Ads 468x60px

perjantai 18. syyskuuta 2015

Salatun liikenteen purkaminen ja tarkastaminen

Kirjoitan aiheesta, joka varmasti herättää monissa lukijoissa tunteita. Salattuun liikenteeseen puuttuminen on monesti nähty tabuna. Uskallan silti ottaa tämän aiheeksi, lisääntyneen kiinnostuksen ja saavutettavissa olevien hyötyjen vuoksi. Suomalaisissa yrityksissä aika harva taho purkaa SSL/TLS salattua liikennettä. Tämä johtunee yksityisyydensuojaan ja lainsäädäntöön liittyvistä kysymyksistä, epätietoisuudesta menettelyjen suhteen, pelko työntekijöiden palautteesta ja työviihtyvyydestä sekä salatun liikenteen purkamiseen liittyvistä teknisistä haasteista.

Tarkastellaan ensimmäisenä lainsäädäntöä. Lainsäädännön näkökulmasta asiaa määrittelee laki yksityisyyden suojasta työelämässä ja sen kohta 21 §, yhteistoiminta teknisin menetelmin toteutetun valvonnan ja tietoverkon käytön järjestämisessä. Laissa määritellään, että työntekijöihin kohdistuvan teknisin menetelmin toteutetun valvonnan tarkoitus, käyttöönotto ja valvonnassa käytettävät menetelmät ja tietoverkon käyttö sekä muuta sähköistä viestintää koskevien tietojen käsittely kuuluvat yhteistoimintamenettelyn piiriin. Muissa kuin yhteistoimintalainsäädännön piiriin kuuluvissa yrityksissä ja julkisoikeudellisissa yhteisöissä työnantajan on ennen päätöksentekoa varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluiksi. Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä työntekijöihin kohdistuvan teknisin menetelmin toteutetun valvonnan käyttötarkoitus ja siinä käytettävät menetelmät sekä tiedotettava työntekijöille valvonnan tarkoituksesta, käyttöönotosta ja siinä käytettävistä menetelmistä. Laki tulee lisäksi olla työntekijöiden nähtävissä, 23 § mukaan. Myös tietoyhteiskuntakaaressa on kohtia, joissa määritellään sallittavia toimenpiteitä tietoturvan toteuttamiseksi (110 §, 243 §, 272 §, 273 §). Tämän lisäksi on hyvä vielä varmistaa organisaation omilta lakimiehiltä ja HR-osastolta, että kaikki tarvittavat seikat on huomioitu.

Käyttöön otettavat tietoturvakontrollit tulee kuvata menetelmineen, käyttötarkoituksineen, käyttöönottoineen, aikatauluineen ja esitellä yhteistoimintamenettelyssä. Jotta ilmoitusvelvollisuuden voidaan katsoa täyttyneen, voidaan työntekijöille vielä ilmoittaa erikseen käytössä olevista menetelmistä ohjeistuksella sekä aina kun käyttäjä esimerkiksi kirjautuu työasemalle tai avaa selaimen.

