Datan saattajana toimi ex-työntekijä, ilmankos se Jeppe vihelteli mennessään.

Talouselämän artikkelissa kerrotaan melkoisen lohduttomasta tilanteesta, jossa tietoinfrastruktuurin ylläpitäjät sekä käyttäjät eivät koe hirmuista pistosta rinnassaan viedessään dataa ulos luvatta. Tilanteena voi olla duunarin oma päätös siirtyä toisaalle tai odotettavissa oleva irtisanominen. Molemmissa tapauksissa tekijällä saattaa olla runsaastikin aikaa suunnitella ja toteuttaa uraa tai omaa taloutta edistävä ”varmuuskopioiminen”.

Se Jeppe ohitti DLP:n 

Näissä tilanteissa ensimmäinen askel tuntuu olevan aina tekninen ratkaisu, esimerkiksi  tahallisten ja tahattomien tietovuotojen ehkäisyyn tarkoitettu Data Loss Prevention (DLP) -järjestelmä.

Mutta jos ja kun tekijällä on aikaa ja oikeudet käyttää tietojärjestelmiä normaalisti, hän kerkiää hyvin työtehtäviin liittyen haalimaan oleellista dataa talteen. Tekijä saattaa myös olla teknisesti niin taitava että hän pystyy ohittamaan tekniset suojaukset. Varastettavan tiedon voi salata, sen muotoa voidaan muuttaa, tai se voidaan pyöräyttää ulos sellaisen järjestelmän kautta, jossa ei ole DLP-tukea. Lisäksi hakukoneet auttavat, jos mielikuvitus ja osaaminen loppuvat mutta tahto säilyy. DLP ei siis ole välttämättä riittävä ratkaisu pahan sisäpiiriläisen varalle.

Dokumenttikohtaiset oikeudet

Jos itselläni olisi suojattavaa dataa, pyrkisin ratkaisuun, jossa data olisi salattua ja johon pitäisi erikseen määritellä ketkä voisivat sitä käyttää ja miten. Määrittely voi olla esim. ”kaikki firman työntekijät”, myyjät, Jory sekä Hallitus. Tärkeässä dokumentissa voi olla estetty printtaaminen ja sen saa auki vain määrätty ryhmä käyttäjiä. Ratkaisun pitäisi tukea sähköpostia sekä yleisimpiä toimistosovelluksia. Kun varas vie datan eikä ole enää firman palveluksessa, hänen käyttöoikeudet poistetaan ja samalla käyttäjä menettää oikeudet dokumenttiin. Tuloksena on, että hänellä on dokumentteja, jotka ovat salattuja “Lorem ipsum dolor sit amet, consectetur”, josta ei juuri ole iloa ellei osaa vahvasti salattua tietokoneajan munkkilatinaa. Esimerkkinä edellämainitusta tekniikasta on Microsoftin Active Directory Rights Management Services (AD RMS). Se toimii melkoisen hyvin toimiston peruskäyttäjien kanssa mutta pahoilla pääkäyttäjillä on omat pääsykeinonsa dataan. On varmuuskopioita, tietokantadumppeja, oikeuksien väärinkäyttöä, huijaamista sekä lukematon kasa muita likaisia temppuja.

Tietokoneen pitää valvoa lokeja

Pääkäyttäjiin tehoaa edellämainittujen lisäksi esimerkiksi työtehtävien kierrättäminen, ”separation of duties”, ja lokien seuranta. Työtehtävien kierrättäminen on vanha tietoturvakäytäntö, jossa yhdessä tehtävässä ollaan vain rajoitetun ajan, jotta ei kerkiä alkaa epärehelliseksi. Nykyresursseilla tämä tosin on hieman haastavaa – ainakin IT -osastolla, joista harvoin löytyy useampaa ”kaikkien alojen asiantuntijaa”.

Separation of duties tarkoittaa sitä, että eri tehtäviä jaetaan niin, että itse ei voi valvoa omaa toimintaansa. Pääkäyttäjillä saattaa olla täydet oikeudet esim. intranetiin tai jopa koko ympäristöön mutta lokien seuranta on hänen ulottumattomissaan ja lokiin jää merkintä, jos joku on alkanut ”luovaksi”. Nyt haasteeksi saattaa nousta työntekijöiden vähyys, joka voidaan ratkaista ulkoistamalla valvonta.

