Takaisin palveluihin

Järjestelmien ja kehityksen tietoturva

Paranna sovellusten ja laitteistojen tietoturvaa jokaisessa kehityskaaren vaiheessa

Ohjelmiston tietoturva on jatkuva prosessi, ja voit ottaa pieniä askeleita tietoturvasi varmistamiseksi jokaisessa kehityskaaren vaiheessa. Tietoturva on hyvä ottaa huomioon jo suunnitteluvaiheessa, jolloin vältyt yllättäviltä ongelmilta, joita voi löytyä esimerkiksi vasta ennen julkaisua tehtävässä murtotestauksessa. Virheitä myös sattuu ja tapahtuu, ja esimerkiksi käyttämistäsi kolmannen osapuolen komponenteista voi löytyä haavoittuvuuksia. Siksi kehitysvaiheen tietoturva ei itsessään takaa tietoturvallista tuotetta – tarvitaan myös niin automatisoitua kuin ihmisen tekemääkin testausta.Nixun palvelut järjestelmien ja tuotekehityksen tietoturvan parantamiseksi tukevat DevSecOps-ajattelua.

Parannamme kehittämiesi tai ostamiesi sovelluksien, palveluiden ja laitteistojen tietoturvaa koko niiden kehityskaaren ajan, alla olevan kuvan esittämällä tavalla. Autamme tiimiäsi parantamaan tietoturvaasi tavalla, joka sopii nykyisiin tarpeisiisi ja kehitysvaiheeseesi. Kaikki tarjoamamme parannustoimet on suunniteltu niin, että ne täydentävät toisiaan ilman turhia päällekkäisyyksiä.

Autamme sinua rakentamaan tietoturvallisia ratkaisuja, pitämään ne tietoturvallisina ja varmistamaan tuotteidesi luotettavuuden. Palveluidemme avulla pystyt:

Suunnittelemaan tietoturvallisia ohjelmistoja ja laitteita. Autamme sinua luomaan riskiperusteisia tietoturvavaatimuksia, jotka todella sopivat tuotteillesi. Uhkamallinnusasiantuntijamme auttavat sinua löytämään mahdollisia heikkouksia tuotteidesi ominaisuuksista ja arkkitehtuurista jo suunnitteluvaiheessa.

Kirjoittamaan tietoturvallista koodia. Arvioimme koodisi tietoturvallisuuden ja autamme sinua tarkistamaan lähdekoodisi haavoittuvuuksien varalta automaattisesti staattisen analyysin työkalujen avulla. Tarjoamme myös ohjelmistokehitykseen ja kehittäjäkoulutukseen keskittyviä palveluja.

Varmistamaan C/I-putkesi. Autamme sinua suojaamaan C/I-putkesi näppäimistöltä tuotantoon asti mahdollisten toimitusketjuhaavoittuvuuksien, tekijänoikeusvarkauksien ja tietomurtojen estämiseksi.

Julkaisemaan ja ottamaan käyttöön perusteellisesti varmistettuja tuotteita. Autamme sinua integroimaan automaattisia tietoturvan todennustyökaluja osaksi kehitysprosessiasi ja mukautamme niiden asetukset sovelluksiisi sopiviksi niin, että olet aina tietoinen kaikkien tuotteidesi tietoturvallisuudesta. Pystymme testaamaan ohjelmistosi erilaisten kriteerien, kuten OWASP Top 10:n tai ASVS:n (Application Security Verification Standard) perusteella, ja teemme myös perusteellisia murtotestejä.

Suojaamaan tuotantoympäristösi ja julkaistut tuotteesi. Autamme sinua ottamaan käyttöön oikeanlaiset työkalut haavoittuvuuksien tarkistamista ja ohjelmiston koostumuksen analysointia varten, jotta voit löytää tunnettuja haavoittuvuuksia kehitys- ja tuotantoympäristöistäsi.

Autamme sinua muuttamaan nykyisen DevOps-menetelmäsi tietoturvalliseksi DevSecOps-lähestymistavaksi.

