Ads 468x60px

maanantai 1. syyskuuta 2014

Organisaation sisäinen uhka

Sisäinen väärinkäyttö mielletään usein taloudellista alaa, mm. pankkeja, koskevaksi ongelmaksi, mutta todellisuudessa se koskee kaikkia aloja, aina valtionhallinnosta kaivosteollisuuteen. Sisäiset väärinkäytökset, joko tahalliset tai tahattomat, aiheuttavat arvioiden mukaan maailmanlaajuisesti $2,9 miljardin tappiot vuosittain.  Tietoturvayritys Spectorsoft toteutti äskettäin organisaation sisäisiä väärinkäytöksiä koskevan kyselyn, johon vastasi 355 IT- tai tietoturva-asiantuntijaa eri puolilta maailmaa.

35% vastaajista kertoi joutuneensa sisäisen väärinkäytöksen, kuten petoksen, tietomurron tai immateriaalioikeuksien menetysten, uhriksi. Luultavasti määrä on kuitenkin suurempi, sillä arvioiden mukaan noin 75% väärinkäytöksistä jää tunnistamatta. Noin 60% vastaajista arvioi, ettei pysty tunnistamaan tai torjumaan sisäistä väärinkäyttöä.

Tutkimuksen mukaan kiinnijäämisen todennäköisyydellä on suurempi vaikutus kuin rangaistuksen ankaruudella, joten selvien sääntöjen luominen ja niistä tiedottaminen on tärkeää. Käytännössä tämä tarkoittaa sitä, että luodaan loppukäyttäjien käyttösäännöt (Acceptable Use Policy) ja koulutetaan käyttäjät niiden mukaisesti.

Väärinkäytösten tapahtuessa on tärkeää pystyä keräämään tapahtumasta mahdollisimman paljon tietoa. Tämä tapahtuu käyttämällä erinäisiä teknisiä järjestelmiä, jotka valvovat organisaation tietoliikennettä ja laitteita. Näin pystytään rajoittamaan tuhoja, sekä ehkäisemään väärinkäytöksen toistuminen.

Mahdollisten väärinkäytösten riskiä tulisi myös vähentää suorittamalla henkilökunnan taustatarkistuksia sekä välttämällä vaarallisia työyhdistelmiä. Tärkeimpien prosessien suorittamisessa voidaan käyttää ns. ”neljän silmän periaatetta”. Kannattaa myös käyttää teknisiä keinoja väärinkäytösten ehkäisyyn, kuten järjestelmäkontrolleja. Esimerkiksi laskun luomiseen ja hyväksymiseen voi vaatia kahden eri henkilön hyväksynnän.

Sisäisten väärinkäytösten osuus (n.30%) kaikista kyberrikoksista on pysynyt samana jo vuodesta 2004, joten helpotusta tähän ongelmaan ei luultavasti ole näköpiirissä.



Tutkimuksesta voi lukea lisää osoitteesta:

http://www.spectorsoft.com/press/press_releases/2014/8/spectorsoft-survey-reveals-enterprise-insider-threat-inability.html

keskiviikko 27. elokuuta 2014

Unknown Threats in Sweden

Julkistimme tammikuussa Unknown threat in Finland -tutkimuksen tulokset. Vastaava tutkimus on nyt tehty Ruotsissa ja sen tulokset ovat vielä musertavampia kuin Suomessa. Tutkimuksen mukaan 93% tutkimukseen osallistuneista organisaatioista oli murrettu ja 79% organisaatioista tietoa vuoti ulos. Tutkimuksen tulokset osoittavat kyllä melko selkeästi sen, että tänä päivänä organisaatioiden tulee lähteä siitä ajatuksesta, että murtautujat ovat jo murtautuneet organisaation sisäverkkoon. Tällöin tärkeänä tehtävänä on havaita tunkeutuminen ja estää tunkeutujaa tekemästä enempää haittaa.

