Mikä on tunkeutumistestaus? Tyypit ja hyödyt
Tunkeutumistestaus muuttaa kysymyksen "olemmeko turvassa?" konkreettiseksi näytöksi siitä, mihin hyökkääjä oikeasti pääsisi. Tässä oppaassa käydään läpi perusteet.
Määritelmä
Tunkeutumistestaus (penetraatiotestaus, englanniksi penetration testing) on hallittu ja luvallinen prosessi, jossa asiantuntija etsii ja hyödyntää järjestelmien, sovellusten ja verkkojen heikkouksia kuten oikea hyökkääjä. Tavoitteena ei ole aiheuttaa vahinkoa vaan osoittaa, miten hyökkääjä toimisi ja miten se estetään.
Skannaus vs. tunkeutumistestaus
Automaattinen haavoittuvuusskannaus listaa mahdollisia heikkouksia nopeasti ja edullisesti, mutta ei todista, mitkä niistä ovat aidosti vaarallisia. Tunkeutumistestaus on ihmisen tekemää: se hyödyntää heikkouksia, ketjuttaa niitä ja löytää loogiset virheet, joita työkalu ei tunnista.
Yleisimmät tyypit
- Ulkoisen verkon testaus – internetiin näkyvät palvelut ja hyökkäyspinta.
- Web-sovelluksen testaus – verkkosovellusten ja rajapintojen heikkoudet.
- Sisäisen verkon testaus – mitä hyökkääjä saisi aikaan päästyään sisään.
- Langattomien verkkojen, pilvipalveluiden ja mobiilisovellusten testaus.
- Sosiaalinen manipulointi – henkilöstön testaus esimerkiksi phishing-viesteillä.
Lähestymistavat
Testaus voidaan tehdä mustana laatikkona (ei ennakkotietoa, realistisin), harmaana laatikkona (osittaiset tiedot, yleisin ja tasapainoisin) tai valkoisena laatikkona (täydet tiedot ja lähdekoodi, kattavin).
Mitä hyötyä siitä on
- Näet todelliset, hyväksikäytettävät riskit – et vain teoreettista listaa.
- Saat priorisoidut korjausohjeet, jotka kohdistavat rajallisen ajan oikein.
- Täytät säädösten ja standardien (NIS2, DORA, ISO 27001) testausvaatimuksia.
- Rakennat luottamusta asiakkaisiin ja kumppaneihin osoittamalla, että tietoturva on testattu.
UKK
Aiheeseen liittyvät kysymykset
Mikä on tärkein ero skannauksen ja testauksen välillä?
Skannaus on automaattinen ja listaa mahdollisia haavoittuvuuksia. Testaus on ihmisen tekemää ja todistaa, mitkä heikkoudet ovat aidosti hyväksikäytettävissä – ja löytää myös ne, joita työkalu ei huomaa.
Kuka tunkeutumistestauksen tekee?
Koulutettu, riippumaton tietoturva-asiantuntija (eettinen hakkeri). Riippumattomuus on tärkeää, jotta sokeat pisteet tulevat esiin.
Mitä kaikkea voidaan testata?
Muun muassa ulkoiset ja sisäiset verkot, web-sovellukset ja rajapinnat, langattomat verkot, pilvipalvelut, mobiilisovellukset sekä henkilöstö sosiaalisen manipuloinnin avulla.
Jatka lukemista
Lisää oppaita
-
Tunkeutumistestauksen vaiheet: näin testaus etenee
Kartoituksesta raporttiin – tunkeutumistestaus etenee selkeissä vaiheissa. Tässä ne käydään läpi.
Lue opas -
Näin valmistaudut tunkeutumistestaukseen
Hyvä valmistautuminen tekee testauksesta hyödyllisemmän. Näin määrität tavoitteet, laajuuden ja pelisäännöt.
Lue opas