Offensiivinen tietoturva
Löydä heikkoudet ennen kuin hyökkääjä löytää ne
Tunkeutumistestaus on hallittu, luvallinen hyökkäys omiin järjestelmiisi. Ammattitestaaja etsii todelliset heikkoudet ja osoittaa, miten ne korjataan – ennen kuin joku muu käyttää niitä hyväkseen.
- Perustuu Verizonin ja IBM:n dataan
- Riippumaton ja myyntineutraali
- Päivitetty 2026
Mitä tunkeutumistestaus on
Hallittu hyökkäys, joka paljastaa todelliset riskit
Tunkeutumistestauksessa asiantuntija hyökkää järjestelmiisi luvallisesti ja turvallisesti, kuten oikea hyökkääjä tekisi – mutta raportoi löytämänsä sinulle.
Tunkeutumistestaus (englanniksi penetration testing tai lyhyesti pentest) on menetelmä, jossa koulutettu testaaja etsii ja hyödyntää järjestelmien, sovellusten ja verkkojen heikkouksia – luvallisesti ja hallitusti. Tavoitteena on osoittaa, miten hyökkääjä pääsisi sisään, ja miten se estetään.
Toisin kuin pelkkä automaattinen haavoittuvuusskannaus, tunkeutumistestaus todistaa mitkä heikkoudet ovat oikeasti hyväksikäytettävissä. Se erottaa teoreettiset riskit niistä, joilla hyökkääjä todella pääsisi tietoihin.
Lopputuloksena on selkeä raportti: mitä löytyi, kuinka vakavaa se on ja miten se korjataan – priorisoituna todellisen riskin mukaan.
Miksi testata
Mitä tunkeutumistestaus antaa
Neljä asiaa, joita tekninen suojaus yksin ei tarjoa.
- TODELLISET
Todelliset heikkoudet
Testaus paljastaa aidosti hyväksikäytettävät heikkoudet, ei vain teoreettista listaa. Näet, mihin hyökkääjä oikeasti pääsisi.
- SYVYYS
Enemmän kuin skannaus
Ihminen ketjuttaa heikkouksia ja löytää loogiset virheet, joita automaattinen työkalu ei tunnista. Se on ero listan ja todistuksen välillä.
- PRIORITEETIT
Selkeät prioriteetit
Hyvä raportti kertoo, mikä pitää korjata ensin ja miksi – jotta rajallinen aika käytetään oikeisiin asioihin.
- VAATIMUKSET
Vaatimustenmukaisuus
Moni säädös ja standardi (kuten NIS2 ja DORA) edellyttää säännöllistä testausta. Tunkeutumistestaus tuottaa siitä näytön.
Testauksen tyypit
Mitä voidaan testata
Testaus kohdistetaan siihen, mikä on liiketoiminnalle tärkeintä. Yleisimmät kohteet:
- Yleisin
Ulkoisen verkon testaus
Internetiin näkyvät palvelut, palvelimet ja rajapinnat – juuri se hyökkäyspinta, jonka ulkopuolinen hyökkääjä näkee.
Kohde: Internetiin näkyvät järjestelmät ja palvelut
- Yleinen
Web-sovelluksen testaus
Verkkosovellusten ja rajapintojen heikkoudet, kuten pääsynhallinnan virheet ja injektiot (OWASP).
Kohde: Verkkosovellukset, API-rajapinnat ja asiakasportaalit
- Syvempi
Sisäisen verkon testaus
Mitä hyökkääjä saisi aikaan päästyään sisään – lateraaliliike, oikeuksien laajentaminen ja pääsy kriittisiin järjestelmiin.
Kohde: Sisäverkko, työasemat ja toimialue
- Erikoisala
Muut kohteet
Langattomat verkot, pilvipalvelut, mobiilisovellukset ja sosiaalinen manipulointi (phishing) tarpeen mukaan.
Kohde: WiFi, pilvi, mobiili ja henkilöstön testaus
Lähestymistavat
Musta, harmaa vai valkoinen laatikko?
Testauksen lähtötiedot vaikuttavat siihen, kuinka realistista, kattavaa ja tehokasta se on. Valitse lähestymistapa ja katso ero.
Testaaja ei saa ennakkotietoa – kuten täysin ulkopuolinen hyökkääjä. Antaa realistisimman kuvan siitä, mitä oikea hyökkääjä näkee, mutta rajallisessa ajassa osa kohteista voi jäädä testaamatta.
Sopii: Ulkoisen hyökkäyspinnan ja havaitsemiskyvyn testaamiseen.
Testaaja saa osittaiset tiedot tai käyttäjätunnukset – kuten sisäpiiriläinen tai kirjautunut käyttäjä. Tasapainottaa realistisuuden ja kattavuuden, ja on siksi yleisin lähestymistapa.
Sopii: Useimpiin sovellus- ja verkkotestauksiin – paras hyöty suhteessa aikaan.
Testaaja saa täydet tiedot: arkkitehtuurin, tunnukset ja usein lähdekoodin. Suurin kattavuus ja löytää eniten heikkouksia, mutta muistuttaa vähemmän oikeaa hyökkäystä.
Sopii: Kriittisten järjestelmien perusteelliseen tarkastukseen ja koodikatselmointiin.