Meidän avullamme kehitystiimisi oppii tietoturvallisia ohjelmistosuunnittelukäytäntöjä – näin he löytävät mahdolliset haavoittuvuudet jo aikaisessa vaiheessa, jolloin vältyt kalliilta loppusuoran muutoksilta tuotteidesi arkkitehtuuriin tai ominaisuuksiin. Kun sovelluksesi, palvelusi ja laitteistosi ovat suojattuja, asiakkaasi voivat aina luottaa tarjontasi laatuun.

Lue lisää palveluistamme ja ota meihin yhteyttä saadaksesi lisätietoja.

 

Palvelut

Sovelluksen tietoturvatarkastus

Osaava tietoturvatestaaja on paras valinta, kun haluat löytää sovelluksen liiketoimintalogiikassa piileviä haavoittuvuuksia tai ketjuttaa useita heikkouksia. Joskus saatat myös tarvita riippumattoman kolmannen osapuolen varmistuksen tuotteesi tietoturvallisuudesta. Kokeneet tietoturvatestaajamme tutkivat verkko- ja mobiilisovelluksesi, IoT-laitteiden sulautetut järjestelmät ja muut laitteesi. Arvioimme sovellustesi tietoturvan määritettyjen kriteerien, kuten OWASP Top 10:n, ASVS:n (Application Security Verification Standard), MASVS:n (Mobile Application Security Verification Standard) tai muiden alan parhaiden käytäntöjen ja koventamisohjeiden perusteella. Arviointi voi sisältää myös lähdekoodin tietoturvallisuuden tarkastamisen.
 

Tietoturva-arviointimme on yhdistelmä huippuluokan testaustyökaluja, lähdekoodin tutkimista ja ammattilaistemme tietoturvaosaamista. Meiltä saat:

  • Asiantuntijan laatiman analyysin löydetyistä ja todennetuista haavoittuvuuksista sekä tarkat kriittisyysarviot. Kaikki turvallisuusraporttimme ovat ihmisten – ei robottien – laatimia ja selittämiä.
  • Ohjeita suojauskeinojen ja korjausehdotusten toteuttamiseksi.
  • Parannussuosituksia vastaavanlaisten haavoittuvuuksien estämiseksi tulevaisuudessa.

Skaalaamme testauksen järjestelmäsi koon ja riskitason perusteella – menetelmämme sopii kaikenlaisille sovelluksille yksinkertaisista verkkosivustoista kriittisiin pankkijärjestelmiin.

Tietoturvatarkastuksemme pysyvät myös ketterän kehityksen perässä. Voimme suorittaa testauksen useassa eri vaiheessa ja auttaa sinua kehittämään ja varmentamaan lievennyskeinoja toistuvasti. Ota yhteyttä ja sovitaan oikeanlainen tietoturvatarkastus sinun tarpeisiisi.

Lue lisää

Uhkamallinnus

Uhkamallinnus on ensimmäisiä toimenpiteitä, joilla voit parantaa ohjelmistosi tietoturvaa. Ennen kuin yhtäkään koodiriviä on kirjoitettu, ammattitaitoiset asiantuntijamme auttavat sinua löytämään vakavia tietoturva- ja tietosuojaongelmia uhkamallinnusmenetelmien avulla. Näin vältyt kalliilta muutoksilta ohjelmistosi ominaisuuksiin tai arkkitehtuuriin sen kehityskaaren loppuvaiheissa, ja samalla vältyt myös tietoturvaltaan puutteellisilta integroinneilta kolmannen osapuolen palveluihin.

Uhkamallinnusmenetelmämme perustuu useampaan uhkamallinnustekniikkaan, kuten arkkitehtuurissa olevien uhkien löytämiseen STRIDE:n avulla, tietosuojauhkien löytämiseen LINDDUN:in avulla ja ominaisuuksien tietoturvaongelmien arviointiin väärinkäyttötapausten (engl. evil user stories) avulla. Otamme aina huomioon teknologiset ratkaisusi sekä järjestelmäsi taustalla toimivat prosessit, kuten ylläpidon ja käyttäjähallinnan. Sovelluksen tai järjestelmän koosta riippuen voimme järjestää yhden tai useamman uhkatyöpajan, jossa uhkamallinnusasiantuntijamme neuvovat, kuinka voit löytää uhkia yhdessä ohjelmistokehittäjien, testaajien, tuotteiden omistajien ja muiden vaadittujen sidosryhmien kanssa.

