Ads 468x60px

maanantai 19. kesäkuuta 2017

Miksi tietoturvatapahtumiin reagointi epäonnistuu



KPMG:n sisäisessä maailmanlaajuisessa keskusteluryhmässä alkoi taannoin keskustelu aiheesta ”Miksi tietoturvatapahtumiin reagointi ja vastaaminen epäonnistuvat?” Keräsimme keskustelusta syitä tähän kirjoitukseen, jonka haluamme jakaa blogisivustomme seuraajille. Keskusteluun osallistuneet asiantuntijat ovat tekemisissä erityyppisissä tietoturvaan liittyvissä toimeksiannoissa ympäri maailmaa.

KPMG:llä on myös useassa maassa toimiva Incident Response -palvelu, joka tarjoaa tietoturvatapahtumien selvitystä usealla eri tasolla, kuten esimerkiksi vaikutusten arviointi (impact analysis), forensiikka, digitaalisten todisteiden kerääminen ja tapahtumasta toipumisen suunnittelu (Remediation planning).

Seuraavat asiat nousivat keskustelussa pinnalle.


Johdon sitoutuminen ja tietoturvatietoisuus on puutteellista

Johto ei ole asiantuntevaa tietoturva-asioissa. Tämä johtaa usein vääriin päätöksiin, kuten esimerkiksi turvautuminen perinteiseen palomuuriin ja viruksentorjuntaratkaisuun ainoina tietoturvakontrolleina. Tarvetta kehittyneempien tietoturvateknologioiden käyttöön väärinkäytösten havaitsemiseksi ja estämiseksi ei tiedosteta. Lisäksi useissa tapauksissa tietoturvatapahtumien monitorointia tehdään toimistoaikoina. Tietoturvatapahtumia voi kuitenkin tapahtua mihin vuorokauden aikaan hyvänsä. Tietoturvastrategiaa miettiessä tulisikin riskianalyysin perusteella ja mahdollisuuksien mukaan määritellä tietoturvabudjetti, joka mahdollistaa reagointikyvyn vuorokauden ympäri.

 

Huono tietoturvatapahtumien havainnointikyvykkyys

Edellä mainitut teknologiat eivät tarjoa riittävää havainnointikyvykkyyttä tämän päivän kehittyneisiin tietoturvahyökkäyksiin, jotka hyödyntävät esimerkiksi tunnettuja ja ei-tunnettuja ohjelmistohaavoittuvuuksia, väärin konfiguroituja tietoverkon laitteita, palvelimia ja työasemia. Tarjolla on runsaasti erityyppisiä vaihtoehtoja havainnointikyvykkyyden parantamiseksi. Tärkeintä tietoturva-arkkitehtuurin suunnittelussa olisi tunnistaa mahdolliset hyökkäyskanavat ja tarkistaa niissä kulkeva liikenne havaita ja mieluiten estää liikenteestä haitallinen osuus. Keskitetty lokien kerääminen koko ympäristöstä ja lokien säännöllinen analysointi joko manuaalisesti tai mieluiten automatiikkaa hyödyntäen parantaa havainnointi- ja analysointikyvykkyyttä.



Automaattisten hälytysten puute

Organisaatioiden tietoverkosta kerääntyy massiivisia määriä lokitietoa ja tietoturvateknologian lisääminen lisää analysoitavien tapahtumien määrää. Tietoturvatapahtumien havainnointi niiden manuaalisen käsittelyn pohjalta ei ole tehokasta. Tapahtumien havainnointi suuresta määrästä on vaikeaa. Havainnoinnin automatisointiin on tarjolla tietoturvakontrollien lisäksi muun muassa SIEM-ratkaisuja (Security Information and Event Management), jossa voidaan yhdistellä tapahtumia eri lähteissä tuotetun lokitiedon perusteella. Tapahtumia yhdistelemällä (Correlation) voidaan tunnistaa todelliset hyökkäystapahtumat vääristä hälytyksistä ja vähentää reagointia tarvitsevien havaintojen määrää. Kyseisiä ratkaisuja saa markkinoilta kaupallisena ja avoimeen koodiin perustuvana teknologiana ja palveluna. SIEM-ratkaisun hankkiminen ei poista organisaatiolta tietoturvatapahtumien analysointitarvetta ja niihin liittyvää päätöksentekoa, mutta se tarjoaa hyvän työkalun niiden tukemiseen.

 

Organisaation sisäistä liikennettä ei monitoroida

Organisaatiot tuntuvat edelleen olettavan, että hyökkäysliikennettä tulee vain ulkoverkosta. Suuri osa tietoturvaan liittyvistä sekä ulkoisten tahojen että sisäisten tahojen väärinkäytöksistä voitaisiin kuitenkin havaita monitoroimalla sisäverkon liikennettä. Ulkoverkosta tuleva hyökkäys tehdään yleensä joko haavoittuvaan palvelimeen tai asentamalla haittaohjelma työasemaan internetissä sijaitsevalta palvelimelta tai sähköpostin kautta. Sen jälkeen hyökkääjä etenee sisäverkossa etsien hyödynnettävää tai muuten rahan arvoista tietoa tai muita hyödynnettäviä resursseja.

