Ads 468x60px

torstai 25. huhtikuuta 2013

IDS:n käyttöönotto herättää todellisuuteen


KPMG:n tietoturvapalvelut ovat laajentuneet vuoden alusta HAVARO-raportteihin liittyvään tietoturvapoikkeamien analysointipalveluun. HAVARO on Viestintäviraston ja Huoltovarmuuskeskuksen yhdessä tarjoama tietoturvapalvelu huoltovarmuuskriittisille yrityksille Suomessa. Käytännössä palvelu perustuu organisaation Internet-liikennettä tutkivaan IDS-sensoriin (Intrusion Detection System) joka etsii verkkoliikenteestä haitallista sisältöä. HAVARO tarkkailee organisaation liikennettä vain Internetin reunan näkökulmasta, tietämättä miten havaitut haittaohjelmat käyttäytyvät organisaation sisäverkossa. HAVARON perspektiivistä organisaation ympäristö on vain iso harmaa laatikko, jonka yksittäisiä tapahtumia voi analysoida vain katsomalla mitä sinne menee sisälle ja mitä mahdollisesti tulee ulos. KPMG auttaa organisaatioita juuri tässä asiassa, analysoimalla IDS-havaintojen vaikutuksia ympäristössä, ja auttaa samalla kehittämään tietoturvaa havaittujen puutteiden perusteella.




Vaikka edistyneemmät hyökkäysvektorit (esim. nollapäivähaavoittuvuuksien hyväksikäyttö) ovatkin osittain jo menneet perinteisten tunnisteisiin pohjautuvien kontrollien (kuten Antivirus ja IDS) ulottumattomiin, ei se tarkoita etteivätkö ne olisi enää tarpeellisia. Yksi merkittävimmistä hyödyistä IDS:n käytöstä on se, että se toimii usein ensimmäisenä konkreettisena herättäjänä todellisuuteen oman ympäristön tapahtumista ja tilasta. Tiedämmekö todella mitä verkoissamme tapahtuu?

IDS-järjestelmiin voisi liittää analogian vasta siivotusta asunnosta. Päällisin puolin kämppä näyttää siistiltä ja hyvin hoidetulta – suurimmat villakoirat on kerätty nurkista ja ympäristö kiillotettu vieraita varten. Mutta usein mielikuva horjuu kun vaihdetaan näkökulmaa siitä tavanomaisesta - katsotaan sohvan alle tai tarkastetaan pölyt kaapin päältä. Ensimmäisenä reaktiona saattaa olla että yritetään unohtaa että edes katsottiin, tai lakaistaan roskat kirjaimellisesti maton alle.

IDS tekee juuri tätä tupatarkastusta organisaatioissa - avaa täysin uuden näkökulman ympäristöön pintaa syvemmälle. Tieto kyllä lisää tuskaa tässäkin tapauksessa, mutta kuinka moni haluaa perustaa organisaationsa tietoturvan tietämättömyydelle?

Muita esimerkkejä kysymyksistä mihin organisaatiot saavat vastauksia IDS-järjestelmän avulla ovat; Onko ympäristö sellainen kuin luulimme? Saadaanko ympäristöstä riittävästi lokitietoa irti tapahtumien selvittämiseen jälkikäteen, vai joudummeko nostamaan kädet ylös heti alussa koska jäljet päättyvät ensimmäiseen laitteeseen? Käyvätkö ympäristön järjestelmät samaa kellonaikaa jotta tapahtumat voidaan yhdistää toisiinsa kiistattomasti? Onko laitetietojen hallinta ja ympäristötiedot ajan tasalla? (huomina tähän, että kattavasta konfiguraationhallintajärjestelmästä (CMDB) on selvitystyössä merkittävä hyöty). Onko meillä riittävästi keinoja reagoida vakaviin tietoturvapoikkeamiin? Onko ympäristö segmentoitu riittävästi jotta estetään sisälle päässeen hyökkääjän sivuttaissuuntainen liike? Toimiiko ympäristön päivitystenhallintaprosessi ja noudatetaanko tietoturvapolitiikkaa?

Yksi merkittävimmistä hyödyistä tietohallinnon näkökulmasta on se, että IDS-raporteista saadaan helposti konkreettista näyttöä ja mittareita liikkeenjohdolle tietoturvan tilasta. IDS:n avulla löydettyjen poikkeamien valossa on helpompi perustella tietoturvabudjetteja, osoittaa puutteita ja edistää ympäristön kehityshankkeita.

Viestintäviraston HAVARO-järjestelmän havainnot perustuvat lisäksi suurelta osin CERTFI:n yhteistyöverkoston kautta saatuihin tietoihin, joita ei ole saatavilla julkisesti tai kaupallisten palveluntarjoajien kautta. Tämä mahdollistaa tavanomaiseen IDS-järjestelmään verrattuna huomattavasti laajemman ja ajantasaisemman tietokannan haitallisen liikenteen tunnistamiseksi, sekä esimerkiksi nopean tiedon Botnet-verkkojen käyttämistä uusista komentopalvelimista (CnC/C&C).

Lisätietoa KPMG:n HAVARO-raporttien analysointipalvelusta:

Viestintäviraston esittely HAVARO-palvelusta:

-Toni S

Ei kommentteja:

Lähetä kommentti