Arvot ovat suuntaa antavia ja havainnollistavat lähestymistapojen eroja. Oikea valinta riippuu tavoitteista, kohteesta ja käytettävissä olevasta ajasta.
Luvut
Miksi testaus kannattaa
Hyökkäykset ovat yleisiä ja kalliita – ja kohdistuvat usein juuri niihin heikkouksiin, jotka testaus löytäisi.
Jokaisen luvun kohdalla on linkki alkuperäiseen lähteeseen. Luvut ovat likimääräisiä ja päivittyvät uusien raporttien myötä.
Yrityksille
Säännöllisestä testauksesta on tulossa velvoite
EU:n NIS2-direktiivi ja sen kansallinen toimeenpano edellyttävät monilta organisaatioilta riskienhallintaa ja tietoturvan testausta – ja johdon vastuuta siitä.
NIS2-direktiivi edellyttää keskeisiltä ja tärkeiltä toimijoilta riskienhallintatoimia, joihin kuuluu tietojärjestelmien turvallisuuden arviointi ja testaus – ja johto on vastuussa niiden valvonnasta. Suomessa vaatimukset on pantu toimeen kansallisella kyberturvallisuuslainsäädännöllä.
-
Testaa säännöllisesti
Kertaluontoinen testi vanhenee nopeasti. Säännöllinen testaus pysyy muuttuvan hyökkäyspinnan ja uusien haavoittuvuuksien perässä.
-
Kohdista tärkeimpään
Tunnista liiketoiminnan kannalta kriittiset järjestelmät ja kohdista testaus niihin ensin.
-
Korjaa ja testaa uudelleen
Löydösten arvo syntyy korjaamisesta. Uusintatestaus varmistaa, että korjaukset toimivat.
-
Riippumaton testaaja
Ulkopuolinen, pätevä testaaja näkee sokeat pisteet, joita oma tiimi ei huomaa.
Oppaat
Syvenny aiheeseen
Selkeitä oppaita tunkeutumistestauksesta: mitä se on, miten se etenee ja miten siihen valmistaudutaan.
-
Mikä on tunkeutumistestaus? Tyypit ja hyödyt
Tunkeutumistestaus on luvallinen hyökkäys omiin järjestelmiin. Näin se eroaa skannauksesta, ja tällaisia tyyppejä on.
Lue opas -
Tunkeutumistestauksen vaiheet: näin testaus etenee
Kartoituksesta raporttiin – tunkeutumistestaus etenee selkeissä vaiheissa. Tässä ne käydään läpi.
Lue opas -
Näin valmistaudut tunkeutumistestaukseen
Hyvä valmistautuminen tekee testauksesta hyödyllisemmän. Näin määrität tavoitteet, laajuuden ja pelisäännöt.
Lue opas
Usein kysytyt kysymykset
Lyhyet, selkeät vastaukset
Mitä tunkeutumistestaus tarkoittaa?
Tunkeutumistestaus on luvallinen ja hallittu hyökkäys omiin järjestelmiin, jossa asiantuntija etsii ja hyödyntää heikkouksia kuten oikea hyökkääjä – mutta raportoi löydökset ja niiden korjausohjeet sinulle.
Mitä eroa on haavoittuvuusskannauksella ja tunkeutumistestauksella?
Skannaus on automaattinen ja listaa mahdollisia haavoittuvuuksia. Tunkeutumistestaus on ihmisen tekemää: se todistaa, mitkä heikkoudet ovat aidosti hyväksikäytettävissä, ja löytää myös loogiset virheet, joita työkalu ei huomaa. Lue lisää →
Kuinka usein tunkeutumistestaus kannattaa tehdä?
Yleensä vähintään kerran vuodessa sekä merkittävien muutosten jälkeen. Hyökkäyspinta ja haavoittuvuudet muuttuvat jatkuvasti, joten säännöllisyys on tärkeämpää kuin yksittäinen testi.
Mikä on musta-, harmaa- ja valkoinen laatikko -testaus?
Ne kuvaavat, kuinka paljon testaaja saa ennakkotietoa. Musta laatikko = ei tietoa (realistisin), valkoinen = täydet tiedot ja lähdekoodi (kattavin), harmaa = jotain siltä väliltä (yleisin ja tasapainoisin).
Onko tunkeutumistestaus turvallista tuotantojärjestelmille?
Ammattimaisesti tehtynä kyllä. Testauksen laajuudesta ja pelisäännöistä sovitaan etukäteen, ja testaaja työskentelee hallitusti riskien minimoimiseksi. Näin valmistaudut →
Mitä testauksen jälkeen tapahtuu?
Saat raportin, jossa löydökset on priorisoitu vakavuuden mukaan sekä korjausohjeet. Korjausten jälkeen tehdään usein uusintatestaus, jolla varmistetaan, että aukot on tukittu. Katso vaiheet →
Vaatiiko NIS2 tunkeutumistestausta?
NIS2 edellyttää riskienhallintaa ja tietoturvan arviointia ja testausta soveltuvin osin. Tunkeutumistestaus on yleinen ja mitattava tapa täyttää tämä velvoite ja tuottaa siitä näyttö.