Tietovuodot – venäläistä rulettia, tarkoin valittuja kohteita vai tilanteen hyödyntämistä?

By Thu, June 3rd 2021

Data breach

Kyberrikollisuus on kasvanut kansainväliseksi, rikollisen näkökulmasta kannattavaksi liiketoiminnaksi perinteisten liiketoimialojen joukkoon. Tietovuotojen taustalla ovat yleensä autoritaaristen valtioiden tukemat hakkeriryhmät, itsenäiset rikollisryhmät tai lain väärälle puolelle haksahtaneet taitavat informaatioteknologiaa osaavat henkilöt, jotka päivätyönään etsivät koodinpätkän tai haittaohjelman kokoisia aukkoja yritysten internet-rajapinnasta. Erilaisia virus- sekä haitta- ja kiristysohjelmia koodataan päivittäin kymmeniä- jopa satojatuhansia – joko täysin uusia tai muunnoksia olemassa olevista ohjelmista – ja lasketaan julkiseen verkkoon tai tarkoituksellisesti kohdistetaan erilaisin tekniikoin kohdeyrityksiin.

Yritysten toimintaympäristöt ja -tavat ovat digitalisaation myötä muuttuneet radikaalisti. Pilviratkaisut, laitteiden ja verkkojen virtualisointi, omien laitteiden käyttö sekä etätyö ovat monimutkaistaneet tiedon käytettävyyttä, hallittavuutta ja suojaamista. Ne ovat myös lisäneet riskejä ja monimutkaistaneet järjestelmäarkkitehtuuria sekä integraatiokyvykkyyttä. Oman lisän kokonaisuuteen tuo teknologian valitsemisen vapaus.

Huolimattomuus- tai välinpitämättömyys kostautuu

Mikään yksittäisen tietoturvauhan eliminoinnin täsmäratkaisu tai mitkään laajemmat yrityksen tietoturva-arkkitehtuuri- tai teknologiaratkaisut eivät ole täysin vedenpitäviä. Lähtökohtaisesti voi aina ajatella, että yrityksillä on runsaasti haavoittuvuuksia tai selkeitä tietoturva-aukkoja verkossaan ja laitteissaan. Pelkästään ohjelmistotoimittajat julkaisevat lähes päivittäin korjauspaketteja paikkaamaan havaitut virheet. Täysin oma lukunsa on ihmisten huolimattomuus- tai välinpitämättömyysvirheistä aiheutuvat tietoturvauhat.

Kun yhdistetään tarkoituksellinen ja pahantahtoinen hyökkäys yritysten tietoa tai muuta arvokasta omaisuutta kohtaan ja huomioidaan tietoturva-aukot yrityksen suojauksessa, niin miten tietovuodot sitten käytännössä syntyvät? Onko se täysin sattuman kauppaa ja huonoa tuuria, että juuri meidän yrityksemme joutui kohteeksi vai onko taustalla tarkoin valittu strategia hyökkäyksen toteuttamiseksi? Käytännössä asia on niin, että mikäli hyökkääjällä on selkeä motivaatio ja tahtotila varastaa rahaa tai liiketoiminnan kannalta salaista tietoa, niin keinot hyökkäyksen toteuttamiseen kyllä löytyvät. Kalastuskampanjat (Phishing), työntekijöiden sosiaalinen huijaaminen tai ”vasaralla ikkunasta sisään” ovat tarkoin harkittuja keinoja saada tavoittelemansa.

On turha kaivaa tunnelia, jos voi kävellä ovesta sisään

Entä tietovuodot? Arvokasta tietoa on suhteellisen helppo poimia, kunhan tietää, mistä ja miten sitä kannattaa hakea.

