Tivi: Harvinaisen hyvä merkki: "Hups, olemme tietomurron kohteena!"

30.3.2016

"Hups, olemme tietomurron kohteena!”

Jos joku sanoo yrityksessä näin, se on hyvä merkki. Suorastaan loistava.

Silloin havainnointikyky toimii, mikä on erittäin harvinaista. On paikannettu yksi tai useampi poikkeama, jotka on analysoitu.

Kun verkkorikolliset iskevät, yritys harvoin havaitsee itse tapahtunutta. Tyypillisesti joku ulkopuolinen osapuoli antaa vinkin. Tässä vaiheessa hyökkääjä on pesinyt verkossa viikkoja tai kuukausia, jopa vuosia.

Yritykset itse tunnustivat heikon havainnointikykynsä Kauppakamarin laajassa tietoturvaraportissa keväällä. Runsas kolmasosa uskoi havaitsevansa torjunta- ja hälytysjärjestelmiensä avulla, jos verkossa olisi käynnissä murto. Isoista yrityksistä tähän luotti puolet. Vain 13 prosenttia etsi uhkia lokitiedon avulla.

”Tämän päivän vaatimuksiin ei voi vastata ilman korkeatasoista havainnointikykyä, eikä sekään pelkästään riitä. Pitää olla myös kyky ymmärtää ja resursseja analysoida”, verkkolaitevalmistaja Ciscon tietoturvaliiketoiminnan päällikkö Juha Launonen sanoo.

Suomea on helppo pitää lintukotona. Ani harvoin julkisuuteen tulee tietoja murroista. Kulisseissa tehdään kuitenkin koko ajan tietomurtojen ja väärinkäytösten tutkintaa, forensiikkaa.

”Teemme Nixulla paljon forensiikkaa, ja Suomessa on kymmeniä alan asiantuntijoita. Se kertoo, miten paljon Suomessa tapahtuu asioita”, sanoo tietoturvayhtiö Nixun johtava asiantuntija Pietari Sarjakivi, joka vastaa yhtiön Cyber Defence Center -palvelusta.

Konsulttiyhtiö KPMG:n viime vuonna suomalaisille yrityksille tekemän tutkimuksen tulos oli huolestuttava:

”Tutkimukseen osallistuneista yrityksistä 40 prosenttia oli murrettu, eivätkä ne olleet tietoisia siitä”, KPMG:n teknisistä tietoturvapalveluista vastaava Matti Järvinen sanoo.

Linnoitus vuotaa

Tietoturva-ajattelu on pitkään matkinut linnojen rakentamista. Palomuuri, tunkeutumisen esto, käyttäjän tunnistus eli autentikointi ja tietoturvaohjelma vertautuvat linnan muureihin, vallihautaan, vartioituihin portteihin ja tunnussanaan. Kehittynyt versio yrittää puolustaa kerroksittain ja muistuttaa rakenteeltaan sipulia.

”Enää ei voi lähteä siitä, että yritetään estää hyökkäys, vaan ajatusmallista, että joku on jo sisällä”, Järvinen sanoo.

Tuntuu hurjalta. Mutta ajattelua on pakko muuttaa. Nyt pitää havaita tavalla tai toisella, kun suojaus jossakin kohdassa väistämättä vuotaa. Järvinen mainitsee syiksi nykyisten tietojärjestelmäkokonaisuuksien mutkikkuuden ja entistä ammattimaisemmat hyökkääjät.

Iso ongelma havainnointikyvyn rakentamisen tiellä on epätietoisuus uuden asian edessä. Ratkaisuksi ei ole tarjolla valmista kaavaa tai asiasta huolehtivia valmistuotteita. Teknologia ei kuitenkaan ole pullonkaula.

”Havainnointi on noussut agendalle osaksi sen ansiosta, että nyt on saatavilla kunnolliset graafiset käyttöliittymät. Kolme vuotta sitten ei ollut”, valottaa pohjoismaisen tietoturvayhtiö Combitechin myyntijohtaja Juha Montonen.

Tähtäimessä anomaliat

Yrityksen täytyy tavallaan luoda sisäinen tiedustelupalvelunsa. Vaikeuksia on tukalan paljon, mutta tuntemattomia uhkia ei tarvitse pöyhiä täydessä pimeydessä.

