Mittauspolitiikka Basic security.co.uk

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Perusturva mittaa ja julkaisee kaikki verkkoturvallisuuteen liittyvät toimenpiteet, joiden julkaiseminen on vastuullista, lisätietoja tästä on julkaisukäytännössä. Käytämme myös käytännesääntöihimme sisältyviä näkökohtia määritellessämme, mitkä mittaukset lisätään.

Tässä artikkelissa luetellaan, mitkä mittaukset tehdään minkäkin tekniikan avulla. Täydellinen luettelo näistä mittauksista viitteineen on otsikon ”yleiskatsaus kaikkiin mittauksiin” alla.

Tämä mittauspolitiikka kehittyy jatkuvasti ja vastaa uuteen kehitykseen. Tähän mittauspolitiikkaan on olemassa joitakin poikkeuksia, jotka on kuvattu mittauspolitiikan poikkeuksissa.

Lue vastuuvapauslausekkeemme ennen mittaustietojen käyttöä. Jos sinulla on kysyttävää, ota yhteyttä info@internetcleanup.foundation.

Tässä artikkelissa todetaan:

  • Tiedot mittausten ajantasaisuudesta
  • Miten mittauksia arvostetaan ajan mittaan tiukemmin (etenemissuunnitelma).
  • Yleiskatsaus kaikkiin yksittäisiin mittauksiin
    • Sisältää linkkejä dokumentaatioon ja testityökaluihin

Mittausten ajantasaisuus

Mittauksia tehdään päivittäin tai viikoittain, mikä riippuu mittausten monimutkaisuudesta ja intensiteetistä. Yksittäinen inventaariomittaus tehdään kerran kuudessa kuukaudessa, koska se on meluisa, toistomittaus tehdään kerran viikossa.

Mittaustiheyden vuoksi raporttien tiedot eivät yleensä ole viikkoa vanhempia. Jos se on, jotain erityistä on tekeillä. Työskentelemme edelleen toiminnallisuuden parissa, jotta yli kaksi kuukautta vanhat mittaukset eivät koskaan näkyisi raporteissa, ja lyhentäisimme tämän keston korkeintaan yhteen kuukauteen.

Yksityiskohtaisesta raportista näet aina, kuinka vanha mittaus on. Se näkyy kunkin mittauksen alareunassa. Alla olevassa esimerkissä näet siis, että mittaus on ollut sama jo 22 päivää ja että viimeinen mittaus tehtiin 1 päivä sitten.

Viimeisin lukema 2 päivää sitten, tämä on kuvan alareunassa.

Lisäksi jokaisessa kartassa näkyy kartan tietojen laatu. Kyseisestä yleiskatsauksesta käy ilmi, mitä mittauksia on tehty ja kuinka moni niistä on ajan tasalla / vanhentunut. Tässä yleiskatsauksessa yli 7 päivää vanhoja mittauksia pidetään vanhentuneina. Tämä näkyy myös alla olevassa esimerkissä.

Tietojen laatu on kartan vasemmassa yläkulmassa olevan luetelmakohdan alla. Tämä pallo värjäytyy laadun mukaan. Jos se on oranssi tai punainen, jokin on vialla. Yleensä se on vihreä piste. Jos kaikki on ajan tasalla, tässä on sateenkaari.

Täältä näet, mitä mittauksia on päivitetty ja mitä ei. Yleensä kaikki on tässä vihreää. Kuvakaappauksesta näkyy, että laatu oli 90,29 %, ja vanhentuneita mittauksia oli 11899. Eräs skanneri ei mitannut, mikä aiheutti tämän poikkeaman.

Tiukentavien mittausten etenemissuunnitelma

Ajan mittaan valvontaa tiukennetaan. Esimerkiksi jotkin havainnot ovat tällä hetkellä vihreitä tai oransseja, mutta muuttuvat tulevaisuudessa punaisiksi.

Uusi lukema esitellään usein oranssina tai vihreänä, jotta ihmiset voivat tottua siihen ja toimia ennen kuin se muuttuu punaiseksi.

Tätä koskeva etenemissuunnitelma on edelleen hajanainen eikä sitä ole vahvistettu. Kun yksittäisiä mittauksia otetaan käyttöön, siitä usein mainitaan. Näitä tietoja kerätään edelleen.

Yleiskatsaus kaikkiin mittauksiin

Tässä on yleiskatsaus kaikkiin mittauksiin, arviointeihin, dokumentointiin ja työkaluihin, joilla voit mitata itseäsi. Kun kaikkia näitä sovelletaan oikein, organisaatio saa vihreää kartalle.

Jos organisaatio seuraa verkkopalvelujaan ja minimoi ne, ei ole kovin vaikeaa päästä oranssiin tai jopa vihreään tilaan.

Suojattu verkkotunnus (DNSSEC)

Meer documentatie
# level: url
dnssec

TLS verkkosivuilla (HTTPS)

  • Tavoite: Sovelletaan salausta: että verkkosivustolla vierailu on luottamuksellinen ja eheä. Tarkista, että luottamus on kunnossa ja että salauksessa ei ole haavoittuvuuksia.
  • Raskain luokitus:Punainen
  • Mitattu: Qualys SSL Labs
  • Dokumentaatio: Wikipediassa, Digitaalihallintolaki: TLS-asetukset, Wikipedia, Digital Government Act
  • Mitattava: SSL Labs
Meer documentatie
# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Sivusto ilman salausta (HTTPS)

Meer documentatie
# level: endpoint
plain_http

Tiedostonsiirto (FTP)

  • Tarkoitus: salauksen soveltaminen
  • Raskain luokitus:Punainen
  • Mitattu: Omalla skannerilla
  • Dokumentaatio: Wikipedia
  • Tarkistettavissa esimerkiksi osoitteessa: ftptest.net.
Meer documentatie
# level: endpoint
ftp

Ohjelmiston versiotiedot (bannerit)

  • Tavoite: versiotietojen poistaminen, koska niistä on hyötyä vain hyökkääjille.
  • Raskain luokitus:Punainen
  • Mitattu: nmap
  • Dokumentaatio: Wikipedia, nmap
  • Tarkista: ipvoid
Meer documentatie
# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

Sähköpostin turvallisuus (STARTTLS, DMARC, DKIM, SPF).

Meer documentatie
# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Kirjautumisportaalit

  • Tarkoitus: Ei tarjota pienelle ihmisryhmälle tarkoitettuja yleisiä ja julkisia toimintoja, varsinkaan ylläpitäjätoimintojen suojaamista.
  • Raskain luokitus: Punainen
  • Mitattu: Ytimet
  • Dokumentaatio: Wikipedia
  • Mitataan o.a.: tarkista löydösten linkit. Onko täällä kirjautumisportaali? Silloin havainto on edelleen voimassa. Nämä portaalit ovat erityisellä sivulla nimeltä Login Plaza.
Meer documentatie
# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Seurantaeväste ilman suostumusta

  • Tarkoitus: Seurantaevästeiden asettaminen ilman lupaa on kielletty. Tekemällä tästä läpinäkyvää, verkkosivuston rakentajat voivat poistaa nämä evästeet.
  • Raskain luokitus: oranssi, Punainen tammikuusta 2024 alkaen.
  • Mitattu: Näytelmäkirjailija
  • Dokumentaatio: tbd
  • Mitattava: tbd

Yleiskatsaus mitattu seuranta keksit

Mittaamme jäljitettäviä keksejä alla. Nämä ovat seuraajakeksejä, jotka toimittaja ilmoittaa sijoitetun markkinointitarkoituksiin. Marraskuun 2023 tutkimuksemme mukaan nämä keksit ovat ylivoimaisesti yleisimpiä keksejä.

KeksiToimittajaDokumentaatio toimittajan mukaan
_fbpFacebookClickID
_gcl_awGoogle-mainoksetSafety.Google
__gpiGoogle-mainoksetSafety.Google
_gcl_auGoogle-mainoksetSafety.Google
NIDGoogle-mainoksetSafety.Google
IDEGoogle-mainoksetSafety.Google
VISITOR_INFO1_LIVEGoogle YouTubeSafety.Google
li_sugrLinkedInEvästetaulukko
UserMatchHistoryLinkedInEvästetaulukko
_ttpTikTokEvästekäytäntö
Meer documentatie
# level: endpoint
web_privacy_cookie_products_no_consent

Internetosoitteen omistaja (WHOIS)

  • Tarkoitus: saada verkkotunnuksen hallinto kuntoon. Ulkopuolinen voi tarkistaa, että sivusto kuuluu oikealle organisaatiolle SIDN:ssä.
  • Raskain luokitus: Oranssi
  • Mitattu: Omalla skannerilla
  • Dokumentaatio: SIDN, Wikipedia, OpenCRE
  • Tarkistettavissa: SIDN
Meer documentatie
# level: url
whois_domain_ownership

NCSC-NL:n vaatimusten mukainen suojattu yhteys (TLS).

Meer documentatie
# level: endpoint
internet_nl_web_tls

Turvallisuus.txt

Meer documentatie
# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Internet-liikenteen luotettava reititys (RPKI)

Meer documentatie
# level: endpoint
internet_nl_web_rpki_exists

HSTS-otsikko

  • Tarkoitus: Salauksen käyttöönotto verkkosivustoilla niin kauan kuin selaimet eivät sitä tee.
  • Raskain luokitus:Oranssi
  • Mitattu: Omalla skannerilla
  • Dokumentaatio: MDN, Wikipedia, Digital Government Act
  • Tarkistettavissa muun muassa osoitteissa: securityheaders.com, internet.co.uk.
  • Huomaa, että includesubdomains ja preload jätetään huomiotta, jos preloadia ei päivitetä ja kävijä päätyy aliverkkotunnukseen, jossa ei ole HSTS-otsikkoa.
Meer documentatie
# level: endpoint
http_security_header_strict_transport_security

Verkkosivustolla vierailu kunnioittaa yksityisyyttä

Meer documentatie
# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Ylimääräiset palvelut (avoimet portit)

  • Tavoite: Minimoidaan verkkopalvelut. Julkisen internetin on sisällettävä vain sellaisia palveluja, joiden on oltava kaikkien saatavilla maailmanlaajuisesti.
  • Raskain luokitus:Oranssi
  • Mitattu: Nmap
  • Dokumentaatio: Wikipedia (avoimet portit)
Meer documentatie
# level: endpoint
ports

STARTTLS Läsnäolo (sähköposti)

  • Tarkoitus: mahdollisuus lähettää salattua sähköpostia sähköpostipalvelimelle lähettäjänä.
  • Raskain luokitus:Oranssi
  • Mitannut: internet.co.uk
  • Dokumentaatio: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_starttls_tls_available

Sähköpostin salaus NCSC:n vaatimusten mukaisesti

  • Tarkoitus: mahdollisuus lähettää salattua sähköpostia sähköpostipalvelimelle lähettäjänä.
  • Raskain luokitus:Oranssi
  • Mitannut: internet.co.uk
  • Dokumentaatio: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_dashboard_tls

Palvelimen sijainti (IP-paikannus)

Meer documentatie
# level: url
location_server
location_mail_server
location_third_party_website_content

Muut verkkosivuston otsikot (X-Frame-Options jne.)

Meer documentatie
# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)