Uhkamallinnuksen avulla löydät mahdolliset heikkoudet jo varhaisessa vaiheessa sekä tunnistat myös prosesseissasi piilevät uhat, joita ei voi havaita tietoturva-arvioinneilla tai tunkeutumistestauksella. Uhkamallinnuksen avulla tunnistat myös kriittisimmät toiminnot, jotka tulee testata tietoturvatarkastuksilla tai murtotestauksella. Meiltä saat:

  • Uhka-analyysiraportin, jossa on kuvattu tunnistetut uhkat, mahdolliset seuraukset ja suositellut suojaustoimenpiteet.
  • Riskiarviot löydetyistä uhkista. Riskiarvio tehdään yhdessä organisaatiosi kannalta tärkeimpien liiketoiminnan sidosryhmien kanssa.
  • Tietoa järjestelmän tietoturvallisuudesta jo suhteellisen lyhyessä ajassa.

Uhkamallinnusta voidaan soveltaa sekä kehityksen alla oleviin että ostettaviin ohjelmistoihin ja palveluihin. Voimme tutkia myös prosesseista, kuten ohjelmistokehitysputkesta, sekä suuremmista järjestelmistä tai liiketoiminnoista löytyviä uhkia. Ota yhteyttä ja kysy lisää.

Lue lisää

Tietoturvallinen ohjelmistokehitys

Tietoturvan iskostaminen ohjelmistoon alkaa suunnittelusta ja koodauksesta. Autamme sinua parantamaan ohjelmistokehitysmenetelmiäsi tarjoamalla uusia, tietoturvaa parantavia elementtejä nykyiseen lähestymistapaasi, kuten Scrumiin. Nämä elementit ovat täysin räätälöitävissä tarpeidesi perusteella. Tässä muutama esimerkki käyttämistämme menetelmistä ohjelmistokehityksen tietoturvan parantamiseksi:

  • uhkamallinnustyöpajat
  • tutkiva koodin tietoturva-arviointi
  • turvallisiin koodaus- ja suunnittelukäytäntöihin perehdyttävät kehittäjävalmennukset.

Voimme myös tarjota ohjelmistokehittäjän projektisi käyttöön. Tarjoamme sisäistä tukea, opastusta ja sparrausta koko kehitystiimille tietoturvallisen toimituksen varmistamiseksi. Sen avulla kehittäjäsi voivat keskittyä projektiinsa liittyviin tietoturvakysymyksiin ja parantaa arkkitehtonisia ratkaisujaan ja ohjelmistokehitysprosessejaan. Tietoturvallinen ohjelmistokehitys tarjotaan jatkuvana palveluna. Yksittäisiä projekteja voidaan tukea arvioimalla kehittäjätiimisi tietoturvaratkaisujen ja -käytäntöjen kypsyyttä, ja näistä arvioinneista saatavia havaintoja voidaan hyödyntää myös muissa kehitysprojekteissa.

Lue lisää

DevSecOps-käyttöönottosuunnitelma

Haluaisitko sisällyttää tietoturvan osaksi ohjelmistosi kehityskaarta, mutta et ole varma, mistä aloittaa? Siinä tapauksessa DevSecOps-käyttöönottosuunnitelma on täydellinen valinta.

Ensin arvioimme käyttämäsi prosessit ja teknologiat. Sitten luomme sinulle vaiheittaisen DevSecOps-käyttöönottosuunnitelman, joka perustuu vahvuuksiisi ja nykyiseen työkaluvalikoimaasi. Autamme sinua muuttamaan nykyisen DevOps-menetelmäsi tietoturvalliseksi DevSecOps-lähestymistavaksi. DevSecOps-asiantuntijoidemme tarjoaman jäsennellyn arviointimenetelmän avulla saat:

  • Arvion nykyisistä kehitys-, testaus- ja DevSecOps-prosesseistasi. Opit, miten organisaatiosi toimii verrattuna muihin alan yrityksiin.
  • Arvion työkaluista, joita tällä hetkellä käytät tietoturvan automatisointiin ja järjestämiseen.
  • Proof of Value -koodiskannauksen, jolla arvioidaan staattisen koodin tietoturvaskannauksen (SAST) soveltuvuutta sovelluksiesi testaamiseen.
  • Parannusehdotuksia työkaluvalikoimaasi.
  • Vaiheittaisen etenemissuunnitelman.