Miksi liikenteen salausta sitten tulisi purkaa? Tietoturvan vuoksi. Salauksen lisääntyminen on tehnyt yhteyksistä turvallisempia, mutta toisaalta tarjonnut rikollisille oivan mahdollisuuden piiloutua. Haittaliikenne on salattua yhä useammin. Organisaatioista enintään 20 % purkaa salattua liikennettä tänä päivänä. Määrä on aika pieni, kääntäen siis 80 % ei tee asialle mitään. Kuitenkin esim. Botnet CnC (command and control) callback ja malware liikenne on usein salattua. Yhteydet mm. tiedostonjakopalveluihin ja ulkoisiin sähköposteihin ovat salattuja. Yritykset ovat ulkoistaneet toimintojaan ja käyttävät pilvipalveluita (SaaS, PaaS, IaaS) Internetin yli, salattuna. Mitä et näe, sitä et voi kontrolloida. NSS tutkimuslaitoksen mukaan SSL salattujen yhteyksien osuus yrityksissä on 25 – 35 % liikenteestä, mutta joillakin aloilla osuus voi olla jopa yli 50 %. Gartner tutkimuslaitoksen mukaan salatun liikenteen osuus kasvaa joka vuosi ja sen mukaan vuonna 2017 yli 50 % kaikista verkkohyökkäyksistä tulee hyödyntämään salattuja yhteyksiä. Olemme myös itse havainneet tekemissämme toimeksiannoissa, kuinka suuri osa liikenteestä on salattua ja kun sitä ei pureta, voi iso osa liikenteestä jäädä tunnistamatta ja tutkimuksen ulkopuolelle. Jos organisaatiosi on yksi niistä, jotka eivät pura ja tarkasta salattua liikennettä, on hyvinkin mahdollista, että ympäristö on jo infektoitunut, mutta ette ole siitä tietoisia. Perinteisen työaseman virustorjunnan kyky tunnistaa uudentyyppisiä kehittyneitä tietoturvauhkia ei ole kovin hyvä ja jos SSL/TLS salattua liikennettä ei pureta – ei mahdollisesti verkon reunalla olevat kehittyneet tietoturvalaitteet pysty tarkistamaan sisältöä ja tarkistus jää työaseman virustorjunnan varaan, sen jälkeen, kun työasema on purkanut salatun yhteyden.

SSL/TLS liikenteen purkaminen konseptina. Purettu liikenne ohjataan tarkistettavaksi.


Kun yhteys puretaan, voidaan liikenteeseen kohdistaa tarkistuksia ja kontrolleja. Sisältö voidaan mm. tarkistaa haittaohjelmien varalta, tehdä sertifikaatteihin liittyviä tarkistuksia, suodattaa liikennettä firman politiikan mukaisesti, kirjoittaa lokille ja raportoida – tietysti lainsäädäntö huomioiden, ilman mitään yksilöiviä tietoja. Monet ratkaisut tukevat valinnaista liikenteen purkamista sisällönsuodatuksen kategorioihin, geolocation tietoihin tai muihin tekijöihin pohjautuen. Tällöin liikenteen purkamisen ulkopuolelle voidaan jättää esim. pankki, vakuutus, terveydenhuolto, valtio, laki, luotetut verkkokauppa ym. kohteet ja lisäksi kohteista voidaan ylläpitää omaa listaa, jolle voi lisätä vaikka yrityksen liiketoiminnan kannalta tärkeitä kohteita ja yleisesti tunnettuja, luotettuja sivuja, joiden osalta purkua ei haluta tehdä.

Edellä mainittujen seikkojen lisäksi salatun liikenteen purkamisessa tulee ottaa huomioon ympäristön mitoitus, jotta suorituskyky ei laske ratkaisun käyttöönoton myötä. Useissa tuotteissa on SSL/TLS-purku ominaisuutena, kuten mm. joissakin NGFW, IPS ja SWG-tuotteissa, mutta liikenteen läpäisykyvyn putoamisen ja ominaisuuksien kannalta katsottuna, kannattaa vahvasti harkita tarkoitukseen suunniteltuja laitteita, joilla saavutetaan parempi hallittavuus, kattavammat ominaisuudet, parempi läpäisykyky ja mahdollisuus ohjata purettua liikennettä toisille järjestelmille tarkastettavaksi, esim. IDS/IPS, DLP, NGFW, SWG ja verkkotason hiekkalaatikko (Sandbox) laitteille. Yhteyden purku tulisi tehdä sekä sisään (ingress) tulevan että ulos (egress) lähtevän liikenteen osalta.

