Heinäkuun tietoliikenneuutisista mieleen jäi erityisesti CrowdStriken EDR-ohjelmiston päivitys, joka kaatoi Windows-koneet ja aiheutti yrityksille maailmanlaajuisesti valtavat palvelukatkot ja taloudelliset tappiot. Mikä oli ongelman tausta ja olisiko käyttäjäyritys voinut tehdä jotakin toisin?
Ongelman syyksi paljastui yksinkertainen ohjelmointivirhe, joka valui valmistajalta suoraan tuotantoon miljooniin koneisiin. Lisäksi yhtiön ohjelmistotestauskäytännöissä oli suuria puutteita. Ohjelmiston käyttäjät olivat ohjelmistotoimittajan varassa eivätkä itse ongelmatilanteessa olisi voineet tehdä oikein mitään, mutta ennakolta kyllä jotakin.
Miksi juuri Windows-koneet kaatuivat?
CrowdStriken EDR-ohjelma ajetaan Windowsin kernel-ajureilla suoraan käyttöjärjestelmän ytimessä. Sen vuoksi EDR voi kaataa koko käyttöjärjestelmän, kuten nyt kävi. Samaa ongelmaa ei ole Linuxeissa tai MacOS:ssä, joissa EDR-ohjelman suoritus on siirretty turvallisuussyistä käyttöjärjestelmäytimen ulkopuolelle. CrowdStrikella oli vastaava ongelma Linux-versioissa jo huhtikuussa, mutta sen vaikutukset jäivät huomaamattomiksi, koska bugi ei vaikuttanut kuin sovellukseen itseensä.
Windowsin poikkeavuus juontaa juurensa lähes 20 vuoden taakse, jolloin Microsoft olisi halunnut parantaa Windowsin turvallisuutta rajoittamalla ohjelmien oikeuksia kernelissä. Symantec ja muut tietoturvavalmistajat kuitenkin vaativat kaikille toimijoille samaa pääsyä käyttöjärjestelmään. Vuonna 2009 EU-kilpailulainsäädännön ohjaamana Microsoft päätti olla rajoittamatta pääsyä, ja sen jälkeen kaikilla on ollut oikeus toimia Windowsin ytimessä. Linuxeissa käytetään eBPF-ohjelmaa suojaamaan kerneliä sovelluksilta ja ehkäpä eBPF tulee lähivuosina myös Windowsin oletusohjelmaksi.
Haasteena läpinäkymättömyys ja rajattomuus
Tietoturvatuotteissa ja -valmistajissa on paljon samaa, mutta toimintaperiaatteissa on myös eroja. Ongelmana on lähes rajattomat oikeudet koko käyttöjärjestelmään. Oikeuksia olisi kyllä mahdollista rajata, mutta helppouden ja kilpailukyvyn nimissä käytäntö vain jatkuu. Toinen iso ongelma on valmistajien ja tuotteiden läpinäkymättömyys. Ohjelmat ovat mustia laatikoita, jotka tekevät automaattisesti sen, mitä valmistaja haluaa ja käyttäjän vaikutusmahdollisuudet ovat usein olemattomat.
Zero Trust -mallia on ehdotettu myös tietoturvatuotteille. Käytännössä kuitenkin joudutaan elämään tuotteiden ehdoilla, jos ei joku suurempi taho tai valmistaja itse puutu asiaan. Tuotteita valitessa voi yrittää selvittää taustalla vaikuttavia asioita, mutta usein on vaikea osata kysyä oikeita kysymyksiä ja tiedon puristaminen valmistajilta voi olla hankalaa.
Keskittymisen mukana tulee systeemiriski
Tietoturvatuotteet ovat keskittyneet muutamalle isolle toimijalle. SecurityScorecardin lukujen mukaan maailman hyökkäyspinta-alasta 90 % koostuu 150 yhtiön tuotteista ja palveluista, ja 62 % jopa vain 15 yhtiön tuotteista, joilla on kaiken lisäksi vielä keskimääräistä huonompi riskiluokitus. Avoimen koodin projekteista neljäsosassa on vain yksi ylläpitäjä ja 94 %:ssakin alle kymmenen. Tästä voi hyvin päätellä, kuinka kriittinen yhden pisteen riski ja riippuvuus yrityksille muodostuu valituista tuotteista ja palveluista. Tietoturvatuotteet eivät ole tässä poikkeus, koska niissäkin tuotekenttä on hyvin keskittynyt muutamalle isolle toimijalle.
Valmistajat ajavat myös kovasti alusta-ajattelua ja kokonaisratkaisuja. Markkinamielessä se näyttää toimivan ja konsolidoinnista voi ollakin hyötyä yritysten kärsiessä työkalutulvasta ja resursseista. Käyttäjien mielestä kuitenkin alustaratkaisujen hyöty jää usein vähäiseksi. Pistemäisemmissä ratkaisuissa tai pienemmissä ja nuoremmissa valmistajissa voi olla omat puutteensa, mutta toisaalta ne eivät todennäköisesti myöskään ole yhtä kiinnostavia hyökkäyskohteita kuin massatuotteet.
Hajauttamalla toimintoja eri alustoille ja eri tuotteille, voi vahvistaa ympäristön käytettävyyttä ja turvallisuutta.
Tietoturvaongelmilla on iso hinta ja vaikutus
Tärkein oppi ja muistutus tässä tapauksessa oli se, että tietoturva on osa yritysten liiketoimintaa ja tuotantoa. Kyberinnostuksessa on unohtunut, että liiketoiminnalle tärkeintä on yleensä jatkuvuus. Tietoturvaa tehdään liiketoiminnan riskien hallitsemiseksi, ei uhkien ja riskien poistamiseksi. Tietoturva-ala on nuori ja dynaaminen, ja sillä on vielä opittavaa ja kehityttävää.
Ongelmia tulee ja niistä palautuminen on tärkeää. CrowdStriken tapauksessa oleellisin keino palautua oli kyky käynnistää koneet paikallisesti safe mode -tilassa. Tarvittiin siis paikallinen IT-henkilö, joka osaa tehdä tarvittavat toimenpiteet tietokoneille. Jonkinlainen KVM-/konsoliratkaisukin olisi voinut olla mahdollinen koneiden operointiin etänä, ainakin palvelinympäristöissä. Konsoliyhteys kriittisiin laitteisiin onkin yksi olennaisimmista asioista, joka nousee esiin aina infraan liittyvässä isossa häiriössä. Kun hallinta menetetään, palautuminen on hankalaa ja hidasta.
Miten eteenpäin?
Ongelmista huolimatta EDR-tuotteille on tarve ja ne ovat hyvä työväline SOC-toimintaan. Valmistajat voivat oppia virheistä ja parantaa toimintaa niin, että tuotteiden käytettävyys ja turvallisuus kehittyvät paremmiksi. Käyttäjien on syytä vaatia parempaa ja arvioida kriittisemmin tuotteita ja toimittajia, mutta myös omaa toimintaansa. Jonkinlainen totuus on sekin, että hyökkääjä ei välttämättä ole yrityksen suurin riski, vaan organisaatio itse. Kyberturvassa ei ole olemassa yhtä oikeaa ratkaisua, vaan jokaisella organisaatiolla on omat tarpeensa, joihin pitää osata valita itselle sopivat tuotteet ja operointikyky tasapainoillen keskittämisen ja hajauttamisen välillä.
Blogin kirjoittaja
