Haittaohjelmat eivät katoa koskaan

Kirjoitimme keväällä Threat Intelligence -palvelumme tekemistä havainnoista Suomen verkoissa kasvaneesta haittaliikenteestä, kun koronakriisi tuli osaksi arkipäiväämme. Etätyöskentelyn jatkuessa uutena normaalina, on aika ottaa uusi katsaus siitä, miten tilanne on kehittynyt. Emme seuraa emmekä raportoi kaikkia mahdollisia haavoittuvuuksia, mutta olemme kuitenkin tehneet havaintoja keräämiemme tietojen perusteella.

On havaittavissa, että Suomessa ja muissakin maissa organisaatiot ovat ryhtyneet toimenpiteisiin ja tilanne on saatu osaksi haltuun. Organisaatioista osa on saanut vähennettyä tekniset uhkahavainnot verkoissaan lähes nollaan, mutta valitettavasti suurin osa puolestaan ei. Näyttää siltä, että pilveen sijoitetuista palvelimista jätetään osa valvomatta sillä tilastomme osoittavat pitkäaikaisia haittaohjelmatartuntoja pilviympäristöissä. Oletamme näiden kohteiden olevan pääasiassa IaaS-koneita.

Uhkat eivät myöskään ole staattisia vaan niitä ilmenee uusia, kuten esimerkiksi Emotet-haittaohjelma. Koronakriisin aiheuttamat muutokset työskentelykäytännöissä jäävät osin pysyviksi ja tietoturvakontrollien mukautuessa työympäristöjen muutokseen, hakevat hyökkääjätkin uusia menetelmiä ja pääsyjä kohteidensa ympäristöihin.

Esille nousee myös syys-lokakuussa kasvanut x.509-varmenteiden vanheneminen, mikä osoittaa, että organisaatiot eivät seuraa varmenteidensa elinikää, ja reagoivat vasta vanhentumisen jälkeen, jos silloinkaan. Esimerkiksi Equifax-tietomurrossa yksi pääsyistä havaintojen puutteellisuuteen oli valvonnan rampautuminen huomaamatta vanhentuneen varmenteen vuoksi.

Myös avointen tietokantojen määrä verkossa kasvaa. Näistä osa voi olla auki syystä, mutta osa unohtunut auki ja jäänyt päivittämättä. Rajoitusten ei tarvitse aina olla mustavalkoisia, vaan pääsyä voi rajata esim. tiettyihin verkkoihin. Vähimpien oikeuksien periaate (least privilege) on kuitenkin paras sääntö.

Top-10 haavoittuvuudet suomalaisissa verkoissa.

Puolustautuakseen jatkuvassa muutoksessa olevia IT-ympäristöjään muuntautuvilta uhkatoimijoilta, tulee organisaatioiden kehittää tietoturvakyvykkyyksiään sekä ketterästi että pitkällä tähtäimellä. Tämä on ymmärrettävästi haastavaa, kun budjetit ja resurssit ovat rajallisia, osin jo pelkästään taloudellisen ilmaston myötä. Näitä silmällä pitäen, organisaatioiden tulee kiinnittää huomiota seuraaviin tekijöihin, jotka mahdollistavat skaalautuvan puolustuksen:

Näkyvyys ja havaintokyky

On vaikea puolustautua vihollista vastaan, jota ei havaitse tai jonka olemassaolosta ei ole tietoa. Organisaation tulee varmistautua siitä, että sillä ja palveluntarjoajillaan on kyky havainnoida tietoturvapoikkeamia jatkuvasti ja systemaattisesti. Vain suurimpien toimijoiden voi odottaa rakentavan ja operoivan omaa SOC-toimintoaan (Security Operation Center), useimmat ostavat tätä palveluna. Valintaa tehdessään on hyvä varmistua siitä, että palvelulla on näkyvyys sekä on-premise, että pilviympäristöihin, kattaen myöskin mahdolliset ulkomaiset yksiköt. Threat Intelligence -palvelut tukevat SOC:in toimintaa tarjoamalla ulkomaailman havaitsemaa tietoa uhkatoimijoista asiakkaan sektorilla ja myöskin asiakkaan omissa verkoissa. On myös tunnettava oma ympäristönsä, sen mahdolliset haavoittuvuudet ja miltä oma hyökkäyspinta-ala näyttää ulkoisten toimijoiden silmissä. Tämä vaatii säännöllisiä haavoittuvuusskannauksia, murtotestauksia sekä oman ympäristön seuraamista Threat Intelligence -feedien avulla.

Resursointi

Monen organisaation haaste ei ole se, etteikö ympäristön tietoturvakontrollit ja -palvelut tuottaisi tarpeeksi hälytyksiä ja lokitietoa. Vastuuhenkilöt joutuvatkin useasti toteamamaan, etteivät resurssit ja aika riitä läheskään kaikkien poikkeamien tutkimiseen. Tällöin on hyvä todeta, mitä osaamista ja kapasiteettia tietoturvapoikkeamien tutkimiseen ja näihin vastaamiseen on mielekästä kehittää tai ylläpitää talon sisällä ja mitä voidaan kustannustehokkaasti ostaa ulkoisena palveluna. Havaittujen poikkeamien tutkiminen on usein aikakriittistä toimintaa ja valmiiksi solmitut puitesopimukset Incident Response ja cyber-forensiikkapalveluista varmistavat, ettei aikaa huku toimijoiden etsimiseen tai neuvotteluihin. Nopea reagointikyvykkyys minimoi sekä rahalliset vahingot, että vaikutukset liiketoimintaan tai yrityksen maineelle.

Asiantuntijaosaamisen hyödyntäminen ei aina ole huokeaa, olivat resurssit sitten talon sisäisiä tai ulkoisia. Ulkoisia tietoturvapalveluita, kuten SOC:ia ostettaessa on hyvä pohtia yhdessä palveluntarjoajan kanssa, mihin rajallinen budjetti kannattaa kohdistaa. Automatisoinnin, orkestroinnin ja koneoppimisen tarjoamat mahdollisuudet voivat karsia loki- ja hälytysmassan analysointiin kuluvan ajan murto-osaan, vapauttaen asiantuntijoiden arvokkaan ajan varsinaisten kriittisten uhkien analysointiin ja näiden leviämisen ja aiheuttamien vahinkojen minimoimiseen.

Henkilökunnan tietoisuus

Automatisoidut tietoturvakontrollit, pilvipalvelut tai asiantuntijaorganisaatiot eivät yksinään ylläpidä yhdenkään organisaation puolustusta tietoturvauhkia vastaan. Teknologian kehittyessä hyökkäysten kohteena on edelleen useimmiten ihminen. Henkilökunnan tietoisuutta tietoturvauhkista ja omasta roolistaan näitä vastaan puolustautumisessa tulee ylläpitää systemaattisesti ja toistuvasti. Tässä voidaan hyödyntää erimuotoisia välineitä ja viestintää, interaktiivisista koulutussessioista itseoppimiseen ja kriisiharjoituksiin.