Miksi tietoturva tyritään jo perusasioissa?
Monissa yrityksissä tunnutaan elävän siinä harhaluulossa, että ostamalla ja käyttöönottamalla kasan sofistikoituneita tietoturvatuotteita yrityksen tietoturva-asiat ovat kunnossa.
Tämä harhaluulo luo valheellisen mielikuvan tietoturvasta, sillä todellisuudessa moni perusasia on yhä retuperällä. Ohjelmistosuunnittelussa puhutaan usein olemattomasta hopealuodista eli silver bullet -ilmiöstä, jolla viitataan siihen, ettei monipuoliseen haasteeseen ole olemassa yksittäistä, kaikkivoipaa ratkaisua. Ilmiö pätee teknologiaan laajemminkin, myös yrityksen tietoturvan rakentamiseen.
Luennoin tietoturvasta usein sekä Suomessa että ulkomailla ja luentomatkojen yhteydessä tapaan paljon asiakkaita, partnereita ja tietoturva-asiantuntijoita. Kun puheeksi tulee heihin osuneet onnistuneet tietomurrot tai julkisuudessa olleet hyökkäykset, käy monesti ilmi, että lähes kaikissa tapauksissa hyökkääjä on onnistunut yrityksessään, koska perusasiat on hoidettu huonosti tai jopa jätetty kokonaan hoitamatta.
Tietojärjestelmiin tunkeudutaan usein ruohonjuuritasolta, yritysten tietojärjestelmän peruspalikoiden kautta: esimerkiksi palomuurit tulee konffata huolella ja ylimääräiset portit sulkea, sekä haavoittuvat softat paikata. Esimerkiksi Windows-järjestelmiä piinannut WannaCry käytti hyväkseen jo tiedossa olevaa haavoittuvuutta, johon oli tietoturvapäivitys olemassa.
Unohduksista ja huolimattomuuksista on olemassa useita surullisia esimerkkejä. Ei tarvitse kuin itse käyttää vaikkapa Shodania kaiken haavoittuvan etsimiseen. Tai jos ei itse viitsi etsiskellä, voi seurata Dan Tentleriä ( @Viss), joka säännöllisen epäsäännöllisesti twiittailee löytämistään suojaamattomista järjestelmistä. Hänen viimeaikaiselta listaltaan löytyy muun muassa AD-palvelimia, SCADA-tuotantojärjestelmiä ja oma suosikkini, liikennevalojen ohjausjärjestelmä.
Miksi perusasiat ovat hunningolla?
Käytännössä jo perusosaamisella varustettu järjestelmäylläpitäjä osaa laittaa perusasiat kuntoon, mutta inhimillisiä virheitä voi aina sattua. Lisäksi tietoturvaympäristön jatkuvat muutokset vaikeuttavat osaamistason ylläpitoa. Oman haasteensa asettaa se, että tuotantokäytössä olevan järjestelmän muokkaaminen voi synnyttää uusia ongelmia. Voi olla helpompaa olla koskematta, jos järjestelmä toimii.
Päivitysten, palomuurien ja muiden verkon keskeisten komponenttien kanssa säätäminen ei myöskään ole pidemmän päälle kovinkaan mieltäylentävää puuhaa, mikä osaltaan nostaa virheiden ja huolimattomuuden riskiä.
Teknisesti perusasioiden hoitamista hankaloittaa jo keskisuurissa yrityksissä monimutkaiseksi äityvä verkon rakenne ja sisältö. Laitteiden, ohjelmistojen, käyttäjien ja tarpeiden määrän kasvaessa kahvia ja tupakkaa menee tuplamäärä, ja perusasioiden hoitaminen muuttuu eksponentiaalisesti vaikeammaksi. Yhden laitteen haavoittuvuus tai pieni huolimattomuusvirhe muuten hyvin hoidetussa järjestelmässä voi johtaa koko järjestelmän altistumiseen.