Kysymyksiä on varmasti enemmän kuin vastauksia ja samoin keinoja tiedon anastamiseen kuin sen suojaamiseen. Tämän päivän trendi näyttää olevan se, että hedelmät poimitaan sieltä, mistä ne helpoiten saadaan. Kävimme läpi v. 2020 tapahtuneita tietovuotoja ympäri maailmaa ja halusimme ymmärtää tarkemmin, millaisia syitä tietovuotojen taustalla on ollut, miten ne on toteutettu ja olivatko yritykset niihin jollain tavoin varautuneet.

Tutkituissa tapauksissa jokin alue oli selkeästi pettänyt. Millaisilla toimenpiteillä ja ratkaisuilla voisi mahdollisesti ehkäistä vastaavanlaisia hyökkäyksiä?
Emme tässä perkaa ja analysoi kaikkia tietovuototapauksia, vaan käymme läpi joitakin selkeitä tapauksia, joita pienellä vaivalla, huolellisuudella sekä lähes rutiinitoimenpiteillä voisi selkeästi nostaa tietoturvan tasoa ja täten ehkäistä tehokkaammin tietovuotojen syntymistä.

Tietovuotojen määrä vuonna 2020 oli Identityforce-sivuston mukaan n. 80. Listassa ovat suurimmat tietovuodot, ja joista löytyy julkisten lähteiden mukaan runsaasti tietoa. Karkeasti tapausten luonteet voidaan jakaa seuraavasti:

  • Point-Of-Sale – haavoittuvuuksia 6kpl, Phishing-hyökkäyksiä 5 kpl,
  • toimitusketjuun kohdistuvia tietovuotoja 8 kpl,
  • kiristys- tai haittaohjelmien uhreja 7 kpl,
  • joitakin yksittäisiä sisäpiirivuotoja, pimeiltä markkinoilta ostettuja identiteetti-/käyttäjätunnuksia.

Selkeästi suurin osa julkisten tietojen mukaan vaikutti olevan suojaamattomia tietokantoja tai väärin konfiguroituja laitteita. Kyseessä ei ole akateeminen tutkimus, vaan yleinen näkemys ja pohdinta siitä, mistä syistä tämän otoksen yritykset ovat joutuneet tietovuotojen uhreiksi.

Trendi näyttää olevan se, että panokset kohdistetaan sinne, mistä haittaohjelman tai koodinpätkän kokoisen aukon löytää helpoiten. Rikollisillakin on taloudellinen tuotos-panos-ajattelumalli. Periaatteena on, että  on turha  kaivaa tunnelia, jos voi kävellä ovesta sisään.

Toimintatapojen muutoksella on tietoturvassa merkitystä

Keskitymme kahteen tietovuotokategoriaan ja miten suhteellisen vaatimattomilla kustannuksilla, teknisellä panostuksella ja toimintatavan muutoksella voisi selkeästi nostaa tietoturvan tasoa ja pienentää olennaisesti riskiä. Ensimmäinen toimintatapojen muutos on käyttäjien moninkertainen tunnistautuminen ja toinen verkon säännöllinen skannaaminen haavoittuvuuksien ja konfiguraatioiden kannalta.