 

Ajan tasalla olevan dokumentaation puute

Tietoturvatapahtumien analysoinnissa on tärkeää tuntea tietoverkon ja tietovarantojen rakenne ja sen käyttöön liittyvät ”lailliset” tietovuot ja julkiseen internettiin näkyvät osat. Nämä asiat tulisi dokumentoida asianmukaisesti ja dokumentaatio tulisi pitää ajan tasalla. Organisaatioilla on kuitenkin yleensä puutteita dokumentaatiossa. Se puuttuu kokonaan tai se ei ole ajan tasalla. Mainitun perusdokumentaation lisäksi organisaatioilta saattoi puuttua uhkamallinnus, jolla kartoitetaan ja priorisoidaan mahdolliset organisaatiota uhkaavat tekijät.

 

Tietoturvatapahtumien hallintakäytännön tai suunnitelman (Incident Response plan) puute

Käytäntöjä ja ohjeita tapahtumien selvittämiseen ei ole tai niissä kuvatut kontaktitiedot eivät ole ajan tasalla. Ohjeista puuttuvat käytänteet ja muistilistat. Käytänteitä ei harjoitella säännöllisesti simuloiduissa olosuhteissa. Tapahtumien aikainen dokumentointi on puutteellista.

 

Itse tapahtuman käsittely hoidetaan huonosti

Vaikka edellä mainitut asiat ovat organisaatiossa hoidettu, on vielä mahdollisuus tyriä itse tapahtuman käsittelyssä. Tyypillisiä ongelmia itse tapahtuman hallinnassa (Incident Management) on johdon panikointi, asiantuntijoiden häirintä (esimerkiksi jatkuvat raportointivaatimukset) sekä väärät johtopäätökset ja tutkintalinjat. Toisaalta asiantuntijoiden raportointi ei yleensä ole johdolle ymmärrettävässä muodossa, jolloin on vaikea tehdä oikeita päätöksiä. Tapahtuman ensi tason vaikutusten arviointi (Impact Analysis) saatetaan tehdä väärin ja tapahtuma priorisoidaan sen johdosta väärin. Tämä saattaa aiheuttaa tutkinnalle tarpeetonta ja vaikutuksia lisäävää viivästystä. Lisäksi tapahtuma saatetaan eskaloida väärälle taholle tutkittavaksi. Järjestelmien liiketoimintatavoitteet ja niihin liittyvät riskit eivät myöskään ole aina selvitysryhmän tiedossa. Erityisesti automaatiojärjestelmäympäristöissä ja terveydenhuoltoon liittyvissä ympäristöissä, kuten sairaalat, on haasteita korkeiden käytettävyysvaatimusten ja vanhojen ohjelmistojen takia.

Tietoturvatapahtumien tutkimiseen tulisikin varata mahdollisuuksien ja tarpeen mukaan erityyppisiä resursseja asiantuntijasta esimiestason ihmisiin, jotta esimerkiksi raportointi voidaan tuottaa mahdollisimman laadukkaasti ja vähin häiriöin itse tutkinnalle.

 

Osaamisen ja työkalujen puute

Tietoturvatapahtumien tutkinnassa tarvitaan erityistaitoja ja – työkaluja. Ne tulisi hankkia ja niiden käyttöä tulisi harjoitella etukäteen. Tutkinta, todisteiden kerääminen ja tallettaminen tulee suorittaa siten, että todisteita hävitetä eikä niiden todistusvoimaa heikennettä ja ne ovat kelpoisia esimerkiksi oikeudessa.


Todisteiden ja tutkittavan tapahtumatiedon puute

Lokeja ei kerätä kaikista järjestelmistä ja turvata. Lokit on ylikirjoitettu, koska tapahtuma havaitaan liian myöhään tai sen tutkinta viivästyy. Hyökkääjä saattaa myös poistaa lokit kohteestaan. Lokit ovat hajallaan eri järjestelmissä tai niitä ei saada palvelun tarjoajalta. Lokitiedon palautus ei syystä tai toisesta onnistu.

 

Tapahtuman selvittämiseen ei ole budjettia

Tapahtuman selvittäminen on usein työlästä saattaa viedä paljon aikaa ja asiantuntijaresursseja. Tämä on tietysti kallista ja jossain vaiheessa organisaatio päättää, että selvittäminen lopetetaan riippumatta siitä onko syy selvinnyt. Näissäkin tapauksissa tulisi kartoittaa mahdolliset parannusehdotukset, jotta tapahtuma ei toistuisi.

 

Mitä pitäisi tehdä?

Yllämainittujen puutteiden korjaamisen lisäksi tietoturvatapahtumien hallintaprosessi tulisi suunnitella huolella ja varata riittävät resurssit tapahtumien tutkintaa varten. Prosessia tukemaan tulisi suunnitella havainto- ja estokykyinen tietoturva-arkkitehtuuri, josta saadaan riittävästi tietoa tapahtumien analysointia varten. Tieto tulisi olla saatavissa myös riittävän kauan tapahtuman jälkeen. Kohdistetut hyökkäykset saattavat olla hyvinkin pitkäkestoisia ja ne saatetaan havaita jopa vuosia ensimmäisen tapahtuman jälkeen. KPMG:n asiantuntijat ovat päivittäin asiakkaidensa kanssa tekemisissä näihin asioihin liittyen ja voivat tarvittaessa avustaa kokonaisuuden tai sen osien parantamisessa.

Ei kommentteja:

Lähetä kommentti