Blogit ja artikkelit

Harhauttamisella lisää tehoa kybertoimintaympäristön havainnointiin

Digitalisaatio | Kyberturvallisuus | Liiketoiminta 13.5.2020

ICT-ympäristön kyberturvallisuuden valvontaa ja havainnointia (SIEM/SOC-palvelu) tehdään perinteisesti keräämällä loki- ja tapahtumadataa ympäristön eri osista ja kerroksilta kuten esimerkiksi verkkolaitteista. Palvelimista, työasemilta sekä palomuureilta ja muilta tietoturvalaitteilta. Laaja datan kerääminen parantaa havainnointia, mutta myös aiheuttaa myös suuren määrän hälytyksiä, joita voi laajoissa ympäristöissä olla miljoonia päivässä.

Aiheellisten hälytysten poimiminen ja tunnistaminen tästä massasta on haastavaa ja tuo viivettä todellisten hyökkäyksien tunnistamisessa. Toki koneoppimista ja tekoälyä pyritään soveltamaan poikkeamien tunnistamisessa ja teknologia tällä saralla kehittyy nopeasti.
 

Hunajapurkit houkuttimina
 

Harhauttaminen hunajapurkkien (engl. Honeypot) avulla on yksi tapa nopeuttaa ja tehostaa hyökkäysyritysten havainnointia. Hunajapurkilla tarkoitetaan tässä yhteydessä ansaa tai harhautinta, johon vihamielinen hyökkääjä kohdistaa hyökkäyksensä varsinaisen ICT-tuotantojärjestelmän sijaan. 

Ansa voi koostua esimerkiksi tahallaan huonosti suojatusta tietoturvakomponentista, verkkoelementistä, tietokannasta tai palvelimesta, jonne hyökkääjä onnistuu murtautumaan helpommin. Hyökkääjän näkökulmasta kohde vaikuttaa aidolta, mutta todellisuudessa hunajapurkki on eristetty muusta ympäristöstä ja se sisältää tarvittavat havainnointisensorit tunkeutumisen havainnoimiseksi.

Hunajapurkkeja ajetaan usein virtualisoiduissa ympäristöissä, jolloin yhdellä palvelimella voidaan ylläpitää useampaa hunajapurkkikohdetta. Kehittyneet hunajapurkit mahdollistavat mm. haittaohjelmien keräämisen ilman, että hunajapurkki itse saastuu. Näin voidaan mahdollisesti saada tallennettua myös tuntemattomia haittaohjelmia, joita virustorjuntaohjelmat ja vastaavat eivät tunnista.
 

Hunajapurkit nopeuttavat uhkien ja hyökkäysten tunnistamista
 

Harhauttavia hunajapurkkeja käyttämällä voidaan myös seurata mahdollisen hyökkääjän toimintaa ja menetelmiä. Hunajapurkissa ei esiinny valideja käyttäjiä, joten kaikki toiminta ja tekniset tapahtumat ovat hyökkääjän aiheuttamia. Hunajapurkki on erinomainen sensori, koska se ei anna väärää hälytystä, ainakaan kovin helpolla. Näin ollen harhauttavien elementtien käyttö nopeuttaa uhkien ja hyökkäysten tunnistamista perinteiseen lokikeräykseen ja -analysointiin verrattuna. Joissakin tutkimuksissa on arvioitu, että harhauttavien ansojen käyttö nopeuttaa tunnistamista useita kymmeniä prosentteja.

Harhauttavia elementtejä käytettäessä on oltava huolellinen, jotta ei muodosteta teknistä riskiä tuotantojärjestelmille. Väärin toimiva ansajärjestelmä voi pahimmassa tapauksessa mahdollistaa pääsyn kohde organisaation verkkoihin tai päätyä palvelunestohyökkäyksen osaksi. Hunajapurkkien käyttö on suunniteltava tarkkaan ja niitä on kyettävä valvomaan riittävän hyvin. Hyvä on myös pohtia lainsäädännön reunaehdot ja eettinenkin näkökulma.

Hunajapurkkijärjestelmät ovat oikein konfiguroituna ja ylläpidettynä hyvinkin tehokas tapa parantaa havainnointikykyä sekä nopeuttaa hyökkäysten ja tunkeutumisyritysten tunnistamista. Parhaassa tapauksessa hunajapurkkien avulla voidaan estää hyökkäyksen leviäminen tuotantojärjestelmiin. Hunajapurkki mahdollistaa myös paremman teknisen tutkimisen sekä mahdollisesti hyökkääjän ohjaamisen haluttuihin toimenpiteisiin.

Harhauttamisen ei pidä olla erillinen suojauskeino, vaan sen pitää olla osa kokonaissuojauksen strategiaa. Hunajapurkki-teknologia on yksi tehokas kerros lisää syvään puolustukseen (engl. defence-in-depth), jonka ajatuksena on rakentaa useita hidastavia kerroksia, jonka läpi kyvykäs hyökkääjä joutuu tunkeutumaan.

   
Hyvä huomioida harhauttamisessa
  • Hunajapurkit tuovat nopeutta hyökkäysten havainnointiin
  • Harhauttaminen on oltava suojaamisen kokonaisstrategiaa
  • Hunajapurkkien käyttö on suunniteltava huolellisesti
  • Hunajapurkit eivät yksistään suojaa ICT-ympäristöäsi
     

- Anssi Kärkkäinen, Kyberturvallisuuspalveluista vastaava johtaja, Cinia Oy -
 

Cinian tapa toteuttaa kyberturvallisuuspalveluja ja -ratkaisuja liiketoiminnan ja palvelutuotannon eri vaiheisiin perustuu joustavaan, jokaiselle asiakkaalle yksilöllisesti räätälöityyn palvelukokonaisuuteen. Mikäli kyberturvallisuuden kehittäminen on sinulle ajankohtaista, ota yhteyttä. Lisätietoja: cinia.fi/kyberturvallisuus
 

Anssi Kärkkäisellä on pitkä kokemus tietoliikenne- ja kyberturvallisuusalan kehitys- ja johtamistehtävistä. Hän on työskennellyt puolustusvoimissa muun muassa hallinnon turvallisuusverkkohankkeessa projektipäällikkönä, hankepäällikkönä, kyberpuolustuksen asiantuntijana sekä kyberosaston osastopäällikkönä.

Anssi Kärkkäisellä on pitkä kokemus tietoliikenne- ja kyberturvallisuusalan kehitys- ja johtamistehtävistä. Hän on työskennellyt puolustusvoimissa muun muassa hallinnon turvallisuusverkkohankkeessa projektipäällikkönä, hankepäällikkönä, kyberpuolustuksen asiantuntijana sekä kyberosaston osastopäällikkönä.

Jaa