Defender’s dilemma eli puolustajan pulma
Tietoturva-alalla puhutaan defender’s dilemmasta, jolle kelpo suomennos on puolustajan pulma. Sen ratkaiseminen vaatii, että perusasiat ovat kunnossa.
Puolustajan pulmassa on kyse siitä, että puolustajan on pakko torjua jokainen heihin kohdistuvista tuhansista hyökkäyksistä, kun taas hyökkääjän tarvitsee onnistua hyökkäyksessään vain kerran. Hyökkääjä pystyy moderneilla hyökkäystyökaluilla automatisoidusti, ilman ihmistyötä, generoimaan uusia murtoyrityksiä senttien murto-osien hinnalla, erityisesti edellä mainittuja haavoittuvuuksia ja palomuurin aukkoja vastaan.
Näin puolustaja on jo lähtökohtaisesti altavastaaja.
Puolustajan pulmaa on pyritty kääntämään päälaelleen käyttämällä kerrostettua tietoturvaa. Jos puolustus olisi sipuli, sen jokainen kerros sisältäisi oman suojausmekanisminsa. Eri kerroksia olisivat muun muassa yrityksen verkkopalvelut, palomuurit, yhdyskäytävät, päätelaitteen virustentorjuntaohjelmistot ja niin edelleen.
Kerrostettu tietoturva lähtee olettamuksesta, että hyökkääjä pystyy kenties läpäisemään pari kerrosta, muttei kaikkia. Mitä paremmin perusasiat on tällaisessa tilanteessa hoidettu, sen parempi. Kaikkea ei kuitenkaan ole menetetty, vaikka järjestelmä ei olisikaan täydellinen.
Kerrostettu tietoturva, hyökkääjän pahin painajainen
Kerrostettu tietoturva tekee puolustajan pulmasta hyökkääjän harmin: hänen tulee löytää haavoittuvuus sekä reitti palomuurin ja yhdyskäytävän kautta päätelaitteeseen, jossa eteen tulee vielä monitasoinen turvajärjestelmä. Käytännössä hyökkääjän pitäisi onnistua ninjan lailla moneen otteeseen, ja siitä huolimatta hän jäisi helposti kiinni.
Mikään rehellinen toiminta ei käyttäydy yritysverkossa vastaavalla tavalla, joten hyökkääjä on helposti tunnistettavissa. Jos jotain ikävää tapahtuisi kerrostetusta tietoturvasta huolimatta, hyökkäys olisi nopea havaita. Haavoittunut komponentti eristettäisiin automaattisesti muusta verkosta, ja ylläpitäjä voisi paikata vuodon hiukan kevyemmin sydämen tykytyksin.
Ennen kuin lataat pistoolisi kasan hopealuoteja, kannattaa se puhdistaa, öljytä ja huoltaa kaikin mahdollisin tavoin. Luodeista ei nimittäin ole hyötyä, jos pistooli leviään käsiin.
Sama ohje päätee myös yrityksen tietoturvaan. Tee testi ja selvitä mikä yrityksesi päälaitteiden suojauksen tietoturvatilanne on.
—
Teemu Myllykangas, Tuotemarkkinointipäällikkö, F-Secure Oyj
Teemu on kauppatieteellisen ja teknillisen tiedekunnan kasvattilapsi, ikuinen optimisti ja globaalin tuote- ja teknologiamarkkinoinnin moniosaaja.
Työkseen Teemu luo kasvubisneksiä ja kertoo häkellyttäviä tarinoita koneoppimisesta sekä tietoturvasta.
Teemu on aikaisemmin toiminut mm. yrittäjänä, puhujana ja tapahtumatuottajana niin Suomessa kuin ulkomaillakin. Hänen vapaa-aikansa täyttyy sijoitustoiminnasta, potkunyrkkeilystä sekä lavataiteen eri muodoista.
www.linkedin.com/in/teemumyllykangas
Kategoriat