Hyökkäyspinta-alan rajoittaminen suojaa myös tuntemattomilta uhilta

Shadow Brokers -nimellä toimiva hakkeriryhmä julkaisi hiljattain lisää Yhdysvaltain NSA-viranomaiselta varastetuksi väitettyjä hyökkäysohjelmia ja dokumentteja. Hyökkäysohjelmien joukossa oli liuta työkaluja, joiden avulla pystyttiin hyökkäämään myös moderneja Windows-kohdejärjestelmiä vastaan.

Pian työkalujen julkaisun jälkeen mediassa esitettiin epäilyjä, että kyseessä olisi ns. nollapäivähaavoittuvuuksia hyväksikäyttäviä työkaluja, eli ohjelmistoja, jotka käyttävät ennalta tuntemattomia haavoittuvuuksia ohjelmistoissa niiden suojausten ohittamiseen. Microsoft kiirehti kuitenkin huomauttamaan, että ainakin Windows-ympäristösta työkalujen käyttämät haavoittuvuudet oli korjattu jo maaliskuun päivityspaketissa.

Ajan tasalla olevat Windows-käyttöjärjestelmät eivät siis ole haavoittuvia nyt julkisuuteen vuotaneille hyökkäysmenetelmille. Tapaus osoittaa jälleen kerran, että ohjelmistojen ajan tasalla pitäminen on äärimmäisen tärkeä keino suojautua verkosta saapuvia uhkia vastaan. Julkaisemalla kyseiset työkalut Shadow Brokers on käytännössä antanut kyseiset hyökkäyskeinot myös verkkorikollisten käyttöön, jolloin on selvää, että niiden käyttö laittomissa tarkoituksissa lisääntyy.

Ajantasaisten päivitysten asentaminen nopealla aikataululla on tärkeää nimenomaan siksi, että hyökkäyskeinojen ja niiden torjuntamenetelmien kehityssykli on nopea. Vanhentuneetkin järjestelmät paljastavat julkisesti haavoittuvaa hyökkäyspinta-alaa kuitenkin vain niiden palveluiden kautta, jotka on asetettu toimimaan internetin yli. Hyökkäyspinta-alaa voi rajata tehokaasti poistamalla käytöstä sellaisia verkkopalveluita, joita ei käytetä, tai asettamalla ne toimimaan vain lähiverkossa tai luotetun VPN-yhteyden ylitse. Hyökkäyspinta-alan rajoittaminen siten, että turhia palveluita ei paljasteta internetiin, on tärkeimpiä keinoja tietojärjestelmän koventamisessa. Shadow Brokers -ryhmän julkaisemat työkalut hyödynsivät muun muassa SMB-palvelun haavoittuvuuksia – estämällä pääsy järjestelmien SMB-palveluun internetin yli voidaan tehokkaasti torjua haavoittuvuuksien hyväksikäyttöä nimenomaan tässä palvelussa.

Tarpeettomien palveluiden sulkeminen suojaa hyökkäyksiltä

Palveluiden rajaaminen sisäverkkoon ei kuitenkaan estä täysin niiden hyväksikäyttöä, sillä hyökkääjä voi päästä kohdeverkkoon jotakin muuta kautta ja hyväksikäyttää haavoittuvia palveluita verkon sisällä ns. lateraaliin liikkumiseen. Siksi sellaiset palvelut, joita ei käytetä, on syytä sulkea myös sisäverkossa jos niille ei ole todellista tarvetta. Ylipäänsä sisäverkon suojaamisessa on hyvä käyttää vyöhykeperiaatetta, jossa eri tarpeita varten luodaan toisistaan erillisiä verkkosegmenttejä, joiden välillä sallitaan vain tarkoin määritelty liikenne. Sisäverkon liikennettäkin on syytä tarkkailla. Koko sisäverkon kohteleminen täysin luotettuna alueena antaa hyökkääjille vapaat kädet toimia reunasuojauksen ohittamisen jälkeen. Ajatus vahvasta reunasuojauksesta ja vapaasta sisäverkosta on auttamatta vanhentunut, sillä hyökkääjien ensimmäisiä askeleita verkkoon pääsyn jälkeen on selvittää verkon rakenne, siinä olevat palvelut ja luoda sillanpääasemia muille verkon järjestelmille käyttämällä hyväkseen sisäverkkoliikenteen korkeampaa luottamusta.

Verkkohyökkäysten kohdistuminen suoraan käyttäjään erilaisten tietojenkalastelu- ja huijaushyökkäysten kautta ei ole siirtänyt verkkorikollisten intressiä pois teknisten järjestelmien murtamisesta. Käyttäjien hyvän tietoturvatietoisuuden lisäksi on tärkeää suunnitella ja suojata verkkoresurssit riittävän varmalla tavalla ja pitää huoli siitä, että viimeisimmät tietoturva- ja ohjelmistopäivitykset asennetaan viipymättä. Järjestelmät, joita ei syystä tai toisesta voida joko päivittää, tai joiden päivityksessä on selkeitä viiveitä, tulee eristää siten ettei niiden murtaminen päästä hyökkääjää vapaasti temmeltämään koko sisäverkossa. Todennäköisyys siihen, että ilman esteitä ikääntyvä järjestelmä murretaan, lähestyy ajan kuluessa sataa prosenttia. Verkon rakenteesta ja tiedonkäsittelytavoista riippuu, kuinka suuren ongelman tämä verkon omistajalle aiheuttaa.

Lisätietoja:


Päivityshistoria

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248