Havainnon hetket. Verkkohyökkääjät pyrkivät yleensä piileksimään, mutta eri vaiheissa hyökkäys jättää väistämättä jälkiä, joista käynnissä oleva tietomurto pystytään havaitsemaan.

Oli hyökkäys toteutettu millä tekniikalla tahansa, se aiheuttaa ainakin jossakin vaiheessa anomalioita eli poikkeamia normaalista. Havainnointi perustuu niiden tunnistamiseen.

”Hyökkäys aiheuttaa aina muutoksia. Koneeseen voi esimerkiksi tulla hidastumista, jolloin käyttäjä voi tehdä it-tukeen vikatiketin”, kertoo PwC:n Karo Vallittu. Hän vetää tilintarkastus- ja konsultointiyhtiön teknisen forensiikan Suomen-yksikköä.

Olennaista on havaita ja toimia mahdollisimman nopeasti, kun suojaus jossakin kohdassa pettää. Tietomurrot havaitaan kansainvälisesti keskimäärin runsaat 200 päivää murron onnistumisen jälkeen.

”Suunnitelmallisen työn kautta havaintoaikaa pystytään dramaattisesti lyhentämään. Mitä nopeammin voidaan reagoida, sitä helpommin ja pienemmin vaurioin tilanteesta voidaan toipua”, Ciscon Launonen sanoo.

Perinteistä linnoitusmallia ei tarvitse eikä pidä tyystin hylätä. Sen sisältämät anturit antavat yhä rungon, joka tuottaa havaintoja. Rungossa on kuitenkin paha puute.

”Sisäverkossa lateraalisen eli koneelta toiselle kulkevan liikenteen valvonta on lapsenkengissä”, tietoturvayhtiö Trend Micron maapäällikkö Kimmo Vesajokisanoo.

Lähtökohtana liiketoiminta

Tietoturvan asiantuntijat korostavat, että ennen kuin edes ajattelee tekniikkaa, täytyy ajatella omaa liiketoimintaa, sen jatkuvuutta ja riskienhallintaa.

”Suojausta pitää sitten kehittää sitä kautta, mistä uhkatekijät kohdistuvat ympäristöön ja prosessiin”, Ciscon Juha Launonen sanoo.

Kun lähtökohta on oikea, suojauksen investoinnit kohdentuvat oikein, samoin reagointi havaintoihin. Mitä kriittisempi järjestelmä, sitä nopeammin pitää reagoida ja mitoittaa vastatoimet oikealla kaliiperilla.

Mitä pienempi yritys on kooltaan, sitä tiukemmin on karsittava.

”Ei pidä pyrkiä suojaamaan joka ikistä palvelinta, pannua ja purkkia, vaan pitää keskittää vähäiset resurssit”, Nixun Pietari Sarjakivi sanoo. ”Pitää tehdä vähemmän, mutta paremmin.”

Pienikin yritys voi aloittaa sisäisesti ja vähäisin kustannuksin. Ensin tehdään riskianalyysi, joka kertoo, mikä on kriittistä ja mikä ei.

Sen jälkeen apua voi hankkia palveluna niin ostamiseen kuin itse havainnointiin. Saatavilla on esimerkiksi kuukausimaksuun perustuvaa palvelua, joka sisältää yrityksen verkkoon asennettavat laitteet ja datan analysoinnin vaikkapa kerran viikossa.

Tunne normaali

Teknisen havainnoinnin pohjaksi pitää mallintaa normaalitila. Puhutaan profiloinnista. Siinä oman liiketoiminnan tuntemus on arvossaan, koska kahta profiililtaan samanlaista yritystä ei ole.

”Poikkeaman pystyy havaitsemaan, jos pystyy tunnistamaan, kuinka järjestelmät käyttäytyvät normaalitilanteessa, kuinka paljon on liikennettä ja millaisella muisti- ja suoritinkuormalla”, PwC:n Vallittu sanoo.

Hyvä profilointi sisältää käytön ja prosessien mallintamisen. Prosessissa tapahtuva poikkeama voi olla merkki hyökkäyksestä, kuten havainto, että it-ylläpitäjä yhtäkkiä tehtailee uusia käyttäjätunnuksia.

Normaalitilan tunteminen auttaa myös erottamaan jatkuvan taustakohinan huomiota vaativista todellisista poikkeamista. Esimerkiksi porttiskannaukset ja salasanojen arvailut ovat taustakohinaa, jota hyökkääjät aiheuttavat lakkaamatta automatisoiduilla työkaluilla.