Ammattilaisillamme on runsaasti kokemusta ohjelmistokehityksestä, testausautomaatiosta ja tietoturvasta. Autamme sinua varmistamaan ohjelmistosi kehityskaaren tietoturvan. Ota yhteyttä ja kysy lisää.

Lue lisää

Haavoittuvuuksien hallinta

Toisinaan ohjelmien nopea kehittäminen uhkaa laatua ja turvallisuutta. Onko juuri hankkimassasi palvelinohjelmistossa haavoittuvuuksia, jotka voisivat aiheuttaa sinulle kalliita keskeytyksiä? Entä korjaako IT-palveluntarjoajasi tietoturvapuutteet nopeasti?

Mittaamme ympäristöjesi vaaroja tietoturvan näkökulmasta, ja käännämme teknisten haavoittuvuuksien tiedot tietoturvaa koskeviksi päätöksiksi.
Haavoittuvuuksien tunnistus on jatkuvaa ja automatisoitua. Saat:

  • asiantuntijan mielipiteen nykyisistä haavoittuvuuksistasi ja suosituksia siitä, miten voisit parantaa kyberturvallisuuttasi 
  • tiedon siitä, kuinka vastustuskykyinen tietojärjestelmäsi ja verkkosi ovat yleisimpiä uhkia vastaan
  • tiedon haavoittuvuuksien hallintasi tehokkuudesta ja siitä, kuinka nopeasti haavoittuvuudet korjataan.

Tekemällä jatkuvia tarkistuksia internetiä tai sisäistä verkkoa käyttäville sovelluksille ja tietojenkäsittelyalustoille voit olla varma siitä, että yleisimmät ohjelmistohaavoittuvuudet havaitaan ja raportoidaan. Jatkuva valvonta vähentää merkittävästi keskeytyksiä ja muiden häiriöiden todennäköisyyttä. Ajantasainen raportointi varmistaa, että korjaustoimenpiteet voidaan kohdistaa tärkeimpiin resursseihisi.

Palvelumme kattaa skannaustekniikan ja sen ylläpidon, lisenssin, valittujen sovellusten ja IT-infrastruktuurin säännölliset haavoittuvuustarkastukset ja niiden raportit sekä tukikeskuksemme ympärivuorokautisen tuen. Ota yhteyttä ja kysy lisää.
 

Lue lisää

Red Teaming -hyökkäystestaus

Organisaatiot investoivat puolustukseen liiketoimintansa suojelemiseksi. Mutta ovatko nämä toimenpiteet todella tehokkaita? Kuinka hyvin organisaatio voi ylipäätään suojata arvokkainta omaisuuttaan?

Nixun Red Team testaa, kuinka hyvin ihmiset, työkalut ja prosessit toimivat yhdessä kohdistetun hyökkäyksen aikana. Harjoitusta voi verrata paloharjoitukseen, jonka avulla organisaation turvatiimi voi mitata havaitsemiskyvykkyyttään ja reagointiaikaansa.
Nixun Red Team hyödyntää MITER ATT&CK ja TIBER-FI -viitekehyksiä hyökkäystestauksissa. Kehykset luonnehtivat ja kuvaavat vastustajan käyttäytymistä, työkaluja, tekniikoita ja taktiikoita kohdistettujen hyökkäyksien aikana. Se auttaa myös ymmärtämään paremmin hyökkäystekniikoita ja tunnistamaan aukkoja organisaatiosi puolustuksessa. 

Red Team -harjoituksen avulla organisaatio saa arvokasta tietoa havaitsemis- ja reagointikyvystään. Se tarjoaa kokonaisvaltaisen kuvan kontrollien ja prosessien heikkouksista kohdistetuissa hyökkäyksissä sekä yksityiskohtaiset suositukset tietoturvan parantamiseksi. Harjoituksen jälkeen hyökkäys käydään läpi perusteellisesti organisaation kanssa oppimisen maksimoimiseksi. 
 
