Kõik on ohus – Mida teha?

IT turvalisusest- Kõik on ohus – Mida teha?

Kõik kihid ja komponendid on kompromiteeritud, metoodiliselt ja hämmastavate tagajärgedega. Isegi võrgust eraldatud süsteemid (air-gapped) ei ole eemalt sissetungijate eest kaitstud (näiteks Stuxneti kasutamine Iraani tuumasüsteemide vastu). Tahtlikud lekitajad (nt Edward Snowden) ja arvukad tundlike andmete tahtmatud lekked (nt NSA) näitavad ka seda, et üksainus valel hetkel vale otsuse teinud inimene võib nullida kõige keerulisemad turvasüsteemid. Elektrooniliste andmete või süsteemide täielikku turvalisust ei ole võimalik saavutada isegi piiramatu rahasumma ja pingutuse abil – see on fakt. Kui mõni tootja lubab oma lahendusega tagada täieliku turvalisuse, pakub ta tegelikult petukaupa.

Tekkinud olukorda on paljudel infoturbespetsialistidel raske tunnistada, kuna selles valdkonnas on ajast aega olnud lademetes meetodeid, auditeid, sertifikaate ja tarkvara- ning seadmete tootjaid, mille kõigi eesmärk on olnud ennetada seda seisu, mida meil nüüd tuleb käsitleda vältimatu tegelikkusena. Organisatsiooni mõttemalli ümberkujundamine seniselt selgetele piiridele ja perimeetritele keskenduvalt turvamudelilt võib olla väga keeruline, eriti nende jaoks, kes probleemide tekkides vastutavad. Ometi on tänapäeva tegelikkusest mööda vaatav juht kahekordses ohus, sest turvaintsidendi korral on ta ette valmistamata ja tegutsemisvõimetu. Seetõttu peaks ta praegust muutunud olukorda väga tõsiselt võtma. Kümnenditagustele infoturbemeetmetele tuginemine on kui lootus, et „minu vahetuse ajal ei juhtu!“

Süsteemid, kuhu on sisse tungitud, jäävad kompromiteerituks väga pikaks ajaks nii, et keegi seda ei märka

Paljud suured traditsioonilise IT-turvalisusega seotud hädad on teadmatuse ja loorberitele puhkama jäämise tõttu ise tekitatud – üldse mitte pahatahtlikkusest. Virtuaalmasinad ja serverid on tavaliselt üsna püsiva seadistusega süsteemid, mis töötavad oma väljakujunenud konfiguratsioonis sisuliselt igavesti ning mida väga tihti ümber ei häälestata. See tähendab, et süsteemid, kuhu on sisse tungitud, jäävad kompromiteerituks väga pikaks ajaks ja keegi seda ei märka. Pahavaravastased ja sissetungiavastamise süsteemid otsivad üldjuhul signatuure ning teadaolevaid mustreid, mitte aga kõrvalekaldeid süsteemi tavapärasest tööst. Need turvasüsteemid tulevad edukalt toime ainult varasemast ajast tuntud rünnetega ning on kaitsetud nullpäeva rünnete osas, mida nii riiklikud struktuurid kui ka muud pahatahtlikud isikud sissetungimiseks usinasti kasutavad. Töötajad eeldavad tavaliselt, et süsteemidesse ei ole sisse murtud, kuni pole põhjust vastupidist arvata. Mittetehniliste valdkondade juhid (ja vahel paraku ka tehniliste valdkondade omad) kalduvad üle hindama oma infoturbemeeskondade ja -taristu struktuuri, oskusi ja nõuetele vastavust ning saavad ikka ja jälle ebameeldivate ning tegelikult ettearvatavate üllatuste osaliseks.

Alles siis muudab inimene oma mõtteviisi selle kohta, kus, kuidas ja millal andmeid säilitada ning jagada, kui ta tunnistab, et ka kõige väärtuslikumaid andmeid ning keerukamaid süsteeme ei ole tänapäeval võimalik täielikult turvata. Pahavaravastase tarkvara ja tulemüüride ostmisest ei piisa kaugeltki. Pigem annab see petliku turvatunde ning aitab sageli kaasa väärkäitumisele. Staatilised turvapiirded ei suuda kaitsta riikide soosingus tegutsevate häkkerite ja erahuvides tegutsevate vastaste eest, kelle motivatsioon on andmed kätte saada või kasutaja taristut muul otstarbel ära kasutada. Praegune olukord nõuab hoopis teistsugust strateegiat.

Tänast olukorda arvestades võiks turvalisusega tegelevate juhtide kõige olulisemad tegevused olla järgmised:

1. Tunnista, et andmetega seotud rikkumised on vältimatud ja juhindu sellest faktist oma süsteemide loomisel või ümberkujundamisel.

