDF
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
byPauliina Mäkelä
 
Finding Our Happy Place in the Internet of Things
byPamela Pavliscak
 
Internet of Things - The Tip of an Iceberg
byDr. Mazlan Abbas
 
Laurea, Palvelumuotoilun menetelmät 7.11.2015
byTaneli Heinonen
 
Laurea, YAMK, Palvelumuotoilun menetelmät 3.10.2015
byTaneli Heinonen
 
CV Sami Malaska FIN
bySami Malaska
 
[Infographic] How will Internet of Things (IoT) change the world as we know it?
byInterQuest Group
 
Livro kabeko
byPaulo Roberto Roberto
 
Verkkosovellusten tietoturvastrategia 20.4.2010
byjapijapi
 
Yrityksen tietoturvan varmentaminen käytännössä
by2NS
 
Cyber Warfare
byJyrki Kasvi
 
Nuoret netissä pelaten ja somettaen THAI2016
byPauliina Mäkelä
 
Sosiaalisen median mahdollisuudet - nuoret netissä pelaten ja somettaen
byPauliina Mäkelä
 

Similar to Hyökkays haavoittuvaan verkkopalveluun

PPT
Tietoturvallisuuden ajankohtaiset haasteet
byjapijapi
 
PDF
Arjen tietoturvan ABC
byHarto Pönkä
 
PDF
Tietosuoja ja tietoturva etätyössä
byHarto Pönkä
 
PDF
Tietoturva ja IT-arkkitehtuuri
byThomas Malmberg
 
PDF
Tietoturvan huomiointi järjestelmähankinnoissa
by2NS
 
PDF
Tietoturvan perusteita
byHarto Pönkä
 
PDF
Tietoturva 2011, Tietoturvamyytit
byPete Nieminen
 
PDF
Tietoturvan perusteet
byTomi Toivio
 
PDF
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
bySonera
 
PDF
Tieturi-internet-ohjelmointi-1998
byjapijapi
 
PDF
Tietoturva - onko sinulla varaa olla investoimatta siihen?
bySovelto
 
PDF
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
byMirva Tapaninen
 
PPTX
Tietoturva ja käyttätytyminen intranetissä
byJyrki Kasvi
 
PDF
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
byDeittisirkus
 
PDF
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
byjapijapi
 
PPT
Mainostoimisto Kanava.to – Webortaasi2013
byMainostoimisto Kanava.to
 
PDF
Pilvipalvelut
byElias Aarnio
 
PDF
Tietoturva ja Internet (luento)
byTieto- ja viestintätekniikkakoulu
 
PPT
Petteri jarvinen tietoturva ja tietosuoja 120510_ramk
byMirva Tapaninen
 
PDF
Verkkoturvallisuuskuukausi: Ovatko tilisi ja tietosi turvassa?
byFinanssivalvonta
 
Tietoturvallisuuden ajankohtaiset haasteet
byjapijapi
 
Arjen tietoturvan ABC
byHarto Pönkä
 
Tietosuoja ja tietoturva etätyössä
byHarto Pönkä
 
Tietoturva ja IT-arkkitehtuuri
byThomas Malmberg
 
Tietoturvan huomiointi järjestelmähankinnoissa
by2NS
 
Tietoturvan perusteita
byHarto Pönkä
 
Tietoturva 2011, Tietoturvamyytit
byPete Nieminen
 
Tietoturvan perusteet
byTomi Toivio
 
Tietoturvapalveluiden kehitysnäkymät - Tietoturvaseminaari 2013 - Tapio Ranta...
bySonera
 
Tieturi-internet-ohjelmointi-1998
byjapijapi
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
bySovelto
 
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
byMirva Tapaninen
 
Tietoturva ja käyttätytyminen intranetissä
byJyrki Kasvi
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
byDeittisirkus
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
byjapijapi
 