Tutkimuksen raportti on ladattavissa osoitteesta http://www.kpmg.com/SE/sv/kunskap-utbildning/nyheter-publikationer/Publikationer-2014/Sidor/UnknownthreatsinSweden.aspx

Tammikuussa tekemämme Suomea koskevan tutkimuksen raportti on ladattavissa osoitteesta http://www.kpmg.com/fi/fi/ajankohtaista/uutisia-ja-julkaisuja/neuvontapalvelut/sivut/unknown-threat-in-finland.aspx


tiistai 26. elokuuta 2014

ASVS 2.0 - Sovellusturvallisuuden arviointistandardin uusi versio


Monelle lukijalle OWASP Top 10 -lista on varmasti tuttu, eli kyseessä on listaus kymmenestä vakavimmiksi arvioidusta sovellusten tietoturvahaavoittuvuudesta. Näihin lukeutuu muun muassa SQL-injektiohaavoittuvuudet, XSS-haavoittuvuudet ja heikko sessionhallinta. 

Sen sijaan OWASP:in Application Security Verification Standard (ASVS) saattaa olla vähemmän tunnettu. Se on erittäin käyttökelpoinen standardi, jonka tavoitteena on toimia avoimena sovellusturvallisuuden tarkastamisen työkaluna. ASVS-standardi määrittelee joukon teknisiä kontrolleja, joilla pyritään löytämään sovelluksessa olevat tietoturvahaavoittuvuudet, mukaan lukien Top 10 -listan haavoittuvuudet. Standardia voidaan käyttää osana sovellusturvallisuuden testauksen prosesseja.  

Ensimmäisen ASVS-standardin julkaisemisesta on kulunut jo viisi vuotta, ja elokuussa 2014 OWASP julkaisi siitä uuden version ASVS 2.0:n. Syitä uuden standardin luomiseen oli useita, ja yksi tärkeimmistä liittyi siihen, että tavoitteena oli keskittyä miten-kysymysten sijaan enemmän siihen mitä tulisi tehdä. Uudessa versiossa ei siis puhuta enää dynaamisesta skannaamisesta, staattisesta analyysista eikä uhkamallinnuksesta.

Mitä konkreettisia muutoksia uudessa ASVS-standardissa sitten on edelliseen verrattuna? Uusi ASVS-standardi määrittelee kolme sovellusturvallisuuden verifiointitasoa, jotka ovat: 

Taso 1: Opportunistinen (Opportunistic),  
Taso 2: Standardi (Standard) ja
Taso 3: Syventävä (Advanced). 

Opportunistinen taso on määritellyistä verifiointitasoista kevyin, ja se soveltuu tyypillisesti tilanteisiin, joissa haetaan jonkinlaista luottamusta sovelluksen turvallisuudesta ja tietoturvakontrollien oikeaoppisesta käytöstä. 

Standarditaso menee jo huomattavasti pidemmälle, ja tämä taso pitää sisällään myös liiketoimintalogiikkaa koskevat ja Top 10 -listan kontrollit. Taso sopii tyypillisesti sovelluksille, jotka suorittavat esimerkiksi liiketoimintakriittisiä toimintoja tai käsittelevät arkaluontoista dataa. 

Syventävän tason mukainen tarkastus sopii erityisen kriittisiin sovelluksiin, jotka liittyvät esimerkiksi yleiseen turvallisuuteen, kriittiseen infrastruktuuriin tai jotka voivat aiheuttaa organisaatiolle huomattavaa vahinkoa.

ASVS-standardissa kontrollit on jaoteltu luokkiin. Myös luokittelua on muutettu edellisestä versiosta. Standardin uudessa versiossa osa luokista on poistunut, ja niiden sisältämiä kontrolleja on upotettu muihin jo olemassa oleviin luokkiin. Lisäksi uuteen standardiin on tullut kolme uutta luokkaa, jotka ovat liiketoimintalogiikka, tiedostot ja resurssit sekä mobiililaitteet. Näiden sisältämät kontrollit pyrkivät vastaamaan muuttuneeseen toimintaympäristöön ja sen tuomiin haasteisiin. Kaiken kaikkiaan standardin rakenne on muuttunut selkeämmäksi, ja sitä voidaan suositella käytettävän osana sovellusturvallisuuden testauksen prosesseja.

perjantai 22. elokuuta 2014

Hyvän tietoturvakulttuurin luominen ja ylläpito

Alkuvuodesta julkaistun KPMG:n tutkimuksen ”Tuntematon uhka” [1] tulokset tulivat yllätyksenä suurimmalle osalle meistä. Tutkimuksessa selvisi, että jopa noin puoleen tutkimukseen osallistuneista yrityksistä oli murtauduttu yrityksen tietämättä. Suomalaisissa yrityksissä panostetaan eittämättä tietoturvaan, mutta tutkimuksen tulosten valossa parannettavaa olisi vielä rutkasti.

