Otsikkoehdotus: Verkkotarkastuksilla selkeää toimintavarmuutta

INGRESSI

Yhä useammin löydät tärkeistä tietoverkoistasi siviilijärjestelmiin suunniteltuja komponentteja, joiden toteutuksessa ei ole huomioitu sotilaskäytön edellyttämää korkeaa käytettävyyttä ja teknisen tietoturvan tasoa. Samanaikaisesti järjestelmät eivät suinkaan yksinkertaistu vaan monimutkaistuvat ja verkottuvat vauhdilla. Perinteisesti tietoverkkojen tarkastukset ovat olleet toteavia ja taaksepäin katsovia. Näin ei kuitenkaan tarvitse olla, sillä verkkojen selkeytys auttaa hallitsemaan riskejä ja tietoturvan täsmätestaus parantaa toimintavarmuutta.

botnet.png

Kuva: Bot-verkko on tietoverkkorikollisten käyttämä hajautettu tietojenkäsittelyalusta. Se mahdollistaa tietoverkkotiedustelun, palvelunestohyökkäykset, sekä satunnaiset ja kohdistetut hyökkäykset. Paras lääke satunnaisilta ja kohdistetuilta hyökkäyksiltä suojautumiseen on järjestelmien määräaikaistarkastus. Kuvassa Clarified Networksin ja F-Securen tuottama visualisaatio erään bot-verkon aktiivisuudesta.

Monimutkaisuus haastaa tarkastajat

Monimutkaisten verkkojen tarkastamisessa on useita haasteita. Kun kaikkea ei voi eikä ehdi testata, tarkastukselle pitää määrittää järkevät rajat. Haasteellista on myös tiedon hajanaisuus, sillä yksittäiset työkalut tuottavat valtavan määrän raakatietoa, joka ei itsestään jalostu ymmärrykseksi. Järjestelmiä pitää pystyä myös tarkastalemaan kokonaisvaltaisesti ja tuloksia vertailemaan ajan yli. Miten rajaamme, selkeytämme ja analysoimme tuloksia kokonaisvaltaisesti ilman että ne hautautuvat kassakaapin pohjalle?

Tietoverkkojen tarkastus vastaa tärkeisiin kysymyksiin

Onko verkkosi dokumentaatio ajan tasalla? Tiedätkö, mitä verkossasi liikennöidään? Tiedätkö, mitä tietoliikenneprotokollia verkossasi käytetään ja mitkä verkkokomponentit viestivät keskenään? Tietoverkkojen tarkastuksissa pyrimme vastaamaan näihin kysymyksiin. Jaamme verkkotarkastukset kahteen osa-alueeseen: hallinnolliseen ja tekniseen. Hallinnollinen tarkastus tarkastelee organisaation tietoturvapolitiikkaa ja ohjeistusten toteutusta. Tekninen tarkastus tutkii, onko käytetyissä laitteistoissa, ohjelmistoissa, asetuksissa tai dokumentaatiossa puutteita, jotka heikentävät merkittävästi järjestelmän toimintavarmuutta ja tietoturvan tasoa. Tässä artikkelissa keskitymme teknisiin tarkastuksiin.

Tarkastusten kolme vaihetta

Verkkotarkastuksen ei tulisi olla irrallinen vaatimuksia peilaava tarkistuslista, vaan todellisiin havaintoihin pohjautuva prosessi joka nivoutuu osaksi jatkuvaa verkkojen elinkaariajattelua. Lopputuloksena tarkastuksen tilaajalla on jatkuvasti ajantasainen tilannekuva tietoverkon toimintavarmuudesta ja mahdollisista piilevistä ohjelmistohaavoittuvuuksista.

Todellisiin havaintoihin pohjautuva tekninen verkkotarkastus on prosessina jaettavissa kolmeen selkeään kokonaisuuteen:

  1. rajapinta-analyysi
  2. testisuunnittelu ja testaus
  3. raportointi

Seuraavaksi esittelemme tarkastuksen kolme vaihetta tarkemmin.

