Lapsena leikimme piilosta ja se oli sekä jännittävää, että mukavaa puuhaa. Kuka pystyi pysymään piilossa kaikkein kauiten oli voittaja. Sama peli jatkuu tänä päivänä, mutta nyt kyseessä ei ole se naapurin Kalle kenen kanssa hiekkalaatikollakin pidettiin neppiskisoja, vaan ihan joku muu. Kymmenen tikkua laudalla oli ennen oikeasti kymmenen tikkua, ei kymmenen arvokkainta liikesalaisuutta tai henkilöiden identiteettejä, käyttäjätunnuksia ja salassapidettävää tietoa. Ei auta, vaikka huudat kytkimellesi ”kaikki pois piiloista”, joku jää sinne kurkkimaan ja urkkimaan mistä saisi parhaan tuloksen pimeälle puuhalleen.
Tämä piilosleikki on vaarallinen leikki, menetykset ovat suuria, kalliita ja koskettavia.
Hiiret, jotka metsästävät osaavat tehtävänsä
Tietoliikenteen seuranta perinteisin menetelmin on perustunut, ja osittain perustuu edelleen, logien tutkimiseen erilaisin ratkaisuin. Tätä ei pidä väheksyä, vaan tämä on luonnollinen osa tietojärjestelmien toimintaa. Erilaiset agentteihin perustuvat ratkaisut ovat myös hyödyllisiä ja totta kai palomuurit edelleen pitävät suurelta osaltaan hiiret pois järsimästä kallisarvoista dataasi.
Valitettava fakta vaan on se, että digitaalisuus monimutkaistuu ja monipuolistuu koko ajan ja verkkoon voi päätyä ei toivottuja nakertajia monin eri tavoin. Yksi ehkä suosituimmista tavoista on edelleen kalasteluviestit. Taitavat hakkerit löytävät keinoja sisäänpääsyyn eivätkä he tuhlaa aikaansa sellaisiin kohteisiin joiden kautta ei päästä tavoitteisiin.
Tapoja on kuitenkin monia ja tunkeutujat saattavat seurata organisaatiota pidemmän aikaa etsien mahdollisuuksia päästä sisään. Se voi olla vaikka yksittäisen henkilön seuraaminen sosiaalisessa mediassa. Henkilön ei välttämättä tarvitse olla korkea-arvoinen kohde, vaan joku jonka kautta voidaan ujuttaa haitallinen ohjelma organisaatioon.
Yksinkertaisimmillaan sopivaan paikkaan lentokentälle tai muuhun vastaavaan paikkaan ”unohdettu” latauspiuha tai jopa USB-muisti. Näennäisesti vaikka tyhjä sellainen. Tällaisen käyttäminen organisaation tietoverkossa on vähän kuin antaisi kotiovensa avaimen ja osoitteen ensimmäiselle vastaantulijalle kauppakeskuksessa.
Network Detection and Response – Kaikki pois piiloista!
ExtraHop Reveal(x) – eli Network Detection and Response ratkaisu tarjoaa täyden näkyvyyden verkkoliikenteeseen. Pääset ikään kuin katsomaan hakkerin olkapään yli mitä hän verkossasi touhuaa. Ratkaisu perustuu verkkoliikenteen analysointiin poissa linjalta. Verkossa liikkuvaa rikollista voidaan seurata ilman, että hän tietää siitä mitään. Ensimmäisiä toimia joita hakkerit tekevät on omien jälkien jatkuva siivoaminen. Logitiedoista poistetaan jäljet ja liikenne pyritään naamioimaan normaaliksi verkossa tapahtuvaksi asioinniksi joka ei aiheuta hälytyksiä.
ExtraHop analysoi liikennettä koneoppimisen ja IOC tiedon perusteella. IOC (Indicator Of Compromise) on ”helppo” myös muilla ratkaisuilla, mutta epäilyttävän toiminnan analysointi ilman siihen kehitettyä älyä vaatii sekä syväosaamista että resursseja. Harjaantunut ja osaava tunkeutuja ei jätä hiirenpapanoita joka puolelle, vaan etenee siististi käyttäen erilaisia työkaluja etsiessään niitä kruununjalokiviä. Joskus tämä työ voi kestää vuosia. Esimerkkinä valtiollisella tasolla tapahtuva järjestelmiin tunkeutuminen ja jatkuva hiljainen kuuntelu.
Reveal(x) tarjoaa näkymän ja älyn tähän rikolliseen ”post-compromise” toimintaan. Palomuurit, tunkeutumisen havaitsemisen/suojautumisen (IDS/IPS) ratkaisut poimivat ja hälyttävät suorat hyökkäykset pois rajalta, mutta tänä päivänä tarvitaan ratkaisu myös siihen mitä tapahtuu verkon sisällä. Sinne on voitu päästä muutoin kuin puhkomalla palomuurit ja verkon rajalla toimivat ratkaisut. Tämän ”itä-länsi” suuntaisen liikenteen seuraamiseen tarvittava ratkaisu on Network Detection and Response – ExtraHop Reveal(x).
Älä ole juustotarjotin, vaan ole kissa. Kissa joka näkee pimeässä ja kuulee hiiren rapinan verkossasi.
” Ensimmäisen Vastaamon potilastietokantaan kohdistuneen tietomurron on arvoitu tapahtuneen 25. marraskuuta 2018.[1] Maaliskuussa 2019 tietokantaan kohdistui toinen murto, jonka jälkeen tietokanta tyhjennettiin ja tilalle jätettiin kiristysviesti. ”
p.s. Testaa kