Saksan valtionhallinnon tietomurtojen ei pitäisi yllättää ketään
Keskiviikkona 28.2. julkistettiin uutisia tuoreista tietomurroista Saksan valtionhallintoon. Uutistietojen mukaan saksalaisviranomaiset tutkivat tietomurtoja Saksan ulkoministeriön ja puolustusministeriön verkkoihin. Viranomaiset ovat yhdistäneet murrot Sofacy-nimellä tunnettuun ryhmään (tunnettu myös nimillä Fancy Bear, APT28, ja muilla nimillä), joka on tunnettu edistyneistä ja pitkään kestäneistä hyökkäyksistä. Venäjän valtionhallinnon arvioidaan tukevan tätä ryhmää.
Sofacy on hyvin tunnettu kyberturvapiireissä ja siihen yhdistetään useita tunnettuja vakavia hyökkäyksiä. Sen epäillään murtautuneen esimerkiksi Maailman Antidoping-toimikuntaan, Yhdysvaltain demokraattisen puolueen kansalliseen komiteaan sekä pyrkineen vaikuttamaan viimevuotisiin vaaleihin Saksassa ja Ranskassa.
Sofacyn yhdistäminen Saksan tuoreisiin murtoihin on uskottavaa. F-Securen tietoturvakonsultti Tom Van de Wiele sanoo, että kenenkään ei pitäisi enää yllättyä murroista.
“Hyökkäykset eivät ole yllättäviä, eivätkä sinänsä uutisarvoisia. Valtionhallinto on jatkuvasti, ehkä yllättävänkin usein tietomurtoyrityksien kohde, ja tähän ala on tottunut”, Tom kertoo. “Hyökkäyksissä on havaittavissa selviä trendejä, mitkä auttavat ennakoimaan niitä. Hyökkääjät ovat etulyöntiasemassa puolustukseen nähden, joten ne jatkuvat edelleen.”
Kerromme seuraavaksi muutamasta hyökkäysten jatkumista selittävästä trendistä.
Attribuutio on vaikeaa
Tietyn hyökkäyksen yhdistäminen tiettyyn yksilöön, ryhmään, liikkeeseen tai maahan ei ole helppoa, kun kuka tahansa voi ostaa ja myydä hyökkäyksessä tarvittavia välineitä. Ja kun yrität selvittää, kuka hyökkää ja kuka rahoittaa, niin tulokset ovat hyvin epävarmoja.
“Espanjalaiset IP-osoitteet ja espanjalaiset päätelaitteet hyökkäyksessä eivät välttämättä tarkoita tukea tai rohkaisua Espanjan hallinnolta tai kerro heidän tavastaan toimia”, Tom kertoo. “Sofacyn tai Venäjän näihin hyökkäyksiin yhdistävää todistusaineistoa saattaa olla olemassa, mutta en ole nähnyt julkisuudessa mitään, mikä vahvistaisi tai kiistäisi nämä arviot. Syyllisyyttä on usein vaikea todentaa, joten kyberhyökkäykset ovat houkutteleva työkalu vakoiluun, tietovarkauksiin ja muuhun samantyyppiseen toimintaan.”
Vanhat järjestelmät varmistavat vanhojen temppujen onnistumisen
Suurtietokoneet, vanhat sovellukset ja laitteet, vanhentuneet ja turvattomat palvelut pitkillä sopimuksilla ovat iso ongelma valtionhallinnolle. Yksi esimerkki on OPM-murto vuodelta 2015, jossa vanhat järjestelmät osoitettiin merkittäväksi ongelmaksi.
“Valtionhallinnolla on it-budjetti ja järjestelmien suojaaminen kaikkea hallinnon tai osaston uhkamalliin kirjattuja uhkia vastaan ei ole aina mahdollista”, Tom kertoo.
