Markus Saaristo: 2019 taustapeilissä kyberturvan osalta

Verizon on julkaissut vuoden 2020 Data Breach Investigation -raporttinsa ja sen voi lukea täältä. Raportti on hyvä yleiskatsaus tietomurtojen kehittymiseen ja antaa näkymää hyökkääjiin, heidän motiiveihinsa ja keinoihinsa.

Yleisimmät keinot tietomurtojen tekemiseen

Yleisin keino tietomurroille on tietojen kalastelu ja varastettujen käyttäjätunnusten käyttö tietomurron välineenä. Tätä osaltaan selittää datojen ja sähköpostin siirtyminen eri pilvipalveluihin, joihin hyökkääjä voi helposti kirjautua mistä päin maailmaa tahansa ilman suurta riskiä kiinni jäämisestä. Hyökkäyksiä voidaan myös automatisoida, jolloin hyökkäys voidaan suorittaa laajalti useita eri organisaatiota ja vastaanottajia vastaan samanaikaisesti.

Tärkeä havainto raportissa on se, että konfiguraatiovirheet tietomurtojen syynä on ollut tasaisessa nousussa vuodesta 2015 asti ja on yleisin syy heti tietojen kalastelun ja varastettujen tunnusten jälkeen. Yksi selittävä tekijä myös tässä on transformaatio IT-palveluiden osalta pilveen, jossa perinteiset kontrollit eivät suojaa enää samalla tavalla kuin ennen vaan tietojen suojaamista pitää miettiä uudestaan. Vaikka pilveen siirtäminen mahdollistaa uusia toimintatapoja, tuo se samalla organisaatiolle myös uusia riskejä joihin varautua. Yksinkertaisimmillaan tietomurto voi tapahtua väärin konfiguroidun datasäilön kautta, jossa ylläpitäjä asettaa datasäilön kaikkien saataville ja näin epähuomiossa paljastaa säilön kaikki tiedot myös hyökkääjälle.

Vaikka haavoittuvuuksien hyödyntäminen tietomurron välineenä ei ole läheskään niin yleistä kuin yllä kuvattujen keinojen käyttö, on hyvä huomioida näiden ero. Siinä missä tietojenkalastelulla saadut tunnukset antavat hyökkääjälle monesti pääsyn ainoastaan rajattuun tietoon, esim. käyttäjän sähköpostiin, voi palvelussa oleva haavoittuvuus antaa hyökkääjälle pääsyn syvemmälle yrityksen verkkoon. Haavoittuva palvelu voi myös sisältää itsessään paljon arvokasta tietoa, jonka hyökkääjä saa haltuunsa.

Näiden hyökkäystapojen välillä oleva riski on monesti erilainen – siinä missä tietojenkalastelua tapahtuu enemmän, on yksittäiseen työntekijään kohdistuneen onnistuneen hyökkäyksen haitta usein vähäisempi kuin harvemmin tapahtuva palveluun kohdistuva tietomurto, josta koituva haitta on myös useimmiten suurempi.  Tämä ei kuitenkaan aina ole asianlaita ja jokaisen organisaation tuleekin arvioida eri hyökkäyksien vaikutusta omalle toiminnalleen suunnitellessaan tietoturvakontrolleja ja valvontakeinoja.

Ketä ovat hyökkäysten takana ja mitkä ovat heidän motiivinsa?

Hyökkäysten takana on useimmiten organisaation ulkopuolelta tuleva järjestäytynyt rikollisuus ja motiivina on rahallinen höyty. Toisena tekijänä listalta löytyy valtiollinen toimija, tai valtiollisen toimijan tukema ryhmittymä, jonka motiivit ovat yleensä laajemmat ja vaikeaselkoisemmat. Näihin sisältyy mm. yritysvakoilua.

Yksi esiin pistävä asia raportissa on se, että ns. sisäisten toimijoiden (internal actors) määrä on ollut hienoisessa nousussa. Tätä selitetään tosin sillä, että sisäisistä virheistä johtuvia tapahtumia raportoidaan enemmän, eikä määrällinen nousu johdu niinkään pahansuopien sisäisten toimijoiden (malice internal actor) määrän noususta vaan yksinkertaisemmin organisaation omien käyttäjien tahattomista virheistä.

