Tietoturvatyökalujen tuominen osaksi testausprosessia
Saastamoinen, Vesse (2016)
Saastamoinen, Vesse
Jyväskylän ammattikorkeakoulu
2016

Creative Commons Attribution-NonCommercial-ShareAlike 1.0 Suomi
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2016112517416
https://urn.fi/URN:NBN:fi:amk-2016112517416
Tiivistelmä
Opinnäytetyö tehtiin Codemate-nimiselle suomalaiselle ohjelmistoyritykselle, joka tarvitsi hyvää vertailua nykyisistä tietoturvatestaukseen suunnitelluista työkaluista. Vertailun tavoitteena oli löytää ja valita sopivat työkalut, joita voidaan hyödyntää Codematen testausprosessissa. Vertailua oli tarkoituksena tehdä lähinnä web-sovelluksiin suunnattuihin työkaluihin, mutta lisäksi mukaan otettiin myös muutamia verkko- ja palvelinskannereita ja Content Management System –skannereita.
Vertailtavien työkalujen valintaan käytettiin muutamia kriteerejä. Tärkeimpinä kriteereinä olivat työkalun haavoittuvuuksien löytökyky, työkalun käytettävyys, raporttien laatu ja selkeys sekä jatkuva kehitys tasaisilla päivityksillä. Kaikista työhön valituista työkaluista kirjoitettiin selkeät ja laajat teoriaosuudet joissa tuotiin esille työkalujen perustiedot, tarkat tekniset ominaisuudet, käyttöliittymät sekä skannereiden tekemät haavoittuvuustestit.
Toteutusosuudessa vertailtiin valittuja web-sovelluksiin suunnattuja työkaluja tarkemmin. Jokaisesta työkalusta vertailtiin hintaa, WAVSEP-tuloksia, OWASP top 10 kattavuutta, käytettävyyttä/ominaisuuksia ja päivityksiä. Tulososuudessa valittiin vertailluista työkaluista Codematelle sopivat ja maksullisille työkaluille valittiin myös ilmainen vaihtoehto. Valitut web-sovelluten automaattiset skannerit olivat Arachni, Acuentix, Tinfoil Security ja CMSmap. Valitut web-sovellusten manuaaliset testityökalut olivat Burp Suite ja OWASP ZAP. Web-sovellusten exploit-työkaluiksi valittiin SQLmap ja W3AF. Palvelin- ja verkkoskannereiksi valittiin OpenVAS sekä NMAP.
Työtä tehdessä selvisi, että web-sovellusskannereille on todella vaikea tehdä luotettavia vertailutestejä johtuen haavoittuviksi tehtyjen web-sovellusten ja oikeiden web-sovellusten eroavaisuuksista. Yhdellä työkalulla ei myöskään tietoturvatestauksessa usein pärjää vaan parhaat tulokset saa, kun joka osa-alueeseen käyttää siihen suunniteltua työkalua.
Vertailtavien työkalujen valintaan käytettiin muutamia kriteerejä. Tärkeimpinä kriteereinä olivat työkalun haavoittuvuuksien löytökyky, työkalun käytettävyys, raporttien laatu ja selkeys sekä jatkuva kehitys tasaisilla päivityksillä. Kaikista työhön valituista työkaluista kirjoitettiin selkeät ja laajat teoriaosuudet joissa tuotiin esille työkalujen perustiedot, tarkat tekniset ominaisuudet, käyttöliittymät sekä skannereiden tekemät haavoittuvuustestit.
Toteutusosuudessa vertailtiin valittuja web-sovelluksiin suunnattuja työkaluja tarkemmin. Jokaisesta työkalusta vertailtiin hintaa, WAVSEP-tuloksia, OWASP top 10 kattavuutta, käytettävyyttä/ominaisuuksia ja päivityksiä. Tulososuudessa valittiin vertailluista työkaluista Codematelle sopivat ja maksullisille työkaluille valittiin myös ilmainen vaihtoehto. Valitut web-sovelluten automaattiset skannerit olivat Arachni, Acuentix, Tinfoil Security ja CMSmap. Valitut web-sovellusten manuaaliset testityökalut olivat Burp Suite ja OWASP ZAP. Web-sovellusten exploit-työkaluiksi valittiin SQLmap ja W3AF. Palvelin- ja verkkoskannereiksi valittiin OpenVAS sekä NMAP.
Työtä tehdessä selvisi, että web-sovellusskannereille on todella vaikea tehdä luotettavia vertailutestejä johtuen haavoittuviksi tehtyjen web-sovellusten ja oikeiden web-sovellusten eroavaisuuksista. Yhdellä työkalulla ei myöskään tietoturvatestauksessa usein pärjää vaan parhaat tulokset saa, kun joka osa-alueeseen käyttää siihen suunniteltua työkalua.