- COMP.SEC.100
- 9. Turvatoimet ja tietoturvapoikkeamien hallinta
- 9.5 Toteuta: Hyökkäyksen lieventäminen ja vastatoimet (syventävä)
Toteuta: Hyökkäyksen lieventäminen ja vastatoimet (syventävä)¶
SOIM-yhteisö on pitkään keskittynyt havaitsemiseen ja analysointiin tutkimuksen ja operatiivisen käyttöönoton näkökulmasta. MAPE-K-silmukan viimeisen osan automatisointiin ei ole ollut suurta halukkuutta, koska järjestelmä- ja verkko-operaattorit pelkäävät menettävänsä ympäristöjen hallinnan. On kuitenkin monia syitä, miksi olisi tärkeää kehittää automaattista lieventämistä. Tämä on tärkeä aihe, kuten näkyy esim. NIST:in Respond and Recover -aiheissa.
Tunkeutumisen estojärjestelmät (syventävä)¶
IDPS-sensoreita on laajennettu sisältämään suoritus-ominaisuuksia hyökkäyksiin reagoimiseksi. IDPS:llä on kyky toimia, kun se tekee havainnon valvotusta tietovirrasta. Tämä edellyttää kykyä toimia yhdyskäytävänä (gateway) tai välityspalvelimena (proxy), jonka kautta kaikki tiedonvaihto analysoidaan. Kun tehdään päätös, että pahantahtoista toimintaa on havaittu, tietovirtaan voidaan soveltaa lisätoimintoja, kuten estäminen, lopettaminen tai datavirran muuttaminen. Lisätoimet riippuvat havaitsemisen luotettavuudesta ja yleinen käytäntö on rajoittaa toimet pahantahtoisen toiminnan allekirjoitusten osajoukkoon väärinkäytön havaitsemiseen perustuvissa IDPS-sensoreissa.
IDPS-sensorien suorittamat toiminnot linkitetään suoraan havaitsemisen tulokseen. Sellaisenaan suunnitteluvaihe suoritetaan staattisen konfiguraation kautta, ja hyökkäykseen reagointi on siten riippumaton kontekstista, jossa hyökkäys tapahtuu.
Koska hyvin tunnistettuihin hyökkäyksiin tulee vastata reaaliajassa, moderni verkkopohjainen IDPS toimii yhdistäen tunnistuksen ja palomuurin. Jos sensori havaitsee pahantahtoista toimintaa, paketti pudotetaan tai hylätään välittömästi tai yhteys katkaistaan. Tämän ratkaisun etuna on, että hyökkäykset käsitellään heti sitä mukaa kun niitä esiintyy. Virhehavainnoilla on suora vaikutus IDPS:n tehokkuuteen, virhehavainnot voivat estää palvelun laillisilta käyttäjiltä tai osa hyökkäyksistä voi päästä läpi huomaamatta. IDPS:n huonona puolena on toiminta pakettikerroksessa. Tämä aiheuttaa sivuvaikutuksia, jotka voivat vuotaa tietoa hyökkääjälle. Koska IDPS-sensori on laite, joka voi katkaista verkkoyhteyden, tästä aiheutuu yksi mahdollinen epäonnistumispiste ICT-infrastruktuuriin.
Viime aikoina IDPS:t ovat kehittyneet muokkaamaan pakettien hyötykuormia, puhutaan “virtuaalipaikkaamisesta” (virtual patching). Tuloksena suojeltava palvelin vastaanottaa harmitonta sisältöä hyökkääjän tarkoittaman sisällön sijaan ja hyökkääjälle lähetetty vastaus osoittaa, että hyökkäys on epäonnistunut. Tässä tärkein etu on, että hyökkäyksen estäminen ei vaadi datavirran rikkomista.
Palvelunestohyökkäykset (syventävä)¶
Alue, jossa erityisesti tarvitaan automaattista verkkopohjaista hyökkäysten vaikutusten lieventämistä, ovat palvelunestohyökkäykset (denial of service, DoS) ja erityisesti laajamittaiset hajautetut palvelunestohyökkäykset (DDoS). DDoS hyökkäysten määrä ja voluumi ovat kasvaneet jatkuvasti. Arbor Networksin vuoden 2016 kyselyssä todettiin, että puolet vastanneista pilvipalveluiden tarjoajista kärsi yhteyksien katkomisesta, millä oli suuri vaikutus heidän liiketoimintaansa. Esineiden Internetiä (IoT) infrastruktuuria hyödyntävien hyökkäysten ilmaantuminen ja niiden käyttö DDoS hyökkäyksiin (esim. Mirai), on aiheuttanut hyökkäysmääräennätyksiä. Viime aikoina on tutkittu myös DDoS vahvistushyökkäyksiä (amplification attack), jotka hyödyntävät protokollia (DNS, NTP) luomaan suuria liikennemääriä pienillä kaistanleveysvaatimuksilla.
DDoS-hyökkäykset ovat laajamittaisia ilmiöitä, jotka vaikuttavat moniin Internet-infrastruktuurien komponentteihin ja operaattoreihin autonomisten järjestelmien (AS) operaattoreista pilvipalveluntarjoajien palveluihin. Hyökkäyksillä tiettyihin palveluihin on myös laajat vaikutukset. Esimerkiksi DynDNS DDoS-hyökkäys vaikutti tunnettujen palveluiden (Netflix, Spotify, Twitter, jne) saatavuuteen. Palveluiden siirtyminen pilveen lisää jatkuvasti palvelunestohyökkäysten haittoja.
Laajuutensa ja vaikutustensa vuoksi DDoS-hyökkäykset ovat automaattisen korjaamisen ensisijaisia kohteita. Tämä on johtanut erityisten DDoS-vaikutustenvähentämispalveluiden syntymiseen. Nämä palvelut tarjoavat kuormanhallintapalveluita, esim. uusien palvelimien lisäämistä, liikenteen ohjausta muihin palveluihin tai liikenteen valikoivaa vähentämistä.
Klassisia liikennettä vähentäviä tekniikoita ovat esim. mustat listat IP-sisääntulosuodatuksella tai sovellustasolla käyttämällä TCP Syn -evästeitä oikean TCP-istunnon perustamisen varmistamiseksi. Näistä on apua DDoS-hyökkäyksiä vastaan, mutta ne eivät pysty estämään tai torjumaan erittäin laajamittaisia hyökkäyksiä.
MPLS:llä (Multiprotocol Label Switching) voidaan kuljettaa IP-paketteja ennalta määriteltyjen yhteyksien ylitse nopean runkoverkon solmujen kautta ilman, että solmujen tarvitsee tehdä reititystä. Tätä voidaan käyttää DDoS-hyökkäysten lieventämiseen, koska se mahdollistaa kaistanleveyden varauksen ja kaistanleveyden käytön hallinnan, jotta varmistetaan, että laillinen liikenne saa riittävän kaistanleveyden ja mahdollisesti haitallisesta liikenteestä päästään eroon. SDN:n (Software Defined Networking) käyttö perusverkonhallintatekniikkana pilvessä mahdollistaa verkon konfiguroinnin ja ohjauksen joustavuuden sekä yhteistyön Internet-palveluntarjoajien ja pilvioperaattoreiden välillä DDoS-hyökkäysten vähentämiseksi.
Verkkoyhteyksien estämisen lisäksi DoS-hyökkäykset voivat myös kohdistua tietojenkäsittelyn resursseihin, tallennustilaan tai tehoon. Esineiden internetin syntyminen ja kasvava tarve yhdistää edullisia, akkukäyttöisiä laitteita internetiin saattaa lisätä DoS-hyökkäyspintaa tulevaisuudessa.
SIEM: Alustat ja vastatoimet (syventävä)¶
SIEM-alustojen panos MAPE-K-silmukan toteuta -toimintaan on nykyään rajallinen. Kun analyytikot ovat määritellet ja vahvistaneet suunnitelman, muut toiminnot, kuten muutostenhallintatikettijärjestelmät ottavat homman haltuun ja varmistavat, että toimet ovat asianmukaisia ja eivät haittaa liiketoimintaa.
SOC:n sisällä analyytikot käyttävät tikettijärjestelmiä seuratakseen tietoturvapoikkeaman etenemistä ja ratkaisua ja siirtävät tarvittaessa poikkeaman käsittelyn ammattitaitoisemmille tai erikoistuneemmille analyytikoille. Tikettijärjestelmiä voidaan käyttää myös tapaturman post mortem -analyysissä, SOC:n prosessien arvioimiseksi ja parantamiseksi.
SOC-analyytikot käyttävät tikettijärjestelmää siirtääkseen muutospyyntöjä muille tiimeille, jotka vastaavat verkon tai järjestelmän hallinnasta. Tämä voi ulottua turvallisuustoimintoihin, esim. jos organisaatiolla on oma palomuurin hallinta-alusta. Tämä on kuitenkin enimmäkseen manuaalista toimintaa, mikä viivästyttää uhkien lieventämistä. Joudutaan myös luottamaan siihen, että tikettijärjestelmän toisella puolella olevat järjestelmä- tai verkko-operaattorit ymmärtävät pyydetyn muutoksen ja toteuttavat sen nopeasti. Toisaalta viivästys nähdään usein myös tarpeellisena väärien positiivisten tulosten käsittelemiseksi ja vaikutusten arvioimiseksi liiketoimintaan.
SOAR: Vaikutusten ja riskien arviointi (syventävä)¶
Kyberturvallisuusriskien arviointi keskittyi aiemmin pääasiassa ICT-omaisuuden, koneiden, verkkolaitteiden ja linkkien suojaamiseen. Riskinarviointimenetelmät keskittyvät suojattavan omaisuuden määrittämiseen, analysoimalla niiden haavoittuvuuksia ja mallintamalla vaikutuksia. Vanhat hyökkäyspuut (attack tree) on otettu käyttöön hyökkäyskaavioina (attack graph) ohjelmistotyökaluissa. Niillä verkon tai järjestelmän turvallisuudesta vastaava henkilö voi mallintaa ICT-ympäristöä ja siihen liittyviä haavoittuvuuksia määrittääkseen reittejä, joita hyökkääjä voi seurata etsiessään vahingoitettavia kohteita. Hyökkäyskaaviot mahdollistavat hyökkääjän etenemisen todennäköisyyden, vahinkojen, ja mahdollisten hyökkäyksen estävien suojatoimien vaikutusten arvioinnin.
Liiketoiminnan näkökulmasta hyökkäyskaaviot ja haavoittuvuuksien hallintateknologiat mahdollistavat riskienhallinnan ja säännösten noudattamisen. Kun kyberhyökkäysten vaikutukset kasvavat ja niistä tulee mahdollisesti uhka ihmishengelle tai liiketoiminnan jatkuvuudelle, sääntelyviranomaiset määräävät suoja- ja havaitsemistoimenpiteitä varmistaakseen, että kyberriskiä hallitaan asianmukaisesti. Vaikka saatavilla on monia mahdollisia suojaustekniikoita identifioinnista ja autentikoinnista suodatukseen ja palomuuriin, ICT-infrastruktuurin monimutkaisuus ja yhteenliitettyneisyys johtaa siihen, että suojaaminen kaikkia mahdollisia uhkia vastaan on teknisesti tai taloudellisesti mahdotonta. Kyberturvallisuudesta tulee taloudellinen kompromissi suojatoimenpiteiden käyttöönoton, riskin ottamisen ja negatiivisten seurausten varalta otettujen vakuutusten välillä. Kybervakuuttaminen on ollut vaikeaa, mutta kiinnostus kyberturvallisuuden taloutta kohtaan on lisääntynyt, mikä saattaa tukea kybervakuutusmallien kehittämistä.
Toinen hyökkäyskaavioiden näkökohta on niiden käyttö vastatoimiin. Työ vastatoimien parissa on keskittynyt teknisiin ratkaisuihin, koska ne voidaan aktivoida estämään uhkia. Tämä tarkoittaa esim. palomuurisääntöjen lisäämistä tai muokkaamista ei-toivotun liikenteen estämiseksi, käyttäjätilien oikeuksien poistamista käytöstä, epäilyttävien koneiden verkko- tai järjestelmäpääsyjen estämistä, tai palvelun tai koneen sammuttamista. Vastatoimien käyttöönotto edellyttää vaikutustenarviointia sekä omaisuus- että liiketoimitatasoilla. Liiketoiminnan suuri riippuvuus teknisistä järjestelmistä aiheuttaa sen, että palomuurisäännöt tai suljetut tilit voivat haitata liiketoimintaa jopa pahemmin kuin varsinainen hyökkäys (ainakin jonkin aikaa). Uusissa vaikutustenarviointimalleissa tulee ottaa huomioon paitsi tieto- ja viestintätekniikka mutta myös liiketoimintapalvelut, joita ne tukevat, jotta voidaan arvioida kriittisyys ja ICT:n käyttäytymisen muuttamisesta aiheutuvat kustannukset.
Järjestelmän ylläpitotaidot (SRE) (syventävä)¶
Toinen olennainen näkökohta uhkilta suojaamisessa ja niiden vähentämisessä on, että ICT-ympäristöjen pitää valmistautua tietoturvapoikkeamien hallintaan ja lieventämiseen. Kuten turvallisuustekniikassa vaaditaan, operaattoreiden on määriteltävä ja otettava käyttöön menettelyt (esim. jatkuvuussuunnittelu) toiminnan jatkamiseksi silloinkin, kun uhkia tulee vastaan. On otettava käyttöön esim. IDPS-sensoreita, palomuuri- tai autentikointijärjestelmiä, jotka saattavat vaikuttavaa järjestelmien suorituskykyyn ja tavanomaiseen toimintaan. Myös kaikki turvallisuuteen käytettävät laitteet vaativat työntekijöitä valvontaan ja ylläpitoon.
Äskettäin tehty merkittävä muutos SRE:hen on soveltamisalan laajennus. Suurin osa, elleivät kaikki, kojeet ja laitteet missä tahansa organisaatiossa sisältävät digitaalitekniikkaa ja se vaatii ylläpitoa. Monet fyysistä kulunvalvontaa tai kiinteistönhallintaa toteuttavat laitteet yhdistetään toisiinsa ja niitä käytetään ICT-infrastruktuurin kautta. Niihin kohdistuu samanlaisia hyökkäyksiä kuin ICT-infrastruktuuriin. Uusia ylläpitomalleja tulisi kehittää ja mukauttaa sisällyttämään nämä IoT-laitteet luotettavuussuunnitteluprosessiin. EU:n verkko- ja tietoturvadirektiivi (NIS-direktiivi) edellyttää, että kaikki laitteet tulee päivittää haavoittuvuuksien poistamiseksi. Tämän vuoksi etäylläpidosta tulee vaatimus. Ylläpitoprosesseja tai tietoturvaelementtejä voi olla vaikea kehittää ja saada toimimaan pienissä laitteissa, joissa on vähän laskentatehoa. Lisäksi esim. logistiikassa tai terveydenhuoltoalalla on monia järjestelmiä, joissa ohjelmistojen ylläpito tulee tehdä oikea-aikaisesti ja turvallisesti.
Luotettavuus (reliability), turvallisuus (safety) ja kyberturvallisuus lähentyvät. Kyberfyysisessä ympäristössä SRE tiimien on käytettävä järjestelmiä ja valvottava niiden vikoja ja hyökkäyksiä toiminnan jatkuvuuden varmistamiseksi. SRE:tä sovelletaan yhä enemmän myös puhtaissa IT-ympäristöissä (esim. pilvilaskenta-alustat), joiden on oltava kestäviä kaikenlaista vikaantumista (esim. virtakatkokset) vastaan.