Sageli tähendab see komplekssete keskkondade jagamist üksteisest eraldatud mikroteenusteks. Niimoodi saab piirata võimalike rikkumiste mõju ja ulatust. Iga sellise hästipiiritletud teenuse kahjustamise mõju tuleb täpselt välja selgitada ja töötada juba ennetavalt välja plaan rünnetega toimetulemiseks, mitte lasta ründe korral end rööpast välja viia. Iga hinna eest tuleb vältida ahelreaktsioonina tekkivate probleemide tulva. Mikroteenuseid tuleb välja töötada, kasutusele võtta, skaleerida ja käitada üksteisest sõltumatult ning isegi tulemüüri taga peaks neid hoidma parajalt lahus, usaldamatuse õhkkonnas.

2. Muuda taristu dünaamiliseks keskkonnaks kasutades selleks läbivat automatiseerimist ja konfiguratsioonihaldust.

Automatiseerimisega vähenevad käituskulud ja konfiguratsioonide muutmisega seotud katkestuste ajad, äriprotsessid aga muutuvad kiiremaks. Selline lähenemine lahendab enamiku hädaolukorrast taastamise ja talitluspidevusega seotud ülesandeid jooksvalt ning lisaväärtusena kindlustab konfiguratsioonihaldusega seotud parimate tavade kasutamise. Kõige olulisem on aga see, et avastamata kompromiteeritud süsteemid ei saa haavatuna kaua püsida ning väheneb oluliselt pikaajalise kahju esinemise võimalikkus. See on vastupidine lähenemisele, mille puhul tõstetakse olemasolevaid servereid muutmata kujul ümber otse virtuaalkeskkonda või uuendatakse süsteeme lihtsalt kopeerides konfiguratsioone vanast uude. Uudse lähenemisviisi kasutuselevõtt ja elluviimine nõuab tugevat distsipliini. Tegemist on nii tehnilise kui ka kultuurilise muudatusega, mis nõuab arendajate, käitajate ja juhtide pidevat koostööd.

3. Kasuta masinõppe ja prognoosanalüüsi võimalusi.

Paljude ettevõtete IT-süsteemides jälgitakse arvukate mõõdikute väärtuste muutumist ajas, NetFlow andmeid ja sündmuste logisid. Mõõdikute piirväärtuste määratlemisest või süsteemide lubatud käitumise piiride mingil moel kirjeldamisest – lootes, et need hõlmavad kõiki olulisi aspekte – on märksa tõhusam kasutada masinõpet, mis võimaldab mõista töövoogude tavapäraseid mustreid ja märgata anomaaliaid. Selle saavutamiseks tuleb taristu iga kiht dokumenteerida ja suunata saadavad andmed ühtsesse analüütikalahendusse, selmet võtta kasutusele iseseisvaid iga keskkonna aspekti eraldi käsitlevaid üksiklahendusi. Tegemist ei ole mõne rakenduse või seadme ühekordse kasutuselevõtuga, vaid pideva tegevusega, mis nõuab ekspertoskustega töötajat ning seiret.

4. Mõtle tõsiselt pilveteenuste ja teenusena pakutava tarkvara (SaaS) peale ning võimalda oma inimestele töö tegemiseks parimaid võimalusi.

Andmete ettevõttest väljapoole edastamise ja töötlemise (nt Google Docs, Dropbox, Slack, Amazon S3 jne) keeld töökorralduse reeglites üldjuhul ei toimi. Selmet vaid töökorralduse reeglites keelata selliste süsteemide kasutamine, tuleks töö tegemiseks pakkuda välja alternatiivseid hästitoimivaid ning organisatsioonis aktsepteeritud lahendusi. Kui inimesed saavad oma tööd heade vahenditega hästi teha, väheneb oluliselt oht, et hakatakse omapäi tegutsema ning kasutatakse kontrollimatult keelatud pilve- või tarkvarateenuseid. Ehkki andmelekke vältimise vahenditest võib kasu olla, ei asenda need siiski asjakohast planeerimist, juhtimist ja koolitamist taoliste väliste töövahendite osas. Igakülgne krüpteerimine ja isiklike kaasaskantavate seadmete (BYOD) kasutamine muudavad andmete liikumise järjepideva jälgimise peaaegu võimatuks. Ka siin tuleks eeldada, et andmetega seotud rikkumine toimub mingil hetkel paratamatult ning selleks tuleb valmistuda, et vältida ootamatu kriisi tekkimist. Korralik juhtimine ja võimalus kasutada heakskiidetud vahendeid vähendavad oluliselt kogemata põhjustatud ulatusliku ulatusliku andmelekke ohtu.

Tänapäevasel taristuturvalisusel on veel palju aspekte, kuid eespool kirjeldatud neli punkti hõlmavad kõige olulisema.

Jared B. Reimeri postitusest F5 Labs blogis kohandanud SMN turvalahenduste spetsialist Tarmo Mamers