4.5.2020 10:00

Voisiko sinulle käydä näin?

Onko teillä ohjelmistoprojekteja, jotka ovat siirtyneet ylläpitovaiheeseen, joita päivitetään satunnaisesti tai joihin harvemmin julkaistaan uusia ominaisuuksia? Tai pyörivätkö verkkopalvelunne pilvessä, johon on sallittu vain suojattu HTTPS-liikenne asiakkaille?

Jos vastasit edellisiin kysymyksiin "kyllä", milloin olette viimeksi tarkistaneet, onko palvelun dokumentaatio ajan tasalla? Ja ovatko määritellyt palomuurisäännöt edelleen voimassa, palvelinten ohjelmistopäivityksistä puhumattakaan?

Hyvin usein pienissä pitkäaikaisissa ohjelmistoprojekteissa saatetaan luottaa siihen, että verkkoliikenteen ollessa tarkasti rajattua ei sitä tarvitse välttämättä valvoa. Palvelun laadun ja tietoturvan kannalta on kuitenkin turvallisempaa varautua pahimpaan ja tarkastaa aika ajoin, että asiat ovat edelleen kunnossa.

Eräänä päivänä saatte kuitenkin yllättäen sähköpostia ulkopuoliselta taholta. Sähköpostissa kerrotaan, että palvelintanne on käytetty palvelunestohyökkäyksessä. Reagoitte viestiin nopeasti ja ajatte palvelun alas, jotta pääsette aloittamaan tilanteen tarkan tutkinnan ja selvityksen.

Tutkinnan varhaisessa vaiheessa käy jo ilmi, että hyökkäys on tapahtunut, mutta ette näe missään merkkejä siitä, miten palvelimelle olisi murtauduttu. Palvelimelta löytyneet lokimerkinnät eivät yrityksenne tutkintatiimin mukaan sisällä mitään normaalista poikkeavaa. Silmiisi pistää kuitenkin alustavassa raportissa maininta hyvin suurista määristä SSH-yhteysyrityksiä.

Tässä vaiheessa muistatte, että palvelimelle sallittu SSH-liikenne on eristetty ainoastaan ylläpitoa varten. Tarkistettuanne määritellyt säännöt palomuurin konfiguraatioista käy ilmi, että palvelualustan päivityksen yhteydessä osa aiemmin määritellyistä säännöistä on muuttunut. Nykyisissä säännöissä SSH-liikenne onkin sallittu kaikkialta maailmasta.

Teille alkaa muodostua kuva tapahtumien kulusta, mutta ihmettelette edelleen, miksei lokeissa näy selvää indikaatiota siitä, mitä on tapahtunut. Pyydätte ohjelmistonne ylläpitotiimiltä tarkemman kuvauksen palvelun ja palveluun liittyvien osioiden toiminnasta.

Välitettyänne ylläpitotiimiltä saamanne lisätiedot tutkintatiimille saatte heiltä yllättävän vastauksen. Yksi lokirivi miljoonien joukossa ei kuulu joukkoon: automaatiokäyttäjä, jonka tarkoitus on vain käynnistää palvelimella suoritettava sovellus, onkin luonut koneelle toistuvasti suoritettavan palvelun. Lisätietojen avulla tutkintatiimi onnistui löytämään nopeammin haittaohjelman, joka oli ujutettu palvelimelle ja jota käytettiin palvelunestohyökkäyksien suorittamiseen. Miten toimisitte itse tässä tilanteessa?

Selvää on, että kenelle vain voisi käydä näin. Miten voisitte suojautua tai ainakin pienentää riskiä, ettei näin kävisi myös teille?

Tämän tapauksen selvityksessä palvelusta ja sen toiminnasta tehty dokumentaatio on tärkeässä asemassa. Vaikka palvelimen lokimerkinnöistä on nähtävissä, mitä palvelimella oli tapahtunut, lokimerkintöjen ymmärtäminen vaati lisäksi tietoa palvelun ja palvelimen toiminnasta.

Dokumentaation avulla tutkinnan aikana pystyy muodostamaan käsityksen siitä, mikä on normaalia toimintaa ja mikä ei. Kuitenkin vain aktiivinen lokien seuranta SIEM-ratkaisun avulla nopeuttaa huomattavasti tapahtumiin reagointia. Lisäksi käytettäessä keskitettyä lokienhallintaa voidaan varmistaa, että lokimerkintöjen autenttisuus säilyy palvelimen tilasta huolimatta.

Ajoittain on tärkeää myös tarkistaa, että kauan sitten asettamanne säännöt ja rajoitukset palvelussanne ovat pysyneet voimassa ja toimivat yhä alkuperäisten asetusten mukaisesti. Sekä tarjoamaanne palveluun että palveluympäristöön saattaa tulla ajan myötä päivityksiä, joten ikinä ei voi olla etukäteen täysin varma siitä, etteikö jokin yllättävä asia voisi päivityksen yhteydessä muuttua ja aiheuttaa arvaamattomia sivuvaikutuksia. Avoimessa verkossa sijaitsevalla palvelimella olisi hyvä olla säännöllinen päivitystenhallinta, jolloin sovittuna ajankohtana ajettaisiin tietoturvapäivitykset ajan tasalle.


Keskeisimmät huomioitavat asiat turvallisuuden parantamiseksi digitaalisissa ympäristöissä

Tietoturva_Logo
  • Muista dokumentointi, jonka merkitys on erittäin tärkeä
  • Seuraa lokeja aktiivisesti
  • Tarkista olemassa olevat säännöt ja rajoitukset
  • Hallitse päivityksiä säännöllisesti

.

avatar

Klaus Koivula, Kyberturvallisuusasiantuntija, Cinia Oy

Klaus Koivulalla on usean vuoden kokemus tietoturva-alan tehtävissä toimimisesta. Tällä hetkellä hän työskentelee Cyber Security Operations Centerissä (CSOC) tietoturva-asiantuntijana.