Kustannustehokkaan kyberturvallisuuden jalkauttaminen (osa 1/2)
Pekka Viitasalo
"Kyberturvallisuus 101"
Kyberturvallisuus ja kyberpuolustus kuulostavat massiivisilta termeiltä, joihin on helppo yhdistää kriittinen infrastruktuuri ja valtiollisen tason toimijat. Monille pienemmille toimijoille ajatus kyberpuolustuksesta voi tuntua vieraalta ja jopa tarpeettomalta.
Kun sotateollisuusjätti Lockheed Martin korkattiin käyttämällä astinlautana tietoturvajätti RSA:ta, moneen tietoturva-ammattilaiseen tarttui ajatus siitä, että kohdistettua hyökkäystä ei voi torjua. Ajatus on toki osittain oikea: osaava, motivoitunut ja päättäväinen hyökkääjä pääsee läpi suojauksesta. Väärää tällaisessa defaitistisessa asenteessa on se, että pelkkä tietomurto ei kaada maailmaa vaan tietomurron saalis on saatava toimitettua hyökkääjälle.
FireEyen viime vuonna tehdyn tutkimuksen mukaan 97 % tutkituista organisaatioista oli murrettu ja 60 %:lla organisaatioista oli verkossaan haittaohjelmia, jotka kommunikoivat hyökkääjän kanssa. Mandiantin viime vuotisen raportin mukaan mediaaniaika, jonka hyökkääjät ovat saaneet olla havaitsemattomina on 212 päivää. Target-kauppaketjun luottokorttitietojen varastaminen vaati hyökkääjiltä kolme viikkoa, ennen kuin korttinumeroja alettiin lähettämään hyökkääjälle.
Pysäytä hyökkääjä ennen kuin tiedot lähtevät ulos
Tietomurron torjunnassa ei ole useinkaan kyse sekunneista tai minuuteista vaan päivistä tai viikoista. Jos hyökkääjän aikeet pysäytetään ennen saaliin keräämistä, hyökkäys on epäonnistunut ja uhrille ei koidu merkittävää vahinkoa. Pienilläkin yrityksillä on mahdollisuus torjua voimakaskin hyökkääjä havaitsemalla tietomurto riittävän ajoissa.
Tietomurtojen havaitsemiseen ei tarvita ylettömän kalliita haittaohjelmien räjäyttäjiä, vaan pienilläkin ponnistuksilla voidaan päästä hyviin tuloksiin. Esitän seuraavassa muutamia toimenpiteitä, jotka on mahdollista tehdä pienelläkin budjetilla ja jotka havaitsevat merkittävän osan haittaohjelmista ennen kuin ne ehtivät toimittamaan keräämänsä tiedon hyökkääjälle. Edellytys valvonnalle on kuitenkin se, että Internet-rajalla olevat kaikki lokia tuottavat laitteet todellakin tuottavat lokeja. Siis ainakin palomuurin pitää lokittaa kaikki lähtevät ja saapuvat paketit sekä DNS-palvelimen tule lokittaa kaikki kyselyt. Samoin Internet-rajalla tulee toteuttaa tarpeettoman liikenteen suodatus. Käsittelimme keinoja tietomurtojen havaitsemiseksi DNS-kyselyistä blogissa viime keväänä.
Valvonnan primaaritavoite on havaita haittaohjelmien tarvitsemat komento- ja kontrollikanavat (C&C, Command and Control).
Tähän pureutuu blogikirjoituksen jälkimmäinen osa.
Kirjoittaja Pekka Viitasalo toimii Nixussa johtavana konsulttina Adaptive Solutions -tiimissä (Nixu-termein zonessa) mottonaan kustannustehokas kyberturvallisuus.