Credential Stuffing Attack on kyberhyökkäys, jossa hyökkääjät käyttävät hyväkseen listoja murretuista käyttäjätunnuksista ja salasanoista tunkeutuakseen yrityksen järjestelmiin. Hyökkäyksessä käytetään hyökkääjän hallinnoimien bottien eli verkossa olevien saastuneiden tietokoneiden valtavaa prosessikapasiteettia automaation ja skaalautuvuuden toteuttamiseksi. Hyökkääjät lähtevät siitä oletuksesta, että loppukäyttäjät eli yritysten asiakkaat käyttävät tuttua käyttäjätunnusta ja salasanayhdistelmää kaikkiin sovelluksiin ja palveluihin. Näin on suhteellisen helppoa tunkeutua järjestelmiin listalla olevien tunnusten ja salasanojen avulla. Internet on pullollaan ilmaista teknologiaa hyökkäysten  toteuttamiseksi. Tällaisia hyökkäyksiä Pishing-kampanjoiden lisäksi ovat J-Crew, Zoom, Nintendo, Activision. Lisäksi työntekijöiden sähköpostin käyttäjätunnukset on jollain tavalla pitänyt saada haltuun. Hyökkäysten kohteina voi hyvinkin olla erilaisia yrityksiä, kuten esimerkiksi: Utah Patology Services, GoDaddy, Ambry Genetics, Marriott International, T-Mobile ja Carnival Cruise Lines. Monet näistä esimerkeistä ovat Atlantin toisella puolen, mutta ei mitenkään poikkea siitä, miten ihmiset ylipäätään käyttävät käyttäjätunnuksiaan ja salasanojaan. Kuka voi sanoa käsi sydämellä , että käyttää jokaisessa sovelluksessa eri salasanaa? Olemme tältä osin laiskoja ja ehkäpä hieman piittaamattomiakin. Voin kokemuksesta sanoa, että on huomattavasti varmempi olo kun tietää käyttävänsä eri salasanoja eri sovelluksiin. Silloin tietovuoto  yrityksen järjestelmiin, jota  on käyttänyt ei maailmaa kaada. Salasanat pitää luonnollisesti olla pitkiä ja vahvoja.

Ihminen on tietoturvan heikoin lenkki

Mitäpä tietovuototilanteessa sitten voidaan tehdä? Tunnuksesi on joutunut hyökkääjien käsiin ja identiteetin reaaliarvo on heidän käsissä pudonnut n. kahteen senttiin (0,02 euroa). Todennäköisesti et ole edes tietoinen, että tunnuksiasi käytetään pitkin verkkoa erilaisten palveluiden ja tuotteiden ostoihin Asian tullessa julkisuuteen vatsahapot poreilee varsin äänekkäästi. IBM:llä on murrettuihin käyttäjätunnuksiin ja salasanoihin varsin oiva ja helppo ratkaisu – mobiili- ja selainsovellusten osalta moninkertainen tunnistautuminen.

Perinteisen oikeuskäsityksen mukaan ollaan syyttömiä, kunnes toisin todistetaan. Tietoturvan kannalta toimii paremmin strategia, jossa ollaan aina syyllisiä, kunnes kerätyt todisteet (käyttäjätunnus/salasana + monivaiheinen tunnistautuminen + käyttäjän toiminnan automaattinen analysointi) riittävät vapauttavaan tuomioon. Ihminen on yksi tietoturvan heikoimmista lenkeistä ja hänen identiteettinsä avainasemassa tietomurtostrategioita suunniteltaessa.

Hallintatunnukset haltuun ja “Zero Trust”

Valta ja valtaoikeudet ovat mukavia asioita tietojärjestelmissä, koska niiden avulla pystyy nopeasti saavuttamaan halutun lopputuloksen. Mutta paljonko sitä valtaa lopulta on ja kuka määrittelee sen tason? Kovin usein käyttövaltuuksien taso ylittää työtehtävien kannalta tarvittavan minimitason. Miksi meillä pitäisi ylipäätään olla enempää valtaa toteuttaa “asioita” tietojärjestelmissä kuin työmme vaatii? Hyvin määritellyt käyttövaltuudet muodostavat oleellisen osan tietoturvastrategiaa.

Hyökkääjän kannalta peruskäyttäjän kaapattu identiteetti on hyvä lähtökohta, mutta olisiko tarjolla jotain herkullisempaa? Kyllä vain – hallintatunnus. Hallintatunnukset ovat niitä tunnuksia, joilla toteutetaan tietojärjestelmien ja teknologioiden kaikkein kriittisimmät toiminnot. Näiden tunnusten avulla voidaan valmistella hyökkäystä huolella, kun päästään ohittamaan monia suojausmekanismeja. Vinkki: Hallintatunnukset haltuun!

