Aina silloin tällöin julkaistaan lehdistössä tietoja tietomurron kohteeksi joutuneista tietojärjestelmistä. Niissä kuitenkaan harvoin kerrotaan juuri mitään tietomurron anatomiasta, hyökkäysten estämisestä tai havainnoinnista. Tietomurroista liikkuu paljon enemmän tai vähemmän hyviä arveluja ja mielipiteitä. Esimerkiksi verkon turvaamista pidetään yhtenä merkittävimmistä tietoturvan tekijöistä.

Verizonin Business Risk Team on julkaissut raportin vuonnna 2009 käsittelemistään tietomurroista  Tuossa tutkimuksessa käsitellään 90 tietomurron joukkoa. Tuossa joukossa yllättävän pieni osa hyökkäyksistä kohdistui verkkolaitteisiin (kytkimet, reitittimet jne) Esimerkiksi WLANiin kohdistunutta hyökkäistä käytettiin vain yhdessä raportoidussa tapauksessa.

Yli kolmannes hyökkäyksistä kohdistui käyttäjätietoihin, niiden varastamiseen ja väärinkäyttöön. Arvatenkin osa hyökkäyksistä tehtiin varastettujen tunnusten avulla. Hälyttävän suuri osa hyökkäyksistä tehtiin kuitenkin jaettujen tunnusten tai järjestelmien oletustunnusten avulla. Toinen esille noussut hyökkäyskeino oli huonosti toteutetut pääsynhallintalistat (ACL), jotka käytännössä antoivat vapaan pääsyn kaikille käyttäjille. Molemmat hyökkäystyypit olisi kuitenkin erittäin helppo estää hyvin suunnitellulla ja toteutetulla IAM politiikalla. Jos tietomurtoa varten tarvitsi saada haltuun tunnuksia, useimmiten käytetiin hyväksi sovellusten haavoittuvuuksia. Yksinkertaisemmillaan käytettiin SQL injektiota, jossa toivotaan, että kohdesovellus ei tarkista saamaansa syötettä riittävän hyvin.

No, mitä teki kohdeyritys tietomurron jälkeen? Raportin mukaan ei mitään, viikkoon tai kuukausiin. 75% tietomurroista nimittäin havaittiin vasta viikkojen tai kuukausien päästä tietomurron tapahtumisesta. Tietomurtoja ei edes havaittu yrityksessä, vaan 70% tietomurroista havaitiin yrityksen ulkopuolisten henkilöiden toimesta. 13% tapauksista havaittiin muiden työtehtävien ohessa ja ainoastaan 19% tietojärjestemien toiminnan heikkenemisen, auditoinnin tai lokien avulla. Onneksi tietomurtojen havainnointiin on parempiakin keinoja kuin luottaa satunnaisten ohikulkijoiden hyväsydämisyyteen.

Karkeasti ottaen kaikesta mitä tietojärjestelmissä tapahtuu jää (tai ainakin pitäisi jäädä) merkintä lokeihin. Juuri noiden lokimerkintöjen avulla Verizonin raportin 90 tapausta on tutkittu ja selvitetty. Useissa tapauksissa lokeihin jää merkkejä tulevasta tietomurrosta, kun rikollinen vasta valmistelee varsinaista hyökkäystä, tutustuu järjestelmään ja kerää tarvittavia tietoja.

Security Information and Event Management (SIEM) ratkaisu tarjoaa apua tietomurtojen sekä niiden valmistelujen havainnointiin. Ensimmäinen tehtävä on tietysti määritellä mitä on järjestelmän normaali käyttö sekä millainen käyttö on epäilyttävää tai virheellistä. SIEM ei tietenkään pysty yksinään ratkaisemaan koko ongelmaa. SIEM ratkaisun tulisi teitää millaisia käyttäjärooleja järjestelmässä on, kenellä on oikeus mihinkin rooliin ja mitä kyseisellä roolilla on oikeus tehdä. Parhaimmillaan SIEM ratkaisu saadaankin integroitua käyttäjätietojen- ja roolienhallintajärjestelmiin. Esimerkiksi sovelluskehittäjällä ja tietokantaadministraattorilla voi olla hyvinkin erilaiset oikeudet käsitellä tietokannan tietoja ja tämän tulisi heijastua SIEM järjestelmän sääntöihin.

Todellisessa maailmassa kaikki järjestelmät eivät integroidu toisiinsa, yrityksessä ei ole tehty roolipohjaista pääsyn hallintaa yms. Lokien automaattisella analysoinnilla voidaan tällaisissakin tapauksissa saada hyviä tuloksia. Tunnus saattaa ottaa yhteyttä oudosta IP osoitteesta ei tuettuihin portteihin, käy läpi järjestelmän hakemistoja ja asentaa haittaohjelmistoja. Tunnuksella saatetaan tallentaa huomattavia määriä tietoja ja tietoa siirretään käyttäen erikoisia portteja. Kun nämä tiedot saada kerättyä yhteen paikkaan ja tulkittua oikeiden sääntöjen mukaan tietomurron havainnointiin on huomattavasti paremmat mahdollisuudet kuin raportin antamat luvut: 70% hyökkäyksistä havaitaan ulkopuolisten toimesta ja havainnot 75% tapauksissa viikojen tai kuukausien kuluttua. Parhaassa tapauksessa havaitaan jo tietomurron valmistelu ennen kuin arvokasta tietoa päätyy rikollisten käsiin.