Näppärä pääkäyttäjä voi aiheuttaa tulvan tapahtumia lokeihin ja tehdä kolttosensa lokisumun takana, jos lokeja nyt muka joku ihminen sattuisi katsomaan. Ihminen ei kuitenkaan pysty seuraamaan ympäristön tapahtumia ilman hyvää lokien ja tietoturvatapahtumien analysointiohjelmistoa. Siksi tietokoneen pitää valvoa lokeja. Tällaiset ratkaisut tunnetaan yleensä nimikkeellä Security and Information Event Management (SIEM).

Mutta miksi Jeppe vei datan?

Edelläkuvattu on tekniikkaa ja käyttöönotto vaatii suunnittelua, kartoituksia ja hieman sitoutumista. Mutta miksi Jeppe vei datan? Valitettavasti Internetin laajasta tietoturvalaitteiden ja teorioiden kirjosta ei ole löytynyt Layer8 -tuotetta, jolla Jeppe voitaisiin luodata. Ratkaisua odotellessa pitänee tyytyä tietoturvaosaamiseen ja -tekniikkaan.

__

Jussi Perälämpi on Trusteqin Security Practice Lead, jolla on yli kymmenen vuoden kokemus mm. tietoturva-arkkitehtuurista, hardenoinnista ja tietoturva-automaatiosta.

Seuraa Jussia Twitterissä: @JussiPeralampi

Verizonin Business Risk Team on julkaissut raportin vuonnna 2009 käsittelemistään tietomurroista  Tuossa tutkimuksessa käsitellään 90 tietomurron joukkoa. Tuossa joukossa yllättävän pieni osa hyökkäyksistä kohdistui verkkolaitteisiin (kytkimet, reitittimet jne) Esimerkiksi WLANiin kohdistunutta hyökkäistä käytettiin vain yhdessä raportoidussa tapauksessa.

Yli kolmannes hyökkäyksistä kohdistui käyttäjätietoihin, niiden varastamiseen ja väärinkäyttöön. Arvatenkin osa hyökkäyksistä tehtiin varastettujen tunnusten avulla. Hälyttävän suuri osa hyökkäyksistä tehtiin kuitenkin jaettujen tunnusten tai järjestelmien oletustunnusten avulla. Toinen esille noussut hyökkäyskeino oli huonosti toteutetut pääsynhallintalistat (ACL), jotka käytännössä antoivat vapaan pääsyn kaikille käyttäjille. Molemmat hyökkäystyypit olisi kuitenkin erittäin helppo estää hyvin suunnitellulla ja toteutetulla IAM politiikalla. Jos tietomurtoa varten tarvitsi saada haltuun tunnuksia, useimmiten käytetiin hyväksi sovellusten haavoittuvuuksia. Yksinkertaisemmillaan käytettiin SQL injektiota, jossa toivotaan, että kohdesovellus ei tarkista saamaansa syötettä riittävän hyvin.

No, mitä teki kohdeyritys tietomurron jälkeen? Raportin mukaan ei mitään, viikkoon tai kuukausiin. 75% tietomurroista nimittäin havaittiin vasta viikkojen tai kuukausien päästä tietomurron tapahtumisesta. Tietomurtoja ei edes havaittu yrityksessä, vaan 70% tietomurroista havaitiin yrityksen ulkopuolisten henkilöiden toimesta. 13% tapauksista havaittiin muiden työtehtävien ohessa ja ainoastaan 19% tietojärjestemien toiminnan heikkenemisen, auditoinnin tai lokien avulla. Onneksi tietomurtojen havainnointiin on parempiakin keinoja kuin luottaa satunnaisten ohikulkijoiden hyväsydämisyyteen.

Karkeasti ottaen kaikesta mitä tietojärjestelmissä tapahtuu jää (tai ainakin pitäisi jäädä) merkintä lokeihin. Juuri noiden lokimerkintöjen avulla Verizonin raportin 90 tapausta on tutkittu ja selvitetty. Useissa tapauksissa lokeihin jää merkkejä tulevasta tietomurrosta, kun rikollinen vasta valmistelee varsinaista hyökkäystä, tutustuu järjestelmään ja kerää tarvittavia tietoja.