Kuinka sitten pystytään parantamaan loppukäyttäjien käyttökokemusta ja tehostamaan työn tuottavuutta ilman, että tietoturvan tasosta tarvitsee tinkiä? Avainasemassa on analytiikka, joka tutkii reaaliajassa käyttäjän toimintaa ja tekee päätöksen siitä, tarvitaanko monivaiheista tunnistautumista. Pääsynhallinnan tietoturva on parhaimmillaan silloin, kun se näkyy käyttäjälle vain tarvittaessa.

Kaikki nämä mainitut asiat tulevat esiin, kun puhutaan käsitteestä “Zero Trust“. Onko se tuote, palvelu vai jokin muu? Se on jokin muu eli strategia. Zero Trust -strategia laittaa miettimään mikä on kunkin organisaation kannalta oleellista ja miten luodaan perusta kaiken sen turvaamiseen. Mikäli tuota mietintöä ei ole vielä aloitettu, nyt on hyvä aika toimia.

Konfiguroinnit, pääsynhallinta ja käyttäjäoikeudet kohdallaan

Toinen selkeästi erottuva syy tietovuotoihin oli suojaamaton tietokanta tai väärin tehty konfiguraatio. Käytännössä väärin tehty konfiguraatio voi tarkoittaa lähes mitä vain ja vaatii selkeästi enemmän tarkistuspisteitä ja suojauksia – aina applikaation koodin validoinnista, selaimen suojaamisen algoritmista ja versiosta tietokannan käyttöoikeuksiin ja tiedon luokitukseen.

OWASP Top 10 haavoittuvuuslistauksen mukaan Misconfiguration on ollut 10 listatuimman haavoittuvuuksien joukossa sen julkaisemisesta lähtien (2013). Listauksen mukaan syitä suojaamattomaan tietokantaan tai väärin tehtyihin konfigurointeihin löytyy käyttäjän selaimen suojauksen ja yrityksen back end – tietokannan suojauksen väliltä. Esimerkkejä haavoittuvuuskohteista:

  1. käytetyt verkkoprotokollat
  2. webpalvelin
  3. applikaatiopalvelin
  4. tietokanta
  5. custom-koodi
  6. asennetut virtuaalikoneet
  7. käytetyt palvelut
  8. avoinna olevat portit jne.

Miten näitä väärin määriteltyjä konfiguraatioita voisi tehokkaasti havaita ja korjata tilanne mahdollisimman nopeasti? Keinoja on tietysti useita ja riippuen siitä, missä kohtaa järjestelmässä haavoittuvuus on. Esimerkiksi tuotanto- ja kehitysympäristöt pidetään erillään ja molempiin on omat käyttäjätunnukset. Pääsynhallinta ja käyttäjäoikeudet ylipäätään pitää olla sillä tasolla, että työ voidaan tehdä minimaalisilla oikeuksilla ja applikaatioarkkitehtuurin on oltava selkeästi segmentoitu. Aliverkot ja domainit pitää olla selkeästi eroteltu toisistaan ja suojattu esim. palomuureilla.

Tehokas ja nopea virheellisten asetusten havaitseminen on tärkeää

Hyvin nopea, tehokas ja visuaalinen tapa varmistaa määritetyt konfiguraatiot on IBM:n SIEM – järjestelmän Risk Manager –moduuli. Se käytännössä tarkistaa jokaisen laitteen konfigurointimääritykset – esim. palomuurien, reitittimien, kytkimien, IPS-laitteiden määritykset. Risk Manager korreloi haavoittuvuusdatan ja kolmannen osapuolen tietolähteet ja luokittelee laitteet riskin todennäköisyyden ja vaikutuksen perusteella. Risk Managerin avulla voidaan tarkistaa reaaliajassa laitteen kytkennät verkossa perustuen käytettyihin sovelluksiin, portteihin, protokolliin ja esim. verkkosivuihin, joita laite käyttää kommunikointiin.