Hyökkäystestausten avulla saat:

  • arvokasta tietoa havainnointi- ja reagointikyvyistäsi kohdistetun hyökkäyksen aikana
  • katsauksen turvakontrolliesi ja -prosessiesi heikkouksista
  • yksityiskohtaisia suosituksia turvallisuutesi parantamisesta 
  • kokonaisvaltaisen kuvauksen tehdyistä hyökkäyksistä, jotta opit niistä mahdollisimman paljon

Räätälöimme Red Team -harjoituksen vastaamaan organisaatiosi tarpeita ja todellisia uhkia. Ota yhteyttä, niin kerromme mielellämme lisää, miten voimme parantaa yhdessä organisaatiosi kyberturvaa.

 

Lue lisää

Tietoturvatarkastukset

Tukeaksemme erilaisia sovellus- ja tuotekehitysmalleja, tarjoamme tietoturvatarkastuspalveluita aina perinteisestä auditoinnista automatisoituun skannauspalveluun sekä bug bounty -ohjelmiin. Lisäksi Security Engineering -tiimimme auttaa kehitysprojektin aikana arvioimaan tietoturvan tasoa ja tukee kehittäjiä parantamaan sovelluksen tai tuotteen sisäänrakennettua tietoturvaa ja -suojaa. Tämä on tavallisesti kaikkein kustannustehokkain tapa parantaa tietoturvan tasoa ja auttaa varmistamaan, että tietoturvan parantamiseen sijoitetut rahat käytetään siellä missä niitä eniten tarvitaan.

Bug bounty -haavoittuvuuspalkkio-ohjelma

Entistä useammalla organisaatiolla on käytössään laajalti sovelluksia ja palvelimia, joilla he palvelevat asiakkaitaan, kumppaneitaan ja työntekijöitään. Tuloksena on monimutkainen kokonaisuus, jota on hankala hallita. Yksityisessä bug bounty -ohjelmassa järjestelmiesi tietoturvaa arvioidaan etsivän kyberrikollisen silmin. Vaikka bug bounty ei voi kokonaan korvata kaikkea tietoturvatestausta tai tietoturvasuunnittelua, se täydentää niitä kustannustehokkaasti ja auttaa parantamaan tietoturvaasi ketterällä tavalla.

Järjestämme haavoittuvuuspalkkio-ohjelman puolestasi. Teemme yhteistyötä johtavien haavoittuvuuspalkintoalustojen kanssa, ja asiantuntijamme auttavat sinua määrittämään digitaaliset puitteet, joiden sisällä valkohattuhakkerit saavat toimia. Ammattitaitoiset haavoittuvuustestaajamme etsivät järjestelmistäsi sellaisia heikkouksia, joita pahantahtoinen toimija voisi käyttää. Kun heikkous on löydetty ja vahvistettu, raportoimme siitä ja autamme sinua korjaamaan vian.

 Ota yhteyttä ja kysy lisää haavoittuvuuspalkkio-ohjelmista.

Lue lisää

Blogeja

Red teaming on organisaatiosi kyberpaloharjoitus

Keskiviikon 20.5. kyberaamukahvien aiheena oli red teaming, jonka suosio organisaatioiden kyberpuolustuksen koetinkivenä kasvattaa suosiotaan vuosi vuodelta. Antti Niemelä ja Tommi Vihermaa olivat kertomassa red team -kokemuksistaan ja siitä, miten nämä hyökkäyssimulaatiot toteutetaan käytännössä.
Toukokuu 25, 2020 at 09:45

Five reasons why your DevSecOps fails and how to tackle them

Your expensive scanners might be producing reports that nobody cares to read. Maybe you didn't even install the tools in the first place. Ari Kesäniemi and Matti Suominen revealed five typical reasons why organizations are failing at DevSecOps and how you can tackle the problems.
Toukokuu 28, 2020 at 16:07

Kyberharjoitus auttaa varautumaan poikkeamatilanteisiin

 

Syyskuu 27, 2021 at 09:00