Kyberpuolustuksesta puuttuu usein syvyyttä
Haavoittuvuuksien paikkaaminen niiden löytämisen jälkeen on eräänlainen kilpailu siitä, ehtivätkö puolustajat paikkaamaan, ennen kuin hyökkääjillä on valmiina tapa hyökätä haavoittuvuuden avulla. Useimmissa tapauksissa, vastaus on ei, koska useimmat organisaatiot eivät kykene tähän kustannustehokkaasti. Mitä puolustajien pitäisi sitten tehdä?
“Verkon osastointi, sovellusten ja käyttöjärjestelmän vahvistaminen, tapahtumien seuranta ja hälytysmekanismit auttavat periaatteessa. Tosielämässä tämä ei ole riittävästi”, Tom kertoo. “Hyökkäyksen laajenemisen hillitsemisen strategiat eivät toimi kovin hyvin ilman näitä kerroksia, mikä johtaa keskeisten osien, kuten sähköpostin, Active Directory -käyttäjätietokannan, varmuuskopioratkaisun tai pilvi-infrastruktuurin suojauksien pettämiseen.”
Kyberturva-asiantuntemus ei riitä hyökkäysten torjuntaan
On yleisesti tiedossa, että kyberturva-asiantuntijoista on pulaa.
“Epämiellyttävä totuus on, että niin pitkään kuin julkinen sektori joutuu taistelemaan yritysten kanssa asiantuntijoista, niin asiantuntijoiden palkkaaminen voi olla vaikeaa julkiselle sektorille”, Tom sanoo. “Kunnes tilanne muuttuu, valtionhallinnon suuret tietoturvahankkeet ja digitalisointihankkeet etenevät hitaasti tai johtavat keskinkertaisiin tuloksiin.”
Työntekijät osana hyökkäyspinta-alaa
“Suuri osa julkisen sektorin organisaatioista testaa kykyä havaita perustason hyökkäyksiä, mutta yleisesti ottaen he eivät kykene havaitsemaan edistyneempiä hyökkäyksiä, kuten kohdennettuja hyökkäyksiä”, Tom sanoo. “On hyvin epäkäytännöllistä tarjota tasokasta tietoturvakoulutusta henkilöille, joiden sähköpostilla pääsee käsiksi arvokkaaseen tietoon organisaation omassa verkossa. Yritysten, joiden verkkoihin on rakennettu turvakerroksia, ei tarvitse huolehtia asiasta samaan tapaan, koska heillä päätelaitteiden suojaus varmistaa tärkeimmän tiedon suojauksen.”
Viime vuonna WannaCry ja NotPetya -hyökkäykset osoittivat kuinka tärkeitä nämä kerrokset ovat. WannaCry-hyökkäystä seuranneena Tom ehdottaa, että yrityksen ulkopuolelle suuntaavissa tehtävissä työskenteleviä työntekijöitä kohdeltaisiin eräänlaisena ”demilitarisoituna” vyöhykkeenä, ja heidät eristetään verkon kriittisimmistä osista.
Lokien pitäminen ja kyky tunnistaa poikkeavia tapahtumia ei ole niin suosittua kuin voisi olla.
On tärkeää ymmärtää, mitkä tapahtumat ovat tietoturvaan liittyviä tapahtumia ja mitkä eivät ole, jotta tunnistaminen ja reagointi sujuisi. Valitettavasti tätä ei priorisoida uhkien ehkäisemisen tapaan.
“Organisaatiot käyttävät yleensä oletusarvoista käyttöjärjestelmien ja verkkolaitteiden tapahtumien seurantaa. Verkon seurannan tehostaminen esimerkiksi keskitetyllä tapahtumien seurannalla (off-box central logging) on nopea ja usein ylenkatsottu tapa tehostaa turvaa”, Tom sanoo. “Ilman it-organisaation tilan ja turvallisuuden keskitettyä monitorointia, sekä turvallisuuden määrittämistä jonkun vastuulle, organisaatiot eivät voi seurata hyökkäyksen etenemistä, vastata niihin nopeasti tai tehokkaasti tai kertoa johdolle tarvitsevansa lisää resursseja.”
Kategoriat