Rajapinta-analyysi selkeyttää verkon toimintaa

Rajapinta-analyysissä kartoitamme ne järjestelmän osat jotka vastaanottavat ulkopuolelta tulevia syötteitä. Kuvainnollisesti käytössämme on kahdenlaisia työkaluja, mittoja ja vasaroita. Mittauksella määritämme passiivisesti tietoliikennekäytännöt ja vasaralla koputtelemme esiin aktiivisesti käyttämättömät palvelut. Lähtökohtana on se että jokainen ulkopuolisia syötteitä vastaanottava verkon osa on mahdollinen hyökkäyskohde. Lähettämällä kohteeseen odottamattomia syötteitä, hyökkääjä voi rampauttaa tai pahimmissa tapauksessa ottaa haltuunsa koko kohdejärjestelmän. Suorassa hyökkäyksessä odottamattomat syötteet lähetetään suoraan hyökättävään kohteeseen. Epäsuorassa hyökkäyksessä tieto välittyy yhden tai useamman laitteen välittämänä. Esimerkiksi WWW-lomakkeeseen syötettävä käyttäjätunnus ja salasana voidaan toimittaa erilliselle autentikointipalvelimelle.

clarified-analyzer.png

Kuva: Rajapinta-analyysissä seuraamme järjestelmän tuottamaa verkkoliikennettä. Kuvassa verkkoliikennettä visualisoi Clarified Analyzer -ohjelmisto.

tools.png

Kuva: Yksittäisten verkokomponenttien analysointiin on valtaisa määrä työkaluja. Myös työkalut ovat kehittymässä enemmän yhteistyötä tukevaan suuntaan.

Yksittäisten verkkokomponenttien analysointiin on valtaisa määrä työkaluja. Rajapinta-analysissä järjestelmän toimintaa voi ymmärtää esimerkiksi verkkoliikennettä visualisoivan Clarified Analyzer -ohjelmiston avulla. Rajapintoja voi kartoittaa myös palveluita kolkuttelevilla porttiskannereilla, kuten NMap. Nessus-skanneri sijoittuu rajapinta-analyysin ja testauksen välimaastoon. Nessus muun muassa tarkistaa komponenttien ohjelmistoversiot ja raportoi päivitystä vaativista komponenteista.

Testisuunnittelu rajaa työn olennaiseen

Rajapinta-analyysin jälkeen ymmärrämme järjestelmän rajapinnat ja niiden alttiuden suorille ja epäsuorille hyökkäyksille. Seuraava vaihe on testisuunittelu. Testisuunnittelun osa-alueita ovat priorisointi, työkalujen valinta ja käytännön toteutuksen suunnittelu.

Kohde Alttius Prokolla Työkalut Työmääräarvio Kokonaiskustannus
Prioriteetti-1 Portaali Suora HTTPS Codenomicon HTTPS testityökalu, NTOSpider WWW-applikaatiotesteri 3 tuntia X EUR
Prioriteetti-2 Palomuuri Suora SNMP Codenomicon SNMP testityökalu, Protos SNMP testityökalu 2 tuntia Y EUR
Prioriteetti-3 Autentikointipalvelin Epäsuora RADIUS Radlogin 4 tuntia Z EUR
[edit] [csv] [zip]

Kun testikohteet ovat selvillä, tarkastaja voi käyttää monentyyppisiä testityökaluja. WWW-sovellusten testaamiseen soveltuu esimerkiksi HP WebInspect tai NTOSpider -ohjelmistot. Suurin osa työkaluista keskittyy tunnettujen ohjelmistohaavoittuvuuksien löytämiseen. Toimintakriittisten järjestelmien ylläpitäjien on syytä varautua myös kohdennettuihin hyökkäyksiin, jotka hyödyntävät piileviä, vielä tuntemattomia haavoittuvuuksia. Tähän tarkoitukseen soveltuu esimerkiksi Codenomiconin Defensics tuoteperhe.

Todellisuudessa kaikenkattavaan testaukseen harvoin päästään. Erillistä testijärjestelmää ei välttämättä ole olemassa ja tuotantokäytössä olevan järjestelmän testaaminen voi aiheuttaa suurta vahinkoa. Lisäksi kaikkiin rajapintoihin ei välttämättä ole saatavilla sopivaa testityökalua, tai testityökalun ja testattavan järjestelmän välillä voi olla yhteensopivuusongelmia. Tärkeintä on ymmärtää minkä rajapintojen testaus on järjestelmän kokonaistoiminnallisuuden kannalta oleellisinta.

Kassakaappiraporteista elävään tilannekuvaan

kassakaappi.jpg

Kuva: sidosryhmät eivät hyödy kassakaappiin haudatuista raporteista. Nykyisin emme uhraa enää tulosten käytettävyytä luottamuksellisuuden alttarilla.