Mainostoimisto Kanava.to – Webortaasi2013
byMainostoimisto Kanava.to
 
Pilvipalvelut
byElias Aarnio
 
Tietoturva ja Internet (luento)
byTieto- ja viestintätekniikkakoulu
 
Petteri jarvinen tietoturva ja tietosuoja 120510_ramk
byMirva Tapaninen
 
Verkkoturvallisuuskuukausi: Ovatko tilisi ja tietosi turvassa?
byFinanssivalvonta
 

Hyökkays haavoittuvaan verkkopalveluun

  • 1.
    SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   Hyökkäys haavoittuvaan verkkopalveluun
  • 2.
  • 3.
    Puhujat Juho Ranta §  CTO § Eettinen hakkeri §  Twitter: @JuhoRanta Jani Manninen §  Yli 15 vuoden kokemus ohjelmistokehityksestä ja tietoturvasta §  Eettinen hakkeri §  Twitter: @Jani_Manninen
  • 4.
    Mikä hakkeri? A hackeris someone who seeks and exploits weaknesses in a computer system or computer network. https://en.wikipedia.org/wiki/Hacker_(computer_security)
  • 5.
    Miksi tietoturva ontärkeää? Järjestelmät ovat kehittyneet valtavasti viimeisen 20 vuoden aikana. Niistä on tullut entistä kriittisempiä liiketoiminnalle. Asiakkaiden täytyy luottaa järjestelmiin, joita he käyttävät.
  • 6.
    Kuka hyökkää? Tiettyä rajattuaryhmää ei ole olemassa. Hyökkääjä voi vaihdella satunnaisesta onnenonkijasta ammattilaisiin.
  • 7.
    Miksi hyökätä? Hyökkääjällä onlähes aina syy hyökkäykselle. Motiivina on hyökkäyksestä hyötyminen. Mitä suurempi palkkio on, sitä enemmän hyökkääjä on valmis käyttämään resursseja.
  • 8.
    Miksi testata tietoturvaa? Kasvavaariskiä pitää pyrkiä kontrolloimaan. Yksi keino on testaus. Tämän avulla voidaan selvittää sovelluksessa olevia heikkouksia ja saadaan tieto tarvittavista toimenpiteistä.
  • 9.
    Miksi testata tietoturvaa? Testauksentavoitteena on parantaa sovelluksen tietoturvaa ja pienentää tämän avulla riskiä. Riski pienenee, kun selvillä olevat toimenpiteet toteutetaan.
  • 10.
    Kokonaisuus ratkaisee Vaikka yksittäinensovellus ei olisi kriittinen, voidaan sitä käyttää osana hyökkäystä. Myös vähemmän kriittisten sovellusten tietoturvaan on kiinnitettävä huomiota.
  • 11.
    ”Sovellukseen ei pääse Internetistä” Palomuurituo lisäturvaa, mutta ei estä motivoitunutta hyökkääjää.
  • 12.
    ”Sovelluksen tietoturva on kunnossa” 100%vuonna 2014 tehdyistä auditoinneista johti korjaaviin toimenpiteisiin. Case-esimerkki: ERP-järjestelmässä saatiin haavoittuvuuden avulla haltuun pääkäyttäjän oikeudet.
  • 13.
    Tietoturvasertifikaatti Tuotteelle suoritetaan tietoturvatestaus julkistakriteeristöä vasten. Sertifikaatti todentaa, että auditoinnissa ei löytynyt haavoittuvuuksia tai ne on verifioitu korjatuksi.
  • 14.
    Miten testataan? 2NS:n asiantuntijattoimivat eettisenä hakkerina. He laittavat hakkerin hatun päähän, etsivät ja todentavat hyväksikäytettäviä haavoittuvuuksia kohdejärjestelmästä.
  • 15.
  • 16.
    OWASP Top 10/ 2013 1.  Injection 2.  Broken authentication and session management 3.  Cross-Site Scripting 4.  Insecure Direct Object References 5.  Security Misconfiguration 6.  Sensitive Data Exposure 7.  Missing Function Level Access Control 8.  Cross-Site Request Forgery 9.  Using Known Vulnerable Components 10.  Unvalidated redirects and Forwards https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • 17.
    SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   www.2ns.fi