Perinteinen tapa huolehtia organisaation tietoturvasta on istuttaa palomuuripurkki verkon laidalle, pitää antivirusohjelmisto ajan tasalla ja jatkaa ns. ”oikeita töitä”. Tässä piileekin ongelma, jonka monet organisaatiot jättävät vähälle huomiolle: tekniset toimet eivät yksinkertaisesti riitä. Teknisten keinojen lisäksi tarvitaan myös hallinnolliseen tietoturvaan panostamista.

Tietoturvakulttuurista puhutaan harvoin, vaikka sen rooli tietoturvallisen organisaation kehittämisessä on erittäin tärkeä. Tietoturvakulttuuri saattaa kuulostaa abstraktilta, mutta periaatteessa sillä tarkoitetaan tapaa, jolla organisaatiossa suhtaudutaan tietoturvaan. On tärkeää muistaa, että kaikilla organisaatioilla on tietoturvakulttuuri - harmittavan usein se vain ei ole riittävän hyvällä tasolla. Tietoturvakulttuuri ei ole prosessi, jonka voi vain luoda, piilottaa organisaation intranetiin ja unohtaa. Käytännössä tietoturvakulttuuri perustuu sekä tietoturvapolitiikkaan, että käyttäjien ohjeistukseen ja koulutukseen.

Ensimmäinen askel hyvän tietoturvakulttuurin luomisessa on organisaation tarpeiden selvitys. Jokainen organisaatio on yksilöllinen, ja siten myös niiden tarpeet vaihtelevat suuresti. Johdon tuki muutoksille, ja varsinkin heidän esittämä esimerkki, on erittäin tärkeää. Koska tietoturvaa on vaikea mitata, organisaation johto ei aina näe tietoturvallisuuden hyötyjä. Mitattavaa löytyy yleensä vasta, kun on jo liian myöhäistä: tietomurron aiheuttama taloudellinen menetys, joko suoraan rahallisesti tai välillisesti esim. maineen menetyksenä. Ellei johdon tukea tietoturvakulttuurin kehityksessä ole, ei muutoksesta luultavasti tule mitään.

Tarpeiden ja tavoitteiden pohjalta luodaan tietoturvapolitiikka, -menettelyt ja -asetukset. Näiden perusteella luodaan tekniset ohjeet sekä peruskäyttäjille suunnatut käytännönläheiset ohjeet, jotka neuvovat organisaation työntekijöitä tietoturvalliseen käyttäytymiseen.

Tietoturvakoulutuksessa käyttäjät tulisi saada ymmärtämään tietoturvallisen käyttäytymisen hyödyt, sillä heille aiheutuu harvoin tuntuvaa haittaa tietoturvaloukkauksista, varsinkaan työpaikalla. Tietoturvakoulutuksen tulee tapahtua säännöllisesti, vähintään vuosittain, sekä hyvin käytännönläheisesti: workshopit ja avoin keskustelu tukee sekä ymmärtämistä että oppimista paremmin kuin hikinen PowerPoint-maraton.  Tietoisuutta tulee myös ylläpitää säännöllisillä tiedotuskampanjoilla ja tietoiskuilla. Tärkeää on tehdä tietoturvasta osa arkipäivää, ei vuosittain kärsittävä koulutusrupeama.

On myös muistettava, että tietoturvakulttuuria on ylläpidettävä: organisaation ja toimintaympäristön muuttuessa myös riskit muuttuvat. Koulutukset ja ohjeistukset on pidettävä ajan tasalla, ja tietoturvatietoisuutta olisi hyvä mitata. ISO27001-standardista löytyvät PDCA-malli soveltuu mainiosti ylläpidon tueksi.

Yhdistämällä hyvä tietoturvakulttuuri ja kunnon tekniset tietoturvaratkaisut voidaan turvata organisaation kasvu ja kehitys paljon aiempaa paremmin.