Vaikka hyökkäyspalveluiden (ns. crime-as-a-service), jossa esim. DDoS-hyökkäys ostetaan palveluna, määrä tietomurtojen aiheuttajana on vähäinen, tulee jokaisen organisaation huomioida yksi asia: Jos internetiin avoinna oleva järjestelmä on haavoittuva niin, että sen haltuunotto voidaan tehdä automatisoiduilla hyökkäystyökaluilla on todennäköistä, että kyseinen järjestelmä joutuu ennemmin tai myöhemmin hyökkäyksen kohteeksi. Tällöin hyökkääjät ottavat nämä järjestelmät haltuunsa ja muuntavat ne osaksi omaa Bot-verkkoaan, josta edelleen hyökkäävät kohti varsinaisia kohteita. Näin organisaatio voi joutua mukaan kyberrikokseen välillisesti. Tämä voi johtaa mm. organisaation IP-osoitteiden blokkaukseen, kun IP-osoite yhdistetään tehtyyn hyökkäykseen.

Suojautuminen hyökkäyksiltä

Hyökkäyksiltä suojautumiseen on hyvä ymmärtää hieman hyökkäyksen anatomiaa. Kun tarkastellaan vastapuolta ja ylempänä kuvattuja hyökkääjiä ja heidän motiivejaan, voidaan huomata että yleisimmän motiivin ollessa raha, ei hyökkääjä ole valmis käyttämään liikaa aikaa ja resursseja hyökkäyksen toteuttamiseksi – ellei hyökkäyksestä saatava hyöty ole tarpeeksi suuri. Tämän lisäksi monimutkaisemmat, useampia välivaiheita vaativat hyökkäykset ovat todennäköisemmin havaittavissa ja näiden hyökkäysten valmistelu ja toteutus vaatii enemmän aikaa ja osaamista.

Muun muassa näistä syistä hyökkääjät usein suosivat yksinkertaisempia metodeja, joka osaltaan selittää tietojenkalastelun ja varastettujen tunnusten käytön suositumpana hyökkäyskeinona kuin monimutkaisemmat hyökkäystavat, kuten haavoittuvuuksien hyödyntämisen tai haittaohjelmien avulla tehtävät murrot.

Tämä tieto on tärkeä, koska mitä enemmän suojauskeinoja hyökkääjää vastaan tuodaan, sen todennäköisempää on, että hyökkääjä epäonnistuu tavoitteessaan. Edelleen yksi tärkeimpiä keinoja suojautua hyökkäyksiä vastaan on perusasioiden pitäminen kunnossa. Näihin lukeutuu mm. pääsynhallinta, verkkojen segmentointi, identiteettienhallinta ja -suojaus esim. kaksivaiheisen tunnistautumisen avulla sekä päätelaitteiden ja palveluiden elinkaarenhallinta.

Kuitenkaan kaikkia murtoja ei pystytä estämään ja tietomurtojen ja tietomurtoyritysten tunnistaminen ja niihin reagoiminen on tärkeässä roolissa. Myös tämä käy ilmi raportissa, jossa todetaan tämän puolen kehittyneen vuosien mittaan, ja että aika hyökkäyksen havaitsemiseksi ja korjaamiseksi on lyhentynyt. Silti raportin mukaan neljänneksessä hyökkäyksistä havainnointi tapahtui yhä vasta kuukausien kuluttua. Organisaatioiden liiketoiminnan jatkuvuuden turvaamiseksi myös kyberpoikkeamatilanteissa Elisa tarjoaa yritysasiakkaille havainnointiin, reagointiin ja nopeaan toipumiseen tähtäävää Kyberturvakeskus-palvelua. Asiakkaan liiketoimintatarpeisiin sovitettavalla modulaarisella, keskitetysti tuotetulla palvelulla, taataan liiketoiminnan jatkuvuus minimoiden kyberuhista aiheutuvat haasteet.

Kirjoittanut

Blogin kirjoittaja toimii Elisalla Kyberturvapalveluiden kehityspäällikkönä. Markuksella on kokemusta eri kokoisista organisaatioista eri toimialueilla sekä teknisen että hallinnollisen tietoturvan saralta.