Ads 468x60px

torstai 15. toukokuuta 2014

ICTExpo 2014 - Live Hack: Red Alert

Hyökkäysten havainnointi Open source -työkaluilla

KPMG:n tietoturvatiimin edustajat pitivät lähes perinteeksi muodostuneen Live Hack -esityksen ICT Expossa, Tietoturva Ry:n Secure IT -lavalla. Kiitokset tilaisuudesta järjestäjille ja kuulijoille! Viime vuonna esittelimme tunnistautumista ja tietoturvallisen sisäänkirjautumisen kompastuskiviä. Tänä vuonna Live Hack käsitteli havainnointi- ja reagointikyvyn parantamista ja SIEM-ratkaisuja (SIEM = Security Information and Event Management).

Pohdimme aluksi, miksi havainnonti- ja reagointikyky on entistä tärkeämpää. Meillähän on käytössä palomuurit ja virustorjunnat, eikö se riitä?

Käytimme vertauskuvana jokavuotista influenssakautta ja keinojamme selvitä sen läpi enemmän tai vähemmän terveinä ja työkykyisinä. Ennakoivina kontrolleina ja suojautumiskeinoina voimme hankkia influenssarokotuksen ja huolehtia käsihygieniasta. Suojautumisesta huolimatta osa ihmisistä saa silti tartunnan ja sairastuu. Sairastuttuamme käytämme havainnointikykyämme: olo on heikko ja kuumemittarin avulla varmistumme, että tartunta on vienyt meistä hetkellisesti voiton. Reaktiivisina vastatoimina otamme kuume- ja särkylääkkeitä ja vetäydymme vuodelepoon, kunnes tauti on talttunut. 

Käsihygieniasta huolehtimien on tärkeä keino suojautua tartuntataudeilta. Samalla tavoin oikeaoppinen verkon segmentointi, palomuurit ja haittaohjelmien suodatus ovat tärkeitä suojausmenetelmiä hyökkääjiltä ja haittaohjelmilta. Näiden lisäksi tarvitaan kuitenkin myös keinoja havaita ja poistaa ne tartunnat, joita ennakoivat suojauksemme eivät pystyneet estämään.

Kun valmistelimme viikolla esitystämme, huomasimme tuoreen uutisen, jossa tietoturvayhtiö Symantecin edustaja totesi ykskantaan virustorjuntaohjelmiston olevan kuollut. Artikkelin mukaan arviolta yli puolet kyberhyökkäyksistä jää perinteisiltä virustorjuntaohjelmilta huomaamatta. Tämä ei varsinaisesti ole mikään uutinen alaa seuraaville ihmisille, mutta mielenkiintoista kuulla se sellaiselta taholta, jonka liiketoiminnasta iso osa on kyseisten ohjelmistojen myyntiä.
  
Tiivistyksenä voidaan todeta, että toimintamallin on näilläkin yhtiöillä muututtava suojaavista kontrolleista havainnointiin ja vastatoimiin.

Asian voi mieltää esimerkiksi näin: miten valmistaudumme influenssakauteen, jos tiedämme että kohtuullisella todennäköisyydellä joko sairastumme itse tai joku perheenjäsenemme sairastuu? Kenties kuumemittari ja muutama lääkepaketti on hyvä pitää varalla kotona. Jo sairastuneeseen perheenjäseneen lienee järkevää säilyttää tietty turvaväli. 

Havaitsette varmasti analogian: miten valmistaudumme, jos tiedämme että todennäköisesti osa sisäverkon koneistamme on haittaohjelman saastuttamia tai hyökkääjän hallussa? Jos tiedämme, että hyökkääjä ennemmin tai myöhemmin onnistuu tunkeutumaan puolustuksemme reunan lävitse?

Asetutaanpa hetkeksi hyökkääjän saappaisiin: miten kannattaisi toimia? Hyökkääjä pyrkii ensin hankkimaan passiivisilla keinoilla tietoa kohteesta ja sen ympäristöstä, esimerkiksi Internetistä etsimällä tai sisäverkon liikennettä kuuntelemalla. Seuraavassa vaiheessa kartoitetaan aktiivisella skannauksella lisätietoa suoraan kohteesta. Kun tietoa on riittävästi, käynnistyy varsinainen hyökkäys. Onnistuneen hyökkäyksen jälkeen hyökkääjä pyrkii hankkimaan kohdekoneelle mahdollisimman laajat käyttöoikeudet (root/admin). Tämän jälkeen hyökkääjä voi esim. lisätä haitallista koodia, varastaa tietoa kohteesta, ja niin edelleen. Lopuksi taitava hyökkääjä pyrkii vielä peittämään jälkensä mm. poistamalla tai muokkaamalla lokitietoja. Tilanteesta riippuen pyritään saastuneelle kohteelle yleensä jättämään myös takaovi, jonka kautta hyökkääjä pääsee takaisin kohdekoneelle. 

