Ads 468x60px

keskiviikko 16. marraskuuta 2011

Miten havaita tietomurrot?

Olin viime viikolla puhumassa Tietoturva 2012 –tapahtumassa aiheesta tietomurtojen nykytilanne ja kuinka tietomurtoihin tulisi valmistautua. Ohessa hieman jatkopohdintaa esitykseni pohjalta:

Tietomurtojen havaitseminen saattaa joskus olla yllättävän vaikeaa. Esityksessäni käytin esimerkkinä havaitsemisen vaikeudesta American Expressin kotisivuilta löytynyttä cross-site-scripting (XSS) –haavoittuvuutta [1] ja Yhdysvaltain ilmavoimien miehittämättömässä lentokoneesta löytynyttä virusta. Ensimmäisessä tapauksessa ulkopuolinen tietoturvatutkija yritti ilmoittaa Amexille, että Amexin sivuilla on avoinna kehittäjille tarkoitettu näkymä, jonka kautta vihamielinen henkilö saattoi hyökätä eteenpäin. Ongelmaksi tapauksessa nousi kuitenkin se, että tutkija ei löytänyt mitään järkevää tapaa kertoa Amexille havainnoistaan. Näinpä hän päätyi postaamaan havaintonsa Twitteriin, jolloin havainnon saama julkisuus herätti lopulta myös Amexin korjaamaan aukon. Yhdysvaltain ilmavoimien tapauksessa ilmavoimien tietoturva-asiantuntijat lukivat lehdestä, että heidän Predator-lennokkien ohjausjärjestelmässä oli virus [2]. Vaikka viruksesta tiedettiin paikallisesti jo aikaisemmin, niin kukaan ei ollut kuitenkaan kertonut viruksesta asiantuntijoille. Näinpä he eivät olleet osanneet aloittaa viruksen poistamista ennen kuin lehdistö julkaisi asiasta uutisen.

Kuinka siis lievittää havaitsemisen tuskaa? Aivan ensimmäiseksi organisaation tulee varmistaa, että organisaation omat työntekijät ymmärtävät havainnoida ympäristöään poikkeamien varalta ja että heillä on selkeä käsitys siitä, miten ja kenelle poikkeamista tulee kertoa. Yksinkertainen vaade, mutta tämä ohjeistus on aina välillä syytä kerrata henkilöstölle. Toiseksi organisaation tulee varmistaa, että se seuraa tärkeimpiä (tietoturva)lokitietojaan. Nämä lokitiedot riippuvat luonnollisesti organisaatiosta, mutta tyypillisesti ne voivat olla esimerkiksi järjestelmien kriittisten tiedostojen eheyden varmistamista, onnistuneiden tai epäonnistuneiden kirjautumisten seuraamista tai vaikkapa palomuurin tai IDS:n hälytyslokien analysointia.

Edellä mainitut perustuvat organisaation omaan havaitsemiskykyyn. Organisaation kannattaa kuitenkin hyödyntää myös organisaation ulkopuolisia tietolähteitä. Itse suositan, että organisaatiot lisäisivät esimerkiksi julkiselle web-sivulleen lomakkeen, jonka kautta ulkopuoliset (ja miksei myös organisaation omat työntekijät) voivat ilmoittaa tietoturvapoikkeamahavainnoistaan. Tärkeää on, että ilmoittaminen olisi mahdollisimman helppoa (ei mitään pakollisia rekisteröitymisiä jne) ja että palautteenantajalle ilmoitetaan palautteen vastaanottamisesta (ja mahdollisesti myös tehdyistä korjaustoimista) palautteenantajan niin halutessa. Näin palautteenantaja tuntee/tietää antamallaan palautteella olevan vaikutusta eikä sen katoava vain mustaan aukkoon.

Mahdollisesti hyvistä ilmoituksista kannattaa harkita myös palkitsemisesta (Vrt Google ja Crome). Tämänkin suhteen toki kannattaa käyttää harkintaa, 2€ mainoskynä ei välttämättä ole hyvä palkkio. Sitä vastoin monessa tapauksessa julkinen kiitos (web-sivulle, Twitterissä etc) saattaa olla huomattavasti mieluisampi palkkio.

Toinen mainitsemisen arvoinen väline tiedon louhintaan on Twitter. Organisaation kannattaa laittaa ”jatkuvaksi” hakukriteeriksi oma nimensä (tai organisaation vakiintunut lyhenne). Jos osumia tulee jatkuvasti paljon, niin lisämääreenä voi käyttää esimerkiksi jotain tageistä #fail, #hack, #vulnerability tai #security. Vastaavalla tavalla organisaatio voi etsiä avainkumppaneita tai –sovelluksiaan koskevia viestejä. Oman tuntumani mukaan tiedot uusista poikkeamista leviävät erittäin nopeasti Twitterissä, joten seuraamalla sitä, organisaatio pystyy tehokkaasti täydentämään kuvaansa tietoturvatilanteestaan. Lisäksi kannattaa muistaa, että esimerkiksi lehdistö haravoi Twitteriä, joten aktiivinen seuranta antaa organisaatiolle muutaman tunnin etumatkan valmistautuessaan viestimään tapahtuneista poikkeamista.

Loppukommenttina voidaan todeta, että pelkkä ongelmien havainnointi ei luonnollisestikaan vielä paranna organisaation tietoturvaa, vaan havaitut tietoturvapoikkeamat tulee korjata. Aivan kuten keittokirjakaan ei vie nälkää vaikka se antaakin mitä mainioimman pohjan maukkaan aterian valmistamiselle!
Terveisin
Antti

[1] http://h7c.blogspot.com/2011/10/american-express-xssd.html
[2] http://www.wired.com/dangerroom/2011/10/drone-virus-kept-quiet/

Ei kommentteja:

Lähetä kommentti