Onko WannaCry kryptoniittiä verkoille?

Tietoturva-asiantuntijoiden mukaan WannaCry nostaa esiin tarpeen tiukemmalle fokukselle verkkojen tietoturvassa ja tietokoneiden konfiguroinnin hallinnassa.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: Touko 19, 2017
Lukuaika: 3 Minuuttia

Viime viikolla kryptokiristysohjelmaperhe nimeltä WannaCry iski ihmisten ja organisaatioiden kimppuun ympäri maailmaa. Monet joutuivat ohjelman uhreiksi ja heidän tietokoneensa muuttuivat käyttökelvottomiksi, ellei lunnaita maksettu tai tietoja palautettu varmuuskopioista. F-Securen tutkimusjohtajan Mikko Hyppösen mukaan maanantai-iltapäivään mennessä noin 196 uhria oli maksanut lunnaat.

Osa ihmisistä ja organisaatioista kestää hyökkäyksen jälkeen hetkisen ilman tietojärjestelmiään, mutta osa kriittisistä palveluista, kuten sairaalat, ei siihen kykene. Miten on siis mahdollista, että tällaista tapahtuu? Ja mikä vielä tärkeämpää, miten pystymme estämään tällaisen vastaisuudessa?

Suurin osa neuvoista liittyy haavoittuvuuksien estämiseen ja päätelaitesuojaukseen. F-Securen johtavan tietoturvakonsultin Tom Van de Wielen mukaan tämä on kuitenkin vain laastarin laittamista haavan päälle, eikä se suojaa organisaatioita tai monikerroksisia verkkoja samanlaisilta hyökkäyksiltä tulevaisuudessa.

”Käytännössä kyse on siitä, että it-osastot eivät ole tarpeeksi karaistuneita, mikä johtaa näihin isoihin haavoittuvuuksiin”, sanoo Van de Wiele. “Esimerkiksi it-osastojen pitäisi olla lokeroituja niin, että ihmiset, jotka saavat sähköposteja tai ovat yhteydessä internetiin, eivät ole täysin integroituja kriittisempiin tietojärjestelmiin. Sairaaloissa tällaisia ovat esimerkiksi järjestelmät, jotka käsittelevät potilastietoja tai kuvantamislaitteita.”

“Näissä ympäristöissä tietoturvaan täytyy sisältyä myös hyvä suunnittelu, uhkamallintaminen, tietokoneen ja laitteiden karaisu ja simulointi hyökkäysten varalle sekä testit, jotka mittaavat altistumista kohdennetuille hyökkäyksille”, lisää Van de Wiele. “Ainoastaan testaamalla kaikki osatekijät yritys voi päätellä tietoturvansa kypsyystason.”

Tämä kaikki tosin on helpommin sanottu kuin tehty näille organisaatioille.

F-Securen tietoturvaneuvonantaja Sean Sullivan nostaa esiin, että esimerkiksi sairaala palvelee monia eri tarpeita monimutkaisen it-ympäristön avulla ja resurssit ovat yleensä rajallisia.

“Syöpäkeskuksilla, kardiologian osastoilla ja fysioterapiapalveluilla on kaikilla erilaiset it-tarpeet. Ja edellä mainituissa on kyse vain lääketieteellisistä palveluista –  kun kyse on tutkimuksesta, sisäisistä ja ulkoisista palveluista, taloudesta ja niin edelleen, erilaiset vaatimukset luovat painetta it-osastoille. Jaettu it-infrastruktuuri voi tuntua kustannustehokkaalta tavalta palvella kaikkia noita tarpeita, mutta silloin saattaa tulla tietoturvaongelmia, joita WannaCryn tyyppiset ohjelmat voivat hyväksikäyttää”, sanoo Sean.

Eikä resurssienhallinta ole ainoa ongelmakohta. Van de Wielen mukaan monet erikoistuneet it-komponentit, joita sairaalat, voimalat tai liikennejärjestelmät käyttävät, ovat usein epäkäytännöllisiä tai mahdottomia korjata senkin jälkeen kun haavoittuvuus on löydetty.

“Monet näistä komponenteista toimivat ainoastaan, kun ne on konfiguroitu tietyllä tavalla, joten jos jokin peruspäivitys voi häiritä niiden toimintaa, it-hallinto ymmärrettävästi välttää niiden tekemistä.  Ja sekin on ihan OK, koska jos järjestelmä on tarpeeksi tärkeä, pienetkin muutokset voivat aiheuttaa hengenvaarallisia tilanteita. Mutta mikäli sovelluskerroksen tietoturvaa ei voi varmistaa, on huolehdittava siitä, että verkko sen ympärillä on valmistautunut tilanteeseen, jossa komponentit voivat vaarantua.”

Van de Wiele sanoo, että viimeiset kymmenen vuotta huomio on kiinnitetty sovellusten tietoturvaan, mutta tämä on tapahtunut verkon tietoturvan kustannuksella.

“Viime vuosikymmen on keskitytty sovellusten tietoturvaan, mutta sovellusturvallisuuden on oltava suhteessa verkon turvallisuuteen. Tämä siksi, että oikea hyökkäyskohde on se, mihin päästään verkon kautta, kun puhutaan organisaatioista, eikä vain yksittäisistä laitteista. Suurin osa organisaatioista toimii edelleen suhteellisen yksinkertaisilla verkoilla eri syistä johtuen ja se aiheuttaa sen, että kiritysohjelmat iskevät juuri sinne, minne sattuu eniten.”

Helppoja ratkaisuja tähän ei valitettavasti ole olemassa. Mutta Van de Wielellä on neuvo, jota hän jakaa asiakkailleen toteuttaessaan Red teaming -testejä.

“Organisaatioiden, jotka tarjoavat kriittisiä palveluita, pitäisi suhtautua internet-rajapinnassa toimiviin järjestelmiinsä eräänlaisina demilitarisoituina alueina ja pitää ne lokeroituna tiukan yhteyskontrollin takana, joka rajoittaa pääsyä it-järjestelmän kriittisiin osiin”, sanoo Van de Wiele. “Ihmiset, jotka työskentelevät internet-rajapinnassa ovat puolustuksen ensimmäisessä linjassa, eikä markkinoilla ole tietoturvatuotetta tai -koulutusohjelmaa, joka takaa sen, ettei heidän tietoturvansa vaarannu. Lokerointi on ylimääräinen kerros tietojärjestelmiin, mutta se kerros on suhteellisen pieni kustannus verrattuna suojaan, jonka se tarjoaa.”


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s