Tänä päivänä esimerkiksi sisäverkon arvokkaimmat kohteet ovat yleensä kohtuullisen hyvin suojattuja, ja niihin on tyypillisesti erittäin rajoitettu pääsy yrityksen sisäverkon ulkopuolelta. Valitettavasti myös haittaohjelmat ja hyökkääjät ovat kehittyneet, ja hyökkäys kulkee usean eri koneen kautta kohti lopullista kohdetta. Usein hyökkäyksen ensimmäisessä vaiheessa hyökkääjä pyrkii yllä selostettujen vaiheiden kautta saamaan pysyvän jalansijan jollekin sisäverkon koneelle (tyypillisesti tavalliselle työasemalle/kannettavalle). Toisessa vaiheessa hyökkääjä hyödyntää pääpiirteissään samaa prosessia ja pyrkii tunkeutumaan sisäverkon koneelta kohti seuraavaa, usein paljon arvokkaampaa kohdetta (esimerkiksi sisäverkon keskeiset palvelimet). 

Perustelu kehittyneelle havainnointi- ja reagointikyvylle on se, että hyökkääjän toiminta toisessa vaiheessa (ja miksei ensimmäisessäkin) on merkittävästi vaikeampaa, mikäli meillä on hyvä tilannekuva ja kyky reagoida poikkeamiin nopeasti.

No, meillähän on käytössämme monenlaista tietoa ympäristöstämme, eikö siitä ole mitään apua? 
 
Eri järjestelmät (ja niitä ylläpitävät ja hallinnoivat ihmiset) yrityksessämme tietävät paljon tietoturvan kannalta olennaisia asioita. Palomuurien suodatussäännöt ja lokit kertovat, mitä liikennettä sallitaan ja mitä estetään. IDS kertoo millaisia paketteja liikkuu mihinkin osoitteisiin, ja mitkä niistä ovat kenties IDS:n mielestä epäilyttäviä (tunniste- ja/tai anomaliapohjainen suodatus). Yksittäisen koneen virustorjunta ymmärtää kyseiseen koneeseen liittyviä asioita: mikä kone on kyseessä, kuka on kirjautunut, mitä tiedostoja tällä hetkellä käsitellään, ja niin edelleen. Erilaiset lokitiedot kertovat järjestelmäylläpitäjille monenlaista tietoa sisäänkirjautumisista, prosesseista, palveluista, yms. Edellä mainittujen lisäksi monet muutkin järjestelmät sisältävät paljon tietoturvan päätöksentekoa helpottavaa tietoa. On kuitenkin hyvä muistaa, että kerättävästä tiedosta vain pieni osa on tietoturvamielessä olennaista. 
Ongelmana on, että mikään näistä ei yksin tuota kokonaiskuvaa siitä, mitä organisaation tietoverkossa itse asiassa tapahtuu.

Miten SIEM sitten liittyy tähän? Pohjimmiltaan SIEM on kokoelma erilaisia lokeja ja ylätason käyttöliittymä niiden sisältämän tiedon korrelointiin. SIEM yhdistää tietoturvan kannalta relevantin tiedon erillisistä lähteistä (lokit, verkkoliikenne, omaisuusrekisteri, haavoittuvuusskannaukset, jne.). Tämä auttaa tietoa analysoivaa ihmistä hahmottamaan, mitä oikeastaan tapahtuu ja/tai tapahtui. Erilaisia SIEM-ratkaisuja on tarjolla useilta eri toimittajilta, suuri osa on maksullisia tuotteita, mutta myös ilmaisia Open Source -vaihtoehtoja on olemassa. Teknistä ratkaisua tai tuotetta tärkeämpää on kuitenkin SIEMille syötettävä tieto, ja osaaminen ja resurssit SIEMin konfigurointiin ja jatkuvaan käyttöön. Valitettavasti tietoa syöttävien järjestelmien integrointi SIEM-ratkaisuun, ja hyödyllisten sääntöjen luonti ja järjestelmän konfigurointi eivät ole triviaaleja tehtäviä.

Perusperiaatteena on, että SIEM on vain niin hyvä työkalu kuin siihen syötetty data mahdollistaa. Mitä enemmän ja parempaa dataa, sen parempaan päätöksentekoon SIEMin avulla päästään.
 
ICT Expo 2014 Live Hack Setup

Käytimme tässä demonstraatiossa Open Source -pohjaista AlienVault OSSIM -ratkaisua. AlienVault tarjoaa myös kaupallista Unified Security Management (USM)-ratkaisuaan Demoympäristö on SIEM-demonstraatiota ajatellen hyvinkin yksinkertainen, onhan SIEMillä yleensä tarkoitus valvoa hieman suurempia kokonaisuuksia kuin muutamaa konetta. Teime myös esitysteknisistä syistä tiettyjä kompromisseja. Silti demoympäristömme kehittely useine koneineen oli kohtuullisen työläs operaatio, toivottavasti se palveli tarkoitustaan kuulijoillemme.