Security Information and Event Management (SIEM) ratkaisu tarjoaa apua tietomurtojen sekä niiden valmistelujen havainnointiin. Ensimmäinen tehtävä on tietysti määritellä mitä on järjestelmän normaali käyttö sekä millainen käyttö on epäilyttävää tai virheellistä. SIEM ei tietenkään pysty yksinään ratkaisemaan koko ongelmaa. SIEM ratkaisun tulisi teitää millaisia käyttäjärooleja järjestelmässä on, kenellä on oikeus mihinkin rooliin ja mitä kyseisellä roolilla on oikeus tehdä. Parhaimmillaan SIEM ratkaisu saadaankin integroitua käyttäjätietojen- ja roolienhallintajärjestelmiin. Esimerkiksi sovelluskehittäjällä ja tietokantaadministraattorilla voi olla hyvinkin erilaiset oikeudet käsitellä tietokannan tietoja ja tämän tulisi heijastua SIEM järjestelmän sääntöihin.

Todellisessa maailmassa kaikki järjestelmät eivät integroidu toisiinsa, yrityksessä ei ole tehty roolipohjaista pääsyn hallintaa yms. Lokien automaattisella analysoinnilla voidaan tällaisissakin tapauksissa saada hyviä tuloksia. Tunnus saattaa ottaa yhteyttä oudosta IP osoitteesta ei tuettuihin portteihin, käy läpi järjestelmän hakemistoja ja asentaa haittaohjelmistoja. Tunnuksella saatetaan tallentaa huomattavia määriä tietoja ja tietoa siirretään käyttäen erikoisia portteja. Kun nämä tiedot saada kerättyä yhteen paikkaan ja tulkittua oikeiden sääntöjen mukaan tietomurron havainnointiin on huomattavasti paremmat mahdollisuudet kuin raportin antamat luvut: 70% hyökkäyksistä havaitaan ulkopuolisten toimesta ja havainnot 75% tapauksissa viikojen tai kuukausien kuluttua. Parhaassa tapauksessa havaitaan jo tietomurron valmistelu ennen kuin arvokasta tietoa päätyy rikollisten käsiin.

Edellä on muutamia kysymyksiä, jotka varmasti tulevat mieleen kun käy ilmi, että jotain tärkeää tai vähemmän tärkeää, mutta luottamuksellista tietoa on joutunut vieraisiin käsiin. Ulkopuolelta tulevia uhkia on helppo torjua. Palomuurit, virustorjunta, erilaiset verkkoliikennettä analysoivat ohjelmistot ja laitteet auttavat pitkälle torjumaan ulkopäinä tulevia uhkia. Lisäksi ulkopuolelle näkyvät palvelimet on helppo rajata ja valvoa mitä tietoa niissä on. Ovella seisova vartija, kulunvalvonta ja kamerat suojaavat ulkoa tulevilta fyysisiltä uhilta. Edellä mainitut asiat ovat osa tietoturvaa. Usein kuitenkin unohdetaan jotain oleellista; ohjelmistoihin ja laitteisiin on helppo investoida lisää ja luoda sitä kautta turvallisuuden tuntua, mutta monesti teknologian ja termien sekaan unohdetaan tietoturvan tärkein osa.

Päivittäin saamme lukea, kuinka miljoonia luottokorttien numeroita on varastettu, tai miten on saatu haltuun tietoja salaisista ohjuksista. Yrityksen työntekijä on tärkein tietoturvan osa ja samalla sen heikoin lenkki. Miksi kilpailijan kannattaisia yrittää edes murtautua kaliiden palomuurien läpi, jos tieto on saatavilla helpomminkin. Yksinkertaisimmillaan puhelinsoitto sopivalle henkilölle riittää, hyvällä tuurilla keskus ohjaa suoraan oikealle henkilölle ja tiedon voi saada kysymällä tai henkilön nimi on löytynyt yrityksen internet sivuilta. Käyttäjäntunnistuksen parissa työskennellessäni myös minulle on lähetetty ongelmatilateissa sähköpostilla käyttäjätunnuksia ja salasanoja yhdellä sähköpostilla jopa minun niitä pyytämättä. Enkä siis ole ollut kyseisten henkilöiden kanssa missään tekemisissä aikaisemmin. Ulkopuolinenkin voi tärkempia tietoja voi hankkia kysymällä käyttäjän salasanan tai vaikka huijaamalla henkilö lähettämään tiedot. Pienemmissäkään yrityksissä kaikki työntekijät eivät tunne toisiaan. Salasanojen huijaaminen onnistuu todistettavasti jopa tietoturvan ammattilaisilta kongressin aikana johon he osallistuivat suklaapatukkaa vasten. He ovat henkilöitä jotka ovat valveentuneita ja joiden pitäisi tuntea nämä asiat. Normaalilta käyttäjältä tämä siis todennäköisesti onnistuu vielä helpommin. Normaali käyttäjä voi myös vahingossa lähettää tietoja ulkopuolelle tai väärille henkilöille. Tai epähuomiossa julkaista jotain tietoa jossain. Mahdollisesti hän voi säilyttää tietoa kotikoneellaan ja tietämättömyyttään myydä sen kaikkine luottamuksellisine tietoineen eteenpäin. Myös IT-henkilöstö voi epähuomiossa jättää kovalevyjä tyhjentämättä koneista, jotka ovat menossa kierrätykseen tai kaatopaikalle.