Verkkojen monimutkaistuminen on haastanut myös perinteiset raportointimenetelmät. Aiemmin raportit tehtiin toimistosovelluksilla ja dokumentit hautauutuivat CD-levyillä kassakaappeihin. Nykyisin emme uhraa enää tulosten käytettävyyttä luottamuksellisuuden alttarilla. Raporttien elävyyden puolesta puhuu jatkuva saatavuus ja ajantasaisuus. Korjausten sujuvuuden takaamiseksi tulokset jaetaan turvallisesta keskitetystä ympäristöstä ja korjausten edistyessä raportit päivittyvät automaattisesti. Uuden tarkastuskierroksen yhteydessä vanhat tulokset ja ajantasainen tilannekuva kohdeympäristön tilanteesta ovat helposti saatavilla.

Työkalujen tiedot sulautuvat ymmärrykseksi

tiedonkeruu.png

Kuva: monimutkaisuutta hallitseva tarkastaja sulauttaa monista eri lähteistä kootun tiedon yhtenäiseksi turvallisuuden tilannekuvaksi.

Monimutkaistumisen myötä työkalukeskeinen tarkastus on jäämässä historiaan. Yhteistyöhön, tiedon synteesiin ja tehokkaaseen tiedonjakoon keskittyvät prosessit tarjoavat auditoinnin kohteesta yhtenäisen ja ajantasaisen tilannekuvan. Tiedon keskittäminen on myös vahvassa roolissa - järjestelmän turvallisuus paranee kerta kerralta, kun tieto edellisen tarkastuksen tuloksista ja järjestelmään liittyvistä korjauksista on helposti saatavilla.

Tiedon tuottamisesta tiedon käsittelyyn

Tietojärjestelmien tarkastukset elävät murrosvaihetta. Sankarihahmot ja tietoturvan mystifionti oavt vaihtumassa läpinäkyvyyteen. Yksinäiset ratsastajat eivät enää päivän päätteksi ratsasta tietoinensa auringonlaskuun. Tulosten käyttettävyyden vaalimisen myötä kassakaapit vapautuvat hitaammin päivityvän tiedon säilömiseen. Systemaattisia työnkulkuja noudattavat "rikospaikkatutkijat" tuottavat raakatiedon sijasta tuloksia joilla on päämärä - järjestelmien laadun parantaminen. Internetistä tuttujen modernien kommunikaatiotyövälineiden, kuten pikaviestimien ja wiki-pohjaisten yhteistyöympäristöjen myötä siirrymme tiedon tuottamisesta tiedon käsittelyyn.

Kylkijuttu: Esimerkkityönkulku monimutkaisen järjestelmän auditoinnista.

clarified-network.png

Esimerkkiverkon tehtävä on valtuuttaa mobiilikäyttäjän (9) ja kannettavan tietokoneen käyttäjän (1 & 14) pääsy Internetiin hyödyntäen operaattorin tunnistamis- ja valtuutusmenetelmiä. Esimerkissä käyttäjän antama käyttäjätunnus kulkee usean laitteen läpi. Lisäksi viestinvälitystapa vaihtelee laitteiden välillä. Käyttäjätunnus voi kulkeutua verkkoon useita vaihtoehtoiseia reittejä (A,B,C) pitkin. Jos jokin viestinvälitykseen käytettävistä laitteista ei kestä odottamattomia syötteitä, voi hyökkääjä vikaannuttaa palvelun toiminnan lähettämällä käyttäjätunnuksen sijaan esimerkiksi odottamattoman pitkän merkkijonon. Pahimmillaan järjestelmä voi jopa suorittaa syötteen sekaan sijoitettua ohjelmakoodia. Palomuurin takana sijaitsevat laitteet (4,5,6,7,8,16) eivät ole piilossa hyökkäyksiltä. Auditoijan on siksi syytä selvittää, miten järjestelmä todellisuudessa toimii, oli verkko miten monimutkainen tahansa.

Ymmärryksen myötä auditoija tuottaa laadukkaita tuloksia. Satunnaisen skannailun sijasta hän valitsee tärkeimmät testikohteet, arvioi onnistuneesti tulosten merkittävyyden ja tuottaa tiivitä raportteja. Mikäli tarkastaja löytää ongelmia esimerkiksi RADIUS-palvelimen (5) turvallisuudesta, ymmärtää hän heti mitä kautta odottamattomat tai vihamieliset syötteet pääsevät palvelimelle.

Kirjoittajat

FM Jani Kenttälä toimii Clarified Networks Oy:n teknologiajohtajana ja konsulttina. Hän selkeyttää monimutkaisia tietoverkkoja.

FM Lari Huttunen on Codenomicon Oy:n palveluksessa. Hän on tietoverkkorikollisuuden asiantuntija.