Profilointi ei saa olla liian tiukkaa. Muuten käsissä on kasa vääriä hälytyksiä.

”Ne ovat pahin riski epäonnistua havainnointikyvyn rakentamisessa”, varoittaa verkon tietoturvalaitteita valmistavan Fortinetin Suomen-maajohtaja Jukka Saarenmaa.

Hän pitää profiilin rakentamisvaihetta jo itsessään hyödyllisenä. Sen yhteydessä voi löytyä asioita, jotka pitää kitkeä pois, kuten salattujen tor-verkkojen liikennettä.

Älä raahaa rautaa rajalle

Mistä havainnointikyvyn rakentaminen kannattaisi aloittaa? Perinteinen tyyli suojautua uusilta uhkilta on ollut hankkia uusia tietoturvalaitteita tai -ohjelmistoja.

”Ei kannata heti ensimmäisenä raahata rautaa rajalle”, PwC:n Karo Vallittu neuvoo. Ensin pitää katsoa, mitä olemassa olevista tuotteista saa irti.

Tietomurtojen tutkijat törmäävät liiankin usein siihen, että yrityksellä on paljon havaintovälineitä. Niitä ei ole vain osattu ottaa käyttöön. Verkon valvonnan ominaisuudet täytyy panna päälle.

”Monesti esimerkiksi tunkeutumisen estotuotteet on pantu ainoastaan havainnointitilaan, ei estotilaan”, Fortinetin Saarenmaa kertoo.

Hankintoja voidaan joutua tekemään, jos varustelu on höyhensarjaa suhteessa liiketoiminnan riskinsietokykyyn, eikä tuota tarvittavaa dataa. Saatavilla on paljon laitteita ja tuotteita, joista kullakin saa otteen jostakin osa-alueesta.

Remontin tarvetta voi ilmetä verkon arkkitehtuurissa.

”Puhutaan segmentoinnista, jopa mikrosegmentoinnista”, Saarenmaa sanoo.

Verkko täytyy vyöhykkeistää myös sisäisesti entistä tiukemmin, koska jokainen vyöhykeraja hidastaa hyökkääjää ja antaa mahdollisuuden havainnon tekoon.

Keskitä lokidata, nauhoita liikenne

Poikkeamien penkominen täytyy aloittaa jostakin kohdasta. Mistä?

”Aloituskohdan ratkaisevat itselle kriittiset kohdat, mutta esimerkiksi työasemaverkon selailuliikenne on hyvin mielenkiintoinen paikka, koska iso osa hyökkäyksistä tulee sieltä”, KPMG:n Matti Järvinen evästää.

Keskeiset datalähteet poikkeamien etsimisessä ovat verkkoliikenne ja lokit. Lokitiedot täytyy ottaa keskitetysti talteen yhteen paikkaan. Data ei saa jäädä laitteelle, jolla se on kerätty, koska hyökkääjät haluavat poistaa lokitapahtumia.

Verkkoliikenteen havainnoinnin yksi tavoite on tunnistaa mahdollisia yhteyksiä hyökkääjän komentopalvelimille. Tosin hyökkääjät osaavat virittää haittaohjelmansa niin, että ne ottavat niukasti yhteyksiä, naamioivat tai kätkevät liikenteensä.

”Verkon valvonnassa todella tehokas väline on liikenteen nauhoitus eli koko paketin kaappaus”, Pietari Sarjakivi sanoo.

Hän kehottaa tarkkailemaan lokeista esimerkiksi erikoisia kyselyitä, epäonnistuneita tapahtumia tai asioita, joita on tapahtunut kaikkein vähiten.

Käsipelillä seuranta on mahdotonta. Ainoa järkevä keino on etsiä datasta poikkeamia automatisoidusti. Automaatio estää selvästi pahan, sallii hyvän ja penkoo harmaata aluetta. Ihmistyötä tarvitaan senkin jälkeen paljon.

Yksi hyödyllinen työkalu on tietoturvatiedon ja -tapahtumien hallintatuote eli siem (security information and event management). Siem on helposti kallis ratkaisu, mutta kohtuullisen edullinen, jos sillä keskitytään vain olennaisen tiedon suojaamiseen.

Korreloi tietoa

Tiedustelupalvelut tunnetusti korreloivat informaatiota eri lähteistä eli etsivät riippuvuuksia. Samalla tavalla yrityksen pitäisi yhdistellä tietoa, heikkoja ja vahvoja signaaleja.