Tämä ei koske ainoastaan isoja yrityksiä vaan myös pienempiä. Isolle yritykselle yhden dokumentin hukkaaminen ei välttämättä ole kohtalokasta, mutta pienelle patentoitavan keksinnön piirustusten joutuminen kilpailijalle voi muodostua kohtalokkaaksi koko yrityksen tulevaisuutta ajatellen.

Tilannetta voidaan parantaa hankkimalla ohjelmistoja, jotka esimerkiksi estävät dokumenttien siirtämisen palvelimelta muistikortille tai liittämästä sitä sähköpostiin. Nämä eivät kuitenkaan itsessään ratkaise ongelmaa. Dokumentin tuottajan on osattava määritellä riittävä suojaustaso dokumentin sisältämän tiedon perusteella. Hänen on osattava käyttää ohjelmistoa oikeen ja käyttäjien oikeudet on oltava määriteltynä. Tällaiset ohjelmat on tarkoitettu ennemmin suojaamaan vahingoilta ja käyttäjän virheiltä, kuin estämään pahantahtoisen käyttäjän toimia (toki ne hankaloittavat sitä). SIEM -teknologialla voidaan tunnistaa hyökkäyksiä ja tietovuotoja. Jopa estää niitä, jos järjestelmä huomaa ongelman ajoissa ainakin uhkan tullessa ulkoa päin. Dokumentin sisällän voi esimerkiksi edelleen lukea puhelimessa toiselle, sitä ei voi estää toistaiseksi millään ohjelmalla. Tai jos loppukäyttäjä haluaa julkistaa sen kaikille Facebook:ssa, sen estäminen on hankalaa.

Tietoturva alkaa siis käyttäjästä ja käyttäjän toimia ohjaa yrityksen tietoturvapolitiikka. Ulkopuolelta tulevia uhkia vastaan ja tietovuotojen havaitsemista vasten paras apu tulee tekniikasta.

Miten tämä sitten olisi voitu estää? Valitettava tosiasia on, että harvoin tietoturvallisuuden puutteisiin reagoidaan ennen kuin on liian myöhäistä. Jos tietoturvamielessä heikkoon järjestelmään olisi suoritettu puolueeton auditointi, näin ei olisi päässyt tapahtumaan.

Miten sitten kriittiset järjestelmät tulisi suojata uhkia vastaan? Ratkaisuja on useita, niin myös niistä syntyviä tapahtumia eli lokeja. Jokainen järjestelmä tuottaa lokeja omalla tavalla ja kielellään. Kymmenien järjestelmien valvominen on erittäin aikaa vievää ja hankalaa.

Security Information and Event Management (SIEM) mahdollistaa alustariippumattoman tavan kerätä eri järjestelmistä tapahtumat sekä yhdistää ne yhden järjestelmän alle, jolla saadaan valvottua kaikkia verkon komponentteja reaaliaikaisesti sekä vaivattomasti. Epäilyttävistä toiminnoista verkossa järjestelmä voidaan asettaa lähettämään hälytyksen ylläpidolle, jolloin vahinko ei vielä välttämättä ole päässyt tapahtumaan.

Selvennettäköön, että SIEM ei ole tuote, SIEM on ratkaisu. Markkinoilla on olemassa hyviä työkaluja SIEM:n käyttöönottoon, mutta ilman sopivaa tarvetta ja sitoutumista prosessiin SIEM:in ominaisuudet jäävät auttamattomasti hyödyntämättä.  Ainoastaan hyvin suunniteltuna SIEM toimii organisaation tietoturvaprosessia tukevana ratkaisuna.

Syvennytään SIEM:n maailmaan myöhemmissä blogikirjoituksissa.