Linkit:
[1]: http://www.hackingthroughcomplexity.fi/2014/01/tuntematon-uhka-suomessa-tulokset.html


keskiviikko 20. elokuuta 2014

KPMG laajentaa tietoturvapalveluidensa tarjontaa Kehä III:n ulkopuolelle

Tietoturvapalveluiden kysynnän kasvun seurauksena KPMG laajentaa tietoturvapalvelutarjontaansa myös maakunnissa. Ensimmäisessä vaiheessa Tampereelle ja Jyväskylään ollaan rekrytoimassa murto- ja haavoittuvuustestauksia osaavia asiantuntijoita. Seuraavaksi vuorossa ovat Turku, Oulu ja Kuopio.

Tavoitteenamme on tarjota tietoturvallisuuden "lähipalvelua" olemassaolevalle asiakaskunnallemme Kehä III:n ulkopuolella kustannustehokkaasti ja ilman ylimääräisiä matkakustannuksia. Samalla myös palvelutarjontamme on päivitetty vastaamaan paremmin PK-yritysten tarpeita. Hae paikkaa tästä.

tiistai 12. elokuuta 2014

Raha ratkaisee

Sanotaan, että suurin syy IT-ongelmatilanteisiin löytyy yleensä näytön ja tuolin välistä. Kesäkuussa julkaistun tutkimuksen mukaan kyseinen ongelma on tietoturvan näkökulmasta ehkä odotettua suurempi. Tutkijaryhmä Carnegie Mellon yliopistolta tarkasteli ”It’s All About The Benjamins: An empirical study on incentivizing users to ignore security advice”[1]-työssään tavallisten internetin käyttäjien tietoturvakäyttäytymistä, ja varsinkin sitä, millaista arvoa he antavat tietoturvalle.

Ryhmän tarkoituksena oli selvittää, millä hinnalla olisi mahdollista saada käyttäjä asentamaan ja ajamaan tuntemattoman ohjelman tietokoneellansa.  Käyttäjille kerrottiin, että kyseessä oli yhteisölaskentaprojekti (Distributed Computing Project) ja, että heidän tulisi asentaa ohjelma tietokoneilleen, antaa sen työskennellä tunnin, jonka jälkeen he saisivat rahapalkintoon oikeuttavan koodin. Ensimmäisellä viikolla ohjelman asentamisesta ja ajamisesta maksettiin 0,01 dollaria. Tämän jälkeen maksua nostettiin viikoittain neljän viikon ajan kunnes palkintosumma oli 1 dollari.

Tulokset olivat hämmästyttäviä: viiden viikon aikana ohjelma ladattiin 1714 kertaa, ja ajettiin 965 kertaa. Jo 0,01 dollarin palkintosumma houkutteli 22% tehtävän lukeneista asentamaan ja ajamaan ohjelman. Palkintosumman noustessa nousivat myös osallistujamäärät. Varsinkin palkinnon korottaminen $0,5 -> $1 vaikutti rajusti kiinnostukseen.

Käyttäjistä suurin osa oli Intiasta (40%), Pohjois-Amerikasta (30%) ja Euroopasta. Tutkijoille selvisi myös, että se osa käyttäjistä, joilla oli tietokoneissaan viimeisimmät käyttöjärjestelmäpäivitykset asensivat helpommin ohjelman palkintosumman kasvaessa. Nähtävästi käyttäjät ottavat suurempia riskejä, kun he olettavat koneensa olevan asianmukaisesti suojattu.

Kiinnostavaa tutkimustuloksesta tekee myös se, kuinka pienellä summalla on mahdollista ”ostaa käyttäjän luottamus”. Tieto siitä, että pientä maksua vastaan voi helposti luoda laajan bottiverkoston kiinnostaa varmasti myös haittaohjelmien tekijöitä. Tällaista mahdollista bottiverkkoa kutsutaankin jo nimellä ”Fair Trade Botnet”.

Tutkimustulosten valossa tietoturva-ammattilaisten tulisi etsiä uusia ja tehokkaampia tapoja tukea käyttäjiä, jotta he ymmärtäisivät paremmin tietoturvallisen käyttäytymisen arvon. Organisaatioissa tulisi panostaa hyvän tietoturvakulttuurin luomiseen ja ylläpitoon, sillä tietoisuuden lisääminen on tärkeimpiä keinoja tahattomien tietoturvaloukkausten ehkäisyssä.

Lisää luettavaa:
[1] https://www.andrew.cmu.edu/user/nicolasc/publications/CEVG-FC11.pdf

perjantai 8. elokuuta 2014

Black Hat USA - viimeinen päivä

Black Hat -konferenssi on nyt takana ja kyllä pitää todeta, että aika paljon jää näkemättä kun yhtä aikaa on käynnissä monta mielenkiintoista puhetta. Tässä kuitenkin tiivistelmä niistä puheista, joita kävin itse kuuntelemassa.

