Ads 468x60px

tiistai 11. joulukuuta 2012

Dynaamisempaa tietoturvaa


Polymorfiset haittaohjelmat ovat yleistyneet huomattavasti aikaisempaan verrattuna, kertoo tietoturvayhtiö Sophos viimeisimmässä vuosiraportissaan. Polymorfisella haittaohjelmalla tarkoitetaan itseään jatkuvasti muuttavaa ohjelmakoodia, joka tekee erilaisia mutaatioita välttääkseen ns. haittaohjelmatunnisteita (signatures) käyttävät turvakontrollit, kuten normaali antivirusohjelmisto tai IDS/IPS-järjestelmä. Tilannetta voisi verrata siihen, että tunnettu myymälävaras voi kävellä kauppaan sisälle tekoviiksillä ja -nenällä varustettuna vartijoiden häntä tunnistamatta edes epäilyksen tasolla, vaikka olisi juuri edellisenä päivänä otettu kiinni itse teosta. Tilanne on tietysti sama nollapäivähaavoittuvuuksissa (zero day), joita voidaan usein hyödyntää kaikkien perinteisiin tunnisteisiin pohjautuvien järjestelmien ohi niin paljon kuin ehditään, kunnes valmistaja mahdollisesti toimittaa tuotteeseen tunnistepäivityksen haavoittuvuuden tultua julki – ja julkituloon voi ajallisesti kulua päiviä tai kuukausiakin.

Tämä ei kuitenkaan tarkoita etteikö tunnisteisiin perustuville tietoturvakontrolleille olisi selkeä tarve jatkossakin, mutta niiden käyttäminen ei saa aiheuttaa liiallista turvallisuuden tunnetta, varsinkaan kaikkein kriittisimmissä ympäristöissä (niin kuin kävi esimerkiksi tälle australialaiselle lääkäriasemalle). Tietoturvan kehitystyössä tarvitaan sen sijaan perspektiivin laajentamista jatkuvasti muuttuvia uhkia vastaan. Ei riitä että tuijotetaan yhteen pisteeseen ja etsitään siihen täsmäsuojaus, vaan on entistä tärkeämpää laajentaa näkemystä parempaan kokonais- ja tilannekuvaan omasta ympäristöstä. Ei motivoituneen hyökkääjänkään intressi ole yrittää murtoa siitä pisteestä, missä suojaus on kaikkein vahvin, usein esimerkiksi organisaation Internet-reuna, vaan helpompaa on etsiä muita takaovia ja tapoja hyödyntää tietoturvan heikointa lenkkiä - useimmiten käyttäjää. Sen tähden ei voidakaan etukäteen tarkasti sanoa mitä kohtaa omasta infrastruktuurista pitää suurennuslasilla tuijottaa tietomurron havaitsemiseksi – koska on katsottava koko ympäristöä samaan aikaan ja mieluiten reaaliajassa. Kuulostaako helpolta tehtävältä?

Miten tämä ajantasainen kokonaiskuva sitten muodostetaan? Tällä hetkellä siihen antaa parhaat mahdollisuudet keskitetty lokienhallinta ja edistyneempi SIEM (Security Information and Event Management). Järjestelmien lokitietoihin säilötään valtava määrä hyödyllistä tietoa, jos sitä vain osataan hyödyntää oikein. Myös tietoliikenteen profiili on arvokasta informaatiota kun etsitään ympäristöstä poikkeamia jotka on muilta kontrolleilta jäänyt huomaamatta. Seuraavan sukupolven sovelluspalomuurit, adaptiiviset IDS/IPS järjestelmät, erilaiset pilvipalveluiden maine (reputation) -arvoon perustuvat nopeasti mukautuvat kontrollit, Netflow-analysaattorit, ym. antavat myös mahdollisuuden reagoida esimerkiksi polymorfisten haittaohjelmien tuomaan uusiin haasteisiin paremmin, sekä tarjoavat tavan heuristisen arvion muodostamiseen ympäristön tilasta. Tietoturva on muuttunut entistä dyynamisemmaksi.

Kontrolleja ei voi rakentaa siis mustavalkoisesti, vaan katsoa kokonaisuutta enemmän helikopterista. Ensimmäinen askel on tunnistaa ympäristön liiketoimintakriittiset palvelut, arvioida niiden riskit, uhat, kriittisyydet ja heikot kohdat, sekä soveltaa niihin parhaita suojatumismekanismeja. Tärkein ohje on: tunne ympäristösi, ja sen normaali käyttäytymisprofiili – kuinka moni voi sanoa tämän toteutuvan omassa organisaatiossaan? Vasta sen kautta voidaan tunnistaa mahdollinen epänormaali käyttäytymismalli.

Suuri ongelma riittävän riskianalyysin puuttumisen lisäksi, mm. lokienhallinnan osalta on myös että hypätään suoraa implementointiin ja unohdetaan tekemisestä järki. Lokienhallintaa ja SIEM:iä ei voida ajatella Launch & Forget –tyyppisenä tietoturvaratkaisuna organisaatiolle. Jos ei ole selkeää suunnitelmaa ja kuvaa etukäteen mihin pyritään ja mitä lokienhallinnalla halutaan saavuttaa, niin järjestelmiin panostetut resurssit valuvat usein hukkaan. Mikäli lokienhallinnan käytännöt ja kulttuuri saadaan rakennettua organisaatioon kestävälle pohjalle, niin hyötyinä tästä saadaan todennäköisesti paljon muutakin kuin pelkästään tietoturvan parantuminen. Lokeista on mahdollista löytää paljon informaatiota mitä muut valvontaratkaisut eivät usein löydä, ja ennaltaehkäistä näin virhetilanteita (huom. tämä kiinnostaa erityisesti liiketoimintaa!).

Eikä lokienhallintaprojekti välttämättä tarkoita merkittävää budjettia heti alkumetreillä, vaan lokitietoisen organisaatioympäristön valmistelu kannattaa ehdottomasti aloittaa ennen varsinaisen keskitetyn lokijärjestelmän hankintaa ja varmistaa että myöhemmässä vaiheessa siitä saadaan heti alusta täysi hyöty irti.

1 kommentti:

Anssi Porttikivi kirjoitti...

Kantsii aloittaa ihan tästä. Jos lokeja ei osaa lukea ja analysoida grepillä, ei tasan osaa säätää mitään hienompaakaan. http://ranum.com/security/computer_security/archives/logging-notes.pdf

Lähetä kommentti