”Vääränlainen kombinaatio oikeaa dataa on asia, joka pitäisi havaita”, Nixun Pietari Sarjakivi sanoo.

Hän korostaa erityisesti käytön seurantaa (uba, user behavior analysis).

”Se on helppo tapa tunnistaa minkälainen tahansa hyökkäys. Jos tuotekehityksessä oleva kaveri rupeaa muokkaamaan palkanmaksutietoja, hälytyskellojen pitäisi soida”, hän sanoo.

Lisäksi fyysinen kulunvalvonta ja verkon uhkien havainnointi on hyvä kytkeä toisiinsa. Jotakin saattaa olla vinossa, jos esimerkiksi kulunvalvonta kertoo, että työntekijä ei ole talossa, mutta verkon valvonnan mukaan hän on kirjautuneena sisäverkossa, eikä esimerkiksi vpn-etäyhteydessä.

Korreloinnin piiriin on hyvä liittää myös it-tuki.

”Jos it-tukipyyntöjen määrä kasvaa, eikä siihen ole selvää syytä, se on perusteltu syy miettiä, onko jotain tapahtumassa”, PwC:n Karo Vallittu sanoo.

Hän kehottaa vahtimaan keskitettyä käyttäjävaltuushallintaa, jos alkaa tuntua, että jotakin on vinossa. Jos hyökkääjä saa haltuunsa yhdet verkon käyttäjätunnukset, hänen ensimmäinen päämääränsä on pyrkiä aktiivihakemistoon, ldapiin tai muuhun keskitettyyn käyttäjähallintaan varmistaakseen jalansijan järjestelmässä.

Tiedon lähteeksi ei riitä pelkästään oman verkon sensorien tuottama data. Ulkoista dataa saa isoilta tietoturvatuotteiden valmistajilta.

”Ulkoisesti tarvitaan viitekehystä, minkälaisia trendejä, haittaohjelmia, haittasivuja ja muita asioita tapahtuu ympäristössä”, Ciscon Juha Launonen neuvoo.

Ennakoi ja treenaa

Jos yritys havaitsee uhkaavia johtolankoja, täytyy nopeasti tulkita tilanne ja toimia. Onko urkkija vasta matkalla maaliinsa? Miten vahvan jalansijan tämä on jo saanut? Jos hyökkääjä on jo syvällä, usein siirrytään forensiikkaan.

Reagointia täytyy suunnitella ennakkoon.

”Kun tuulettimessa on sitä itseään, ei ole aikaa suunnitella toimintamalleja”, PwC:n Karo Vallittu sanoo.

Yksityiskohtien kanssa ei pidä näperrellä. Pääasia on linjata, miten luodaan ripeästi riittävä tilannekuva, mikä on työnjako, mitä yritetään hoitaa omin voimin ja milloin hankitaan ulkopuolista apua, miten viestitään omassa organisaatiossa ja ulospäin, ja miten tilanteesta toivutaan.

Kun havainnointiin tosissaan ryhtyy, siitä tulee päättymätön jatkumo. Olennaista on myös tietää, miten kehitetty malli toimii. Siksi pitää tehdä ainakin pienimuotoisia treenejä silloin tällöin.

”Joku sotapäällikkö sanoi, että jokainen suunnitelma kestää ensimmäiseen tulikontaktiin asti. Sen verran pitää olla urheiluhenkeä, että vähän harjoitellaan”, Karo Vallittu sanoo.

Juttu on julkaistu alun perin Tivissä 11/2015.

Artikkelia varten on haastateltu seuraavia asiantuntijoita: KPMG:n teknisten tietoturvapalvelujen vastuukonsultti Matti Järvinen, Ciscon Suomen ja Baltian tietoturvaliiketoiminnan päällikkö Juha Launonen, Combitechin kyberturvan myyntijohtaja Juha Montonen, VAHTI-pääsihteeri ja Valtorin riskienhallintojohtaja Kimmo Rousku, Fortinetin maajohtaja Jukka Saarenmaa, Nixun johtava asiantuntija Pietari Sarjakivi, PwC Suomen teknisen forensiikan yksikön vetäjä Karo Vallittu ja Trend Micron maapäällikkö Kimmo Vesajoki.

Lue uutinen: Tivi.