Konfigurointimonitorin avulla voidaan tarkistaa ja verrata laitteiden määrityksiä keskenään, hallita tietoturvakäytäntöä sekä muutoksia verkkoympäristössä. Ratkaisun avulla voidaan myös tarkistaa laitteen konfigurointihistoria, liittymäpintoja sekä sääntöjä (palomuuri, reititin, kytkin, IPS jne.) sekä  verrata laitteiden välisiä epäjohdonmukaisuuksia ja konfigurointimuutoksia, jotka aiheuttavat riskiä yritykselle.

Graafisen verkkotopologian avulla voidaan visualisoida fyysisen verkkoinfrastruktuurin ja liitettävyyden OSI 3 tason mukaista topologiaa. Topologia rakentuu laitteista saatavista konfiguraatiomäärityksistä. Siitä nähdään visuaalisesti, miten laitteet kommunikoivat keskenään, mitä polkua laitteet käyttävät kommunikoinnissa mukaan lukien portit, protokollat ja säännöt.

Risk Managerissa on lisäksi ns. tietoturvakäytäntömonitori (Policy Monitor), joka kerää tietoa laitteiden konfiguraatioista, verkkoliikennedatasta, verkko – ja tietoturvatapahtumista sekä haavoittuvuustiedoista ja muodostaa näiden perusteella riskitason sekä soveltuvan vastineen, miten riski mitigoidaan. Risk Manager sisältää myös sapluunan eri yksityisyys- ja sääntöjenmukaisuusstandardeille kuten PCI DSS, HIPAA, GDPR ja ISO 27011.

QRadar Risk Manger moduulilla voidaan nopeasti ja reaaliajassa havaita mahdolliset väärin tehdyt konfiguraatiot verkkoympäristössä ja eliminoida tehokkaasti potentiaaliset tietovuotoriskit. Se edellyttää luonnollisesti sitä, että toimenpiteestä tulee rutiininomainen ja sitä tehdään säännöllisesti. Monessa havaitussa tietovuodossa, joita tutkimme, olisi selkeästi ollut mahdollisuus ehkäistä toteutuneet vuodot.Yritykset kuitenkin paikkasivat nopeasti paikkasivat olemassa olevat puutteet.

Rikolliset eivät lepää

Tässä  siis kaksi erilaista ja tehokasta ratkaisua tietovuotojen ehkäisemiseen. Mutta kuten sanottu mikään tietoturvaratkaisu tai -arkkitehtuuri ei ole vedenpitävä, vaan se on jatkuva prosessi, jonka toimivuutta on valvottava reaaliajassa ja puututtava välittömästi esiin tuleviin haavoittuvuuksiin ja tietoturva-aukkoihin. Näillä menetelmillä voidaan kuitenkin nopeasti ja tehokkaasti ehkäistä mahdollisia tietovuotoja. Niihin kannattaa varautua, sillä rikolliset eivät lepää hetkeäkään ja mikä se on tietoja varastaa, jos aukot ovat ilmiselvästi näkyvillä.

Mikäli IBM:n tietoturvaratkaisut kiinnostavat, niin ota yhteyttä

Jouni Huttunen, Senior Security Specialist, +358 50 311 22 86 / jouni.huttunen@fi.ibm.com

Kim Rejman, Security Threat Management, +358 50 317 66 44 / kim.rejman@fi.ibm.com

QRadar Risk Manager Tutorials:
White Board Intro https://youtu.be/vj2mCONlRQQ
Configuration Connections & Topology – Risk Manager in action: https://youtu.be/osxDKH6zpZw – pituus 9m 40 s
Policies – Policy Monitor – Risk Manager in action: https://youtu.be/QCcEzBQhyEk – pituus 9m ja 9s
More on Policies – Risk Manager in action: https://youtu.be/fXNa_-HU35M – pituus 9m 8s – edelleen
Simulation of Changes: https://youtu.be/KywEpLd3m9k – pituus 14m 32s

IBM EMEA Security Summit 2021

0 Print

[autopilot_shortcode]