Ympäristö koostui seuraavista koneista: hyökkääjän hallinnoima kone kuvasi toimistoverkon työasemaa, jonka hyökkääjä oli jo aiemmin saanut haltuunsa ja käytti sitä hyökkäyksen seuraavaan vaiheeseen. Hyökkäyksen kohteena oli sisäverkon palvelinta kuvaava Windows-kone. Todellisuudessa nämä molemmat koneet olivat samalla fyysisellä laitteella pyöriviä virtuaalikoneita, joiden liikenne kuljetettiin ulkoisen kytkimen kautta, josta liikenne voitiin peilata kokonaisuudessaan OSSIM-monitorointikoneelle (erillinen fyysinen kone). Kohteena toimiva Windows-palvelin oli myös konfiguroitu lähettämään lokidataa OSSIM-koneelle. Näiden lisäksi käytössä oli kolmas virtuaalikone, joka kuvasi Internetissä sijaitsevaa hyökkääjän konetta (command & control -palvelinta), jonne haittaohjelman saastuttama kohdekone ottaa ns. callback-yhteyden. Käytännössä monet haittaohjelmat ”soittavat kotiin” päästyään kohteeseensa, jotta hyökkääjä voi olla yhteydessä saastuneeseen koneeseen. 
Ympäristön pystytys: kamppailua Layer 1 -yhteensopivuuden kanssa
Demonstroimme erilaisia tiedonkeruuyrityksiä ja hyökkäyksiä hyökkääjän koneelta kohdekoneelle, sekä callback-yhteyden avaamisen, kun käyttäjä avaa haittaohjelman saastuttaman tiedoston kohdekoneella. Näytimme, miltä nämä hyökkäykset SIEM-ratkaisussa näkyvät, ja kerroimme hieman millaisia sääntöjä niiden löytämiseksi voidaan luoda. On tietysti huomioitava, että käyttämämme muutaman koneen ympäristö ei vielä riitä tuomaan esiin SIEM-ratkaisun parhaita puolia. Emme myöskään kehittäneet demoa varten ”edistyneitä” haittaohjelmia, vaan käytimme sellaisia tunnettuja hyökkäyskeinoja, jotka myös virustorjunta ja IDS/IPS -ratkaisut olisivat todennäköisesti havainneet. Tarkoitus oli lähinnä antaa perustiedot SIEMin toiminnasta ja näyttää käytännössä, minkälaisia asioita sen avulla voidaan tehdä.
Live Hacking
Yhteenvetona todettakoon, että viimeistään nyt on syytä hylätä puolustuksen ajatusmalli Maginot-linjan rakentamisesta, ja heittää roskakoriin illuusio täydellisen suojamuurin olemassaolosta. Perinteisten tietoturvaratkaisujen rinnalle tarvitsemme kykyä havainnoida ympäristöämme lähes reaaliaikaisesti, ja reagoida erilaisiin poikkeamiin nopeasti tilanteen vaatimalla tavalla.

SIEM ei valitettavasti tarjoa hopealuotia tietoturvaan, mutta se on yksi hyödyllinen ja arvokas työkalu lisää tietoturvan kehittämiseen. Ratkaisuja on saatavilla kattavasti, ja useimmilla on sekä hyvät että huonot puolensa. Eikä SIEM sinällään ole mikään uusi asia: lue myös Tonin puolentoista vuoden takainen kirjoitus dynaamisemman tietoturvan puolesta, joka on edelleen täyttä asiaa.

On syytä muistaa, että tietoturva on prosessi. Ajattelumalli ”ostan ja asennan tämän ja olen sitten turvassa” ei ole tässäkään tapauksessa optimaalinen. Pahimmillaan pelkkä SIEM-ratkaisun hankkiminen antaa valheellisen turvallisuudentunteen - samoin kuin vaikka huonosti konfiguroitu palomuuri. 
Esityksen yhteenveto
Itse tuotetta tärkeämpää on sen oikea käyttö ja riittävä resurssit konfigurointiin ja valvontatyöhön. SIEM on parhaimmillaankin vain niin hyödyllinen kuin tieto, jota siihen syötetään.

Esityksemme lisäksi Secure IT -lavalla oli paljon hyvää ohjelmaa läpi koko tilaisuuden. Live Hackin lisäksi Toni piti esityksen hieman samaa aihetta sivuten, eli kuinka havaitaan ja selvitetään hyökkäys verkossa, ja miten voidaan rakentaa monitorointikykyisiä verkkoja. Kuvia tästä ja muista hyvistä esityksistä löytyy esimerkiksi Tietoturva Ry:n Twitter-tililtä @tietoturva_ry. Jos esityksestä tai tästä kirjoituksesta heräsi kysyttävää, kommentoi tai ota yhteyttä, vastaamme mielellämme!

Risto, Toni ja Antti A.

Ei kommentteja:

Lähetä kommentti