APT-hyökkäysten kulta-aika menossa

Tiedustelupalvelut, aktivistit ja rikollisorganisaatiot käyttävät tietomurroissa ja sabotaaseissa yhä useammin kehittyneitä hyökkäysmetodeja, kuten esimerkiksi dynaamisia haittaohjelmia ja kohdennettuja hyökkäyksiä sekä uusia hyökkäysvektoreita, kuten esimerkiksi social engineering-tekniikkaa ja Linked in-palvelua. Toistaiseksi ICT-järjestelmät ovat vastustuskyvyttömiä APT-hyökkäyksille, mutta nykyinen "ilotulitus" tuskin saa jatkua kauan.

Teollisuusvakoilun kohteena olevat suuret teollisuusyritykset, kansainväliset finanssialan organisaatiot ja valtion virastot ovat APT-hyökkäysten vakiokohteita. Perinteiset tietoverkkojen turvatoimet, kuten puolustuksen syvyys, palomuurit ja virustorjunta eivät tarjoa suojaa APT-hyökkäyksiä vastaan. Samalla myös perinteisestä penetraatiotestauksesta ja verkkoskannauksesta on aiempaa vähemmän hyötyä. Tältäkin osin olemme siirtyneet uuteen aikakauteen.

Perinteinen tietomurron havainnointijärjestelmä (IDS) keskittyy matalan tason hyökkäysten ja poikkeamien havainnointiin, ja hälyttää niistä. Hälytyksiä tulee paljon ja oikeita ja vääriä hälytyksiä on erittäin vaikea erottaa toisistaan. Näiden hälytysten johdosta vastuuhenkilön on eritäin vaikea ryhtyä mihinkään toimenpiteeseen saatikka havaita APT-hyökkäystä.

APT-hyökkäyksen ajatuksena on saada jatkuva pääsy kohdejärjestelmään. Hyökkääjä voi poistaa kohdejärjestelmästä kaikki hyökkäykseen viittaavat jäljet. mutta voi palata milloin tahansa ja jatkaa tietomurtoa.

APT-hyökkäykset onnistuvat käytännössä aina. koska lähes kaikki nykyisin käytössä olevat suojaustekniikat ovat tehottomia. Hyökkääjä käyttää todennäköisimmin sellaisia hyökkäysvektoreita, joilla on parhaat onnistumisen edellytykset. Tähän valintaan liittyy lähes aina huolellinen suunnitteluvaihe. Hyökkäyksiä ei tehdä ”pystymetsästä”.

Hyökkäysten toteutuksessa käytetään useita nollapäivähaavoittuvuuksia, jotka tekevät mahdottomaksi tai vaikeuttavat olennaisesti hyökkäysten havaitsemista. Hyökkäysten havaitsemiseen tarvitaan kehittyneitä algoritmeja käyttäviä ohjelmistoja.

Analytiikkaohjelmistot ovat tulossa

Tietoturvayhtiöt eivät ole jääneet uusien uhkien edessä toimettomiksi. Eri tyyppisiä analytiikkatyökaluja ja ohjelmistoja on kehitteillä. Ensimmäiset ovat nähneet jo päivänvalon, kuten esimerkiksi Symantecin Blue Coat Advanced.

Analytiikkaohjelmistot eivät ehkä korvaa kokonaan matalamman tason tietoturvaohjelmistoja, mutta ne näyttävät olevan välttämättömiä APT-hyökkäysten havaitsemiseksi. Toivottavasti tulemme näkemään uusia analytiikkatuotteita myös kotimaisilta yrityksiltä.

SIEM (Security Incident and Event Management) ohjelmistot saivat suurta huomiota yritysten valmistautuessa EU-tietosuoja-asetuksen tuomiin haasteisiin. SIEM on enemmän kuin yksinomaan lokien hallintaan tarkoitettu ohjelmisto. Parhaat SIEM-toteutukset mm.

• tukevat päätöksentekoa säilyttämällä tietoja pidemmältä ajalta, jolloin johtopäätösten luotettavuus paranee
  
• tukevat tietojen analysointia tunnistamalla tavanomaisuudesta poikkeavia toimintoja ja tapahtumia sekä koostamalla yhteisiä piirteitä ja merkityksiä sisältäviä tietoja hyödyllisiksi kokonaisuuksiksi
  
• hälyttävät ja varoittavat mahdollisista tietoturvaongelmista valituille vastuuhenkilöille ja käyttäjille.
  
• tukevat yrityksen compliance-toimintoja keräämällä ja yhdistelemällä tietoja automaattisesti palvelimista, tietokannoista,
  
• ohjelmistoista ja sähköpostijärjestelmistä- Kerätyistä tiedoista on mahdollista todeta, kuinka tietoturvapolitiikka ja vaatimuksenmukaisuus toteutuvat.