Koventaminen – Miten pitää hakkerit ulkona tietojärjestelmistä?
Yli kolmannes tietomurroista käyttää hyväkseen teknistä haavoittuvuutta jo hyökkäyksen alkuvaiheessa. Teknisiä haavoittuvuuksia löydetään ohjelmistoista ja käyttöjärjestelmistä päivittäin. Usein haavoittuvuustiedotteen saavuttaessa ylläpitäjät, on haavoittuvuutta käytetty hyväksi jo ympäri maailmaa.
Oli haittaohjelman alkuperäinen toimitustapa sitten käyttäjien huijaaminen, toimitusketjuhyökkäys tai oikeastaan mikä tahansa, hyökkääjän täytyy saada haitallinen ohjelma tai skripti ajettua kohteessa saavuttaakseen tavoitteensa.
Lockheed Martin määrittelee kyberhyökkäyksen koostuvan 7 vaiheisesta ”ketjusta” (Cyber Kill Chain® | Lockheed Martin):
- Tiedustelu – tiedon kerääminen esim. julkisista lähteistä (henkilötiedot, teknologiat, toimintatavat)
- Aseistaminen – haittaohjelman ja toimitustavan kehittäminen kerätyn tiedon perusteella
- Toimittaminen – haittaohjelman toimittaminen kohteeseen (sähköposti, muistivälineet, toimitusketju)
- Hyväksikäyttö – haittaohjelman suorittaminen kohteessa
- Asentaminen – jalansijan asentaminen kohteeseen
- Komentokanava – komentokanavan perustaminen saastuneen kohteen ja hyökkääjän välille
- Toiminta tavoitteessa – tiedon varastaminen tai hyökkäyksen jatkaminen
Jos yksikin näistä vaiheista epäonnistuu, niin hyökkäys katkeaa eikä hyökkääjä saavuta tavoitteitaan. Käyttöjärjestelmien ja sovellusten koventaminen pyrkii vaikuttamaan viiteen jälkimmäiseen vaiheeseen ja näin luo usean mahdollisuuden katkaista hyökkäysketju.
Koventaminen pähkinänkuoressa
Koventamisella pienennetään laitteiden, ohjelmistojen ja käyttöjärjestelmien teknistä hyökkäyspinta-alaa konfiguroimalla laitteet turvallisesti. Tyypillisesti koventaminen sisältää tarpeettomien sovellusten ja palveluiden poistamista/sammuttamista, käytössä olevien sovellusten ja palveluiden konfiguroimista parhaiden käytänteiden mukaisesti ja käyttöoikeuksien rajaamista muun muassa Least Privilege Princible -periaatteella.
Hyvin toteutettuna koventaminen suojaa niin tunnettuja, kuin tuntemattomiakin haavoittuvuuksia vastaan kuitenkaan estämättä tietojärjestelmien käyttöä. Parhaimmillaan tekninen koventaminen tukee ja toteuttaa toiminnallisia tietoturvapolitiikkoja ja ohjeita.
Suunnitellessa esimerkiksi työasemien kovennuksia käyttäjien tarpeet tulee huomioida, jotta myös käytettävyys säilyy. Koventaminen on siis tasapainottelua turvallisuuden ja käytettävyyden välillä, mikä vaatii laitteen käyttöprofiilin, turvallisuusvaatimusten ja riskien arviointia.
Koventamisen toteutustapa riippuu kovennettavista laitteista, käyttöjärjestelmistä ja ohjelmistoista. Esimerkiksi Windows-toimialueen laitteet saadaan kätevästi ja keskitetysti kovennettua ryhmäkäytänteillä (Group Policy). Sama toiminnallisuus saavutetaan Linux-ympäristöissä käyttämällä konfiguraationhallintajärjestelmää, jolla Linux-pohjaisten laitteiden konfiguraatiota voidaan hallita keskitetysti.
Konfiguraationhallinnalla järjestystä kaaokseen
Teknisten haavoittuvuuksien lisäksi huonosti konfiguroidut laitteet luovat edellytykset hyökkääjälle päästä sisään ja jatkaa hyökkäystä syvemmälle verkkoon. Väärin konfiguroituna sovellukset ja palvelut usein käyttäytyvät myös odottamattomilla tavoilla, jotka voivat pahimmillaan mahdollistaa hyökkääjän pääsyn laitteeseen ja ”parhaimmillaan” laskee palveluiden käytettävyyttä tai saatavuutta.
Käyttämällä pilvipalveluista tuttua Infrastructure as Code -periaatetta, myös paikallisen infrastruktuurin hallintaan konfiguraatioiden versio- ja muutoksenhallinta tehostuu. Myös uusien laitteiden käyttöönotto nopeutuu ja asennetut laitteet on konfiguroitu tasalaatuisesti. Koventamalla tietojärjestelmät keskitetysti ja hallitusti organisaation kybersietoisuus paranee huomattavasti ja samalla paranee myös tilannekuva organisaation tietojärjestelmien tilasta.
Ilmaista lounasta ei kuitenkaan ole olemassa; Koventaminen ja etenkin koventamisen automatisointi vaatii kattavaa suunnittelua ja testaamista onnistuakseen hyvin. Organisaation ollessa valmis tähän alkuinvestointiin maksaa se kuitenkin itsensä todennäköisesti moninkertaisesti takaisin.
Lähteet
Leiritie, T. 2023. Automated hardening of Linux infrastructure – Theseus, Turun ammattikorkeakoulun opinnäytetyö.
Mandiant (2023). M-Trends 2022 Mandiant Special Report. https://www.mandiant.com/resources/reports/m-trends-2022-insights-todays-top-cyber-trends-and-attacks
Lockheed Martin (2023). Cyber Kill Chain. https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html