Haavoittuvuuksien havainnointiin on tarjolla useita erilaisia ratkaisuja. Loihteen offensiivinen tiimi käyttää kolmea erilaista lähestymistapaa: haavoittuvuusskannauksia sekä autonomista ja manuaalista penetraatiotestausta. Milloin haavoittuvuusskannaus on ajankohtaista ja miten usein se kannattaa tehdä?
Kyberrikollisuuden kasvu on ollut lähes eksponentiaalista 2000-luvulla, kuten edellisessä blogitekstissäni kerroin. Virusten jakelusta on siirrytty sosiaaliseen hakkerointiin ja tällä hetkellä kiristyshaittaohjelmat ja AI-huijaukset ovat isoimmat nousijat yleisimmän pahuuden kilpailussa.
Perinteinen haavoittuvuusskannaus sopii sekä ulkoisten verkkojen että sisäverkon haavoittuvuuksien kartoittamiseen. Haavaskannaus voidaan suorittaa kerran, esimerkiksi tietoturva-arvioinnin yhteydessä, tai jatkuvana palveluna kahden viikon tai esimerkiksi kuuden kuukauden välein. Haavaskannaus toimii automaattisesti haluttuna ajankohtana ja raportoi tulokset asiakasportaaliin tai sähköpostiin.
Penetraatiotestauksen tyyppi määritellään tapauskohtaisesti. Manuaalinen testaus sopii hyvin ohjelmille ja sovelluksille, joihin on tehty muutoksia ja ennen julkaisua halutaan varmistaa palvelun toiminnallisuus. Laajuus on siis usein melko pieni, rajattu pilviympäristö tai verkkokauppa. Laajemmat penetraatiotestaukset ja ajoitetut, jatkuvat testaukset suoritetaan autonomisella NodeZerolla. Autonominen testaus voidaan ajaa koko sisäverkkoon, ulkoisiin palveluihin tai molempiin vaikka samanaikaisesti. Penetraatiotestauksessa todennetaan löydetyt reiät ja haavoittuvuudet aina. Saadaanpa sitten kerralla kuva, miten laajamittainen kyberhyökkäys vaikuttaisi yhtiön toimintaan nykytilanteessa!
Erityisesti kriittiset järjestelmät, joiden toiminnan häiriöt voisivat vaikuttaa yhtiön tai asiakkaiden yritystoimintaan, on suositeltavaa testata. Testauksella viitataan nyt sekä penetraatiotestaukseen että järjestelmän palautusten testaukseen. Varmistuksista ei ole turvallisuuspoikkeaman jälkeen hyötyä, elleivät ne toimi.
Manuaalista testausta on käytetty myös, kun on otettu uusia työkaluja yhtiön käyttöön. Lisäksi jos uusi tekniikka on otettu käyttöön esimerkiksi sisäisessä toiminnanohjausjärjestelmässä, olemme auttaneet sen turvallisuuden tarkastamisessa. Pahimmillaan jo vuosia käytössä olleesta järjestelmästä on löytynyt avoimia tietokantoja tai jopa videovalvonnan suoratoistopalvelin, jossa esimerkiksi autoa ajava henkilö on ollut hyvin tunnistettavissa.
Penetraatiotestauksessa saadaan kuva palvelun tai verkon näkyvyydestä hyökkääjän suuntaan. Verkon palvelut, kuten ShodanIO mahdollistavat laajamittaisen haavoittuvien järjestelmien tarkkailun. Tämän jälkeen hyökkääjä kohdistaa toimintansa löytämäänsä järjestelmää tai organisaatiota kohti. Offensiivinen tiimimme aloittaa työn samalla tavalla eli tutkimalla avoimien lähteiden avulla, mitä kautta aloitamme hyökkäyksen sovittuun kohteeseen.
”Patch Tuesday” on monelle tietoturvallisuuden parissa toimivalle tuttu käsite. Kuun toisena tiistaina suuret yhtiöt, kuten Microsoft ja Adobe jakavat korjaavia päivityksiä löydettyihin pieniin haavoihin. Suuremmat haavat korjataan välittömästi havainnon jälkeen. Korjaavia toimia vaaditaan useimmiten haavoittuvuusskannauksen jälkeen ja tämän vuoksi jatkuva oman verkon toiminnan seuraaminen onkin tärkeää. Myös ”patchauksen” jälkeen tehtävät tarkistukset tehdään heti onnistuneiden päivitysten jälkeen. Vai tehdäänkö?
Sekä Loihteen manuaalinen että autonominen penetraatiotestaus mahdollistaa korjaavien päivitysten toiminnan testaamisen. Manuaalinen testaus tehdään toistamalla penetraatiotestauksen aikana suoritettu toimenpide, jolla haavoittuvuus tai konfiguraatio-ongelma on havaittu. Autonominen työkalu toistaa yhdellä klikkauksella aikaisemman testin ja todentaa korjauksen toimivuuden.
Kyberturvapoikkeamasta tokeneminen kestää keskimäärin 70 päivää – yhtiön näkökulmasta siis. Henkilöstö, joka työskentelee palauttaakseen toiminnan normaalille tasolle, ei selviä näin vähällä. Asiaa on tutkittu vähän, mutta kokemuksen mukaan kyberturva-ammattilaisilla on korkea riski sairastua uupumukseen tai traumaperäiseen stressihäiriöön. Havaintoja on tehty ympäri maailmaa. Panostamalla kyberturvallisuuteen, yhtiö osoittaa arvostusta työntekijöidensä työtä kohtaan sekä huolehtii osaltaan stressittömän työympäristön ylläpidosta. <3
Lähteenä blogitekstissä on käytetty muun muassa Bleeping Computer -lehteä, ISO2700X-ohjeistusta ja NIS2-direktiivin ohjetta kirjoittajan oman kokemuksen lisäksi.