Jotta päätelaitteille ei tulisi varoitusta käytössä olevasta sertifikaatista, tulisi SSL/TLS purun suorittavalla laitteella olla sellainen sertifikaatti, johon päätelaitteet ja sovellukset luottavat. Purun suorittavalla laitteella voidaan tehdä sertifikaatti pyyntö ja allekirjoittaa se yrityksen PKI-ympäristön CA-palvelimella, jonka juurisertifikaatti on jo mahdollisesti asennettuna kaikkiin yrityksen päätelaitteisiin. Tämä on helpoin tapa. Muitakin tapoja on olemassa, mutta en käy niitä tässä kirjoituksessa läpi. Mahdollinen sertifikaatin levitys päätelaitteisiin on helpointa toteuttaa ryhmäkäytäntöjä (GPO) käyttäen.

Ratkaisu on syytä testata ja pilotoida huolella ja ottaa käyttöön vaiheistetusti. Näin tekemällä voidaan varmistua, että kaikki liiketoiminnan kannalta tärkeät sovellukset ja yhteydet toimivat kunnolla. Ratkaisu on syytä myös dokumentoida kattavasti ja huolehtia asianmukaisesta ja riittävästä tiedotuksesta sekä tietysti edellä mainitusta yhteistoimintamenettelystä. Palautteelta ei luultavammin voi kuitenkaan välttyä ja sen vuoksi onkin tärkeää, että ratkaisulle on johdon tuki. Hyvä tiedottaminen ja ratkaisun käyttöönoton asianmukainen perustelu auttavat vähentämään kritiikkiä.

Luonnollisesti salauksen purku herättää varmasti kysymyksiä, kuten epäilyksiä toimittajaa tai laitetoimittajaa kohtaan salauksenpurkutietojen hyödyntämisen suhteen. Itse näkisin, että toimittajilla ei ole varaa väärinkäytöksiin, jos haluaa pysyä markkinoilla – luottamusta ei ole varaa menettää, mikäli haluaa olla uskottava ja luotettava tietoturvan toimittaja. Toimittajia sitovat myös tehdyt sopimukset ja niissä määritellyt sanktiot. Purkua tekevä laite on tietysti myös paljon vartijana ja sen kahdennuksesta ja suojauksesta on huolehdittava kuin minkä muun tahansa kriittisen laitteen osalta. Laitteen käyttöjärjestelmä ja asetukset on kovennettava, huolehdittava käyttäjähallinnasta ja rooleista, vahvasta todennuksesta, pääsynvalvonnasta, ylläpitoyhteyksien turvallisuudesta, haavoittuvuuksien testaamisesta, päivityksistä, valvonnasta, varmistuksista, dokumentoinnista, jatkuvuudesta, yms.

Loppuyhteenvetona voi todeta, että ratkaisun täysipainoinen hyödyntäminen edellyttää, että ympäristössä on käytössä mekanismeja, joille liikennettä voidaan ohjata tarkistettavaksi, kuten edellä mainittuja tekniikoita; IDS/IPS, DLP, NGFW, SWG, Sandbox tai jokin muu, esim. kehittyneitä uhkia (APT, Advanced Persistent Threat) tunnistamaan ja torjumaan kykenevä ratkaisu. Eli perusta kuntoon ensin.

Tulevaisuus voi tuoda mukanaan haasteita, kuten patentoidut (proprietary) salausmenetelmät, joita ei voida purkaa. Tällöin vasta päätelaite purkaa yhteyden, ollaan sen tietoturvakontrollien varassa ja monikerroksista tietoturvaa ei voida toteuttaa reaaliajassa.

Verkon reunalla tapahtuva SSL/TLS liikenteen purkaminen ja tarkastaminen tehdään hyvän asian puolesta, jotta kaikki voisivat hyötyä paremmasta tietoturvasta ja luottaa siihen, että luottamuksellista tietoa ei vuoda ulkopuolisille.

Lähteet:
Finlex, Laki yksityisyyden suojasta työelämässä
Finlex, Tietoyhteiskuntakaari
Gartner, Are Cybercriminals Hiding in Your SSL Traffic?
NSS Labs, SSL Performance Problems

Ei kommentteja:

Lähetä kommentti