26.5.2020 9:00

Harhauttamisella lisää tehoa kybertoimintaympäristön havainnointiin

ICT-ympäristön kyberturvallisuuden valvontaa ja havainnointia (SIEM/SOC-palvelu) tehdään perinteisesti keräämällä loki- ja tapahtumadataa ympäristön eri osista ja kerroksilta kuten esimerkiksi verkkolaitteista. Palvelimista, työasemilta sekä palomuureilta ja muilta tietoturvalaitteilta. Laaja datan kerääminen parantaa havainnointia, mutta myös aiheuttaa myös suuren määrän hälytyksiä, joita voi laajoissa ympäristöissä olla miljoonia päivässä.

Aiheellisten hälytysten poimiminen ja tunnistaminen tästä massasta on haastavaa ja tuo viivettä todellisten hyökkäyksien tunnistamisessa. Toki koneoppimista ja tekoälyä pyritään soveltamaan poikkeamien tunnistamisessa ja teknologia tällä saralla kehittyy nopeasti.

Hunajapurkit houkuttimina

Harhauttaminen hunajapurkkien (engl. Honeypot) avulla on yksi tapa nopeuttaa ja tehostaa hyökkäysyritysten havainnointia. Hunajapurkilla tarkoitetaan tässä yhteydessä ansaa tai harhautinta, johon vihamielinen hyökkääjä kohdistaa hyökkäyksensä varsinaisen ICT-tuotantojärjestelmän sijaan.

Ansa voi koostua esimerkiksi tahallaan huonosti suojatusta tietoturvakomponentista, verkkoelementistä, tietokannasta tai palvelimesta, jonne hyökkääjä onnistuu murtautumaan helpommin. Hyökkääjän näkökulmasta kohde vaikuttaa aidolta, mutta todellisuudessa hunajapurkki on eristetty muusta ympäristöstä ja se sisältää tarvittavat havainnointisensorit tunkeutumisen havainnoimiseksi.

Hunajapurkkeja ajetaan usein virtualisoiduissa ympäristöissä, jolloin yhdellä palvelimella voidaan ylläpitää useampaa hunajapurkkikohdetta. Kehittyneet hunajapurkit mahdollistavat mm. haittaohjelmien keräämisen ilman, että hunajapurkki itse saastuu. Näin voidaan mahdollisesti saada tallennettua myös tuntemattomia haittaohjelmia, joita virustorjuntaohjelmat ja vastaavat eivät tunnista.

Hunajapurkit nopeuttavat uhkien ja hyökkäysten tunnistamista

Harhauttavia hunajapurkkeja käyttämällä voidaan myös seurata mahdollisen hyökkääjän toimintaa ja menetelmiä. Hunajapurkissa ei esiinny valideja käyttäjiä, joten kaikki toiminta ja tekniset tapahtumat ovat hyökkääjän aiheuttamia. Hunajapurkki on erinomainen sensori, koska se ei anna väärää hälytystä, ainakaan kovin helpolla. Näin ollen harhauttavien elementtien käyttö nopeuttaa uhkien ja hyökkäysten tunnistamista perinteiseen lokikeräykseen ja -analysointiin verrattuna. Joissakin tutkimuksissa on arvioitu, että harhauttavien ansojen käyttö nopeuttaa tunnistamista useita kymmeniä prosentteja.

Harhauttavia elementtejä käytettäessä on oltava huolellinen, jotta ei muodosteta teknistä riskiä tuotantojärjestelmille. Väärin toimiva ansajärjestelmä voi pahimmassa tapauksessa mahdollistaa pääsyn kohde organisaation verkkoihin tai päätyä palvelunestohyökkäyksen osaksi. Hunajapurkkien käyttö on suunniteltava tarkkaan ja niitä on kyettävä valvomaan riittävän hyvin. Hyvä on myös pohtia lainsäädännön reunaehdot ja eettinenkin näkökulma.

Hunajapurkkijärjestelmät ovat oikein konfiguroituna ja ylläpidettynä hyvinkin tehokas tapa parantaa havainnointikykyä sekä nopeuttaa hyökkäysten ja tunkeutumisyritysten tunnistamista. Parhaassa tapauksessa hunajapurkkien avulla voidaan estää hyökkäyksen leviäminen tuotantojärjestelmiin. Hunajapurkki mahdollistaa myös paremman teknisen tutkimisen sekä mahdollisesti hyökkääjän ohjaamisen haluttuihin toimenpiteisiin.

Harhauttamisen ei pidä olla erillinen suojauskeino, vaan sen pitää olla osa kokonaissuojauksen strategiaa.

Harhauttamisen ei pidä olla erillinen suojauskeino, vaan sen pitää olla osa kokonaissuojauksen strategiaa. Hunajapurkki-teknologia on yksi tehokas kerros lisää syvään puolustukseen (engl. defence-in-depth), jonka ajatuksena on rakentaa useita hidastavia kerroksia, jonka läpi kyvykäs hyökkääjä joutuu tunkeutumaan.

Tietoturva_Logo

Hyvä huomioida harhauttamisessa

  • Hunajapurkit tuovat nopeutta hyökkäysten havainnointiin
  • Harhauttaminen on oltava suojaamisen kokonaisstrategiaa
  • Hunajapurkkien käyttö on suunniteltava huolellisesti
  • Hunajapurkit eivät yksistään suojaa ICT-ympäristöäsi

avatar

Anssi Kärkkäinen, Johtaja, Kyberturvallisuusratkaisut

Anssi Kärkkäisellä on pitkä kokemus tietoliikenne- ja kyberturvallisuusalan kehitys- ja johtamistehtävistä. Hän on työskennellyt puolustusvoimissa muun muassa hallinnon turvallisuusverkkohankkeessa projektipäällikkönä, hankepäällikkönä, kyberpuolustuksen asiantuntijana sekä kyberosaston osastopäällikkönä.