Toinen päivä alkoi osaltani Ross Andersonin puheella Chip and PIN -pankkikorttien turvallisuuden analyysillä. Anderson toi vahvasti esille sen, miten vaikea on tehdä globaalia järjestelyä ja miten vastuun siirtyminen pois pankeilta kuluttajille ja kaupoille vähentää pankkien motivaatiota tehdä järjestelmästä turvallisempi. Lisäksi hän esitteli useita eri tapoja murtaa järjestelmä esimerkiksi jo aiemmin julkaistulla menetelmällä.

Daniel Brodie ja Michael Shaulov esittivät tapoja, joilla voidaan hyökätä mobiililaitteissa käytettyjä VDI-ratkaisuja vastaan. Hyökkäykset kohdistuivat pääasiassa tapoihin, joissa laitteelle täytyy ujuttaa hyökkääjän koodia, jota siinä ajetaan. Sen jälkeen pääsyä VDI:n kautta käytettäviin järjestelmiin saadaan esimerkiksi keyloggerilla, ajamalla laitteella debuggeria ja sitä kautta hakemalla käyttäjätunnuksia, kopioimalla tietoja leikepöydän kautta tai tallentamalla ruutukaappaus. Huolimatta esitetyistä haavoittuvuuksista, Brodie ja Shaulov kuitenkin korostivat sitä, että VDI-ratkaisut ovat hyödyllisiä turvamekanismeja ja mahdollistavia teknologioita, mutta tietoturvan varmistaminen vaatii erilaisia mekanismeja kuten hyökkäyspinta-alan vähentäminen ja monitorointi.

Brian Gorenc ja Jasiel Spelman kävivät läpi erilaisia tapoja ajaa sovelluksia rajoitetussa hiekkalaatikkoympäristössä ja yleisiä tapoja kiertää hiekkalaatikkoteknologioita, mutta pääpaino oli epätyypillisissä tavoissa kiertää rajoituksia. Näissä haavoittuvuuksissa hyödynnettiin ongelmia MS Explorerin tallennusikkunassa, Cromen leikepöydän käsittelyssä sekä Internet Explorerin ja Cromen linkkien käsittelyssä. Esityksessä ratkaisuksi esitettiin mm. hiekkalaatikkoympäristössä mahdollistettujen rajapintojen vähentämistä sekä yleistä hyvien käytäntöjen käyttämistä sovelluskehityksessä.

Ruben Santamarta kävi läpi ongelmia, joita on satelliittikommunikaatiolaitteissa, joita käytetään muun muassa lentokoneissa sekä laivoissa. Tyypillisiä havaittuja ongelmia ovat kaikille melko tutut kovakoodatut salasanat, valmistajan tekemät takaovet, turvattomat protokollat sekä dokumentoimattomat protokollat. Näiden ongelmien kanssa saadaan ilmeisesti elää vielä pitkään, sillä esiintyjän saama palaute tuotteiden valmistajilta on ollut hyvin yhtenäinen viesti siitä, että ongelmat eivät ole olennaisia ja niitä ei korjata.

Päivän päätti Ivan Novikovin esitys injektiohaavoittuvuuksista memcached-järjestelmissä. Injektioissa ideana on, että käyttäjän syöte esim. verkkosivulta syötetään suoraan tietokantakyselyyn tai ainakaan sitä ei sanitoida riittävällä tavalla. Halutun tiedon lisäksi käyttäjän syötteessä voi olla pahantahtoista tietoa, jonka ideana on jollakin tavalla keskeyttää normaali tietokantakysely ja ajaa hyökkääjän haluama uusi tietokantakysely. Tärkeänä muistutuksena esityksestä on se, että ulkopuolelta saatavaan syötteeseen ei ikinä voi luottaa, vaan sen oikeellisuus tulee tarkastaa.

Tässä kaikki tämän vuoden Black Hatista. Konferenssin puheiden teemat painottuivat selvästi mobiililaitteiden ja sulautettujen järjestelmien turvallisuuteen, joten jatkossa saamme varmasti viettää runsaasti aikaa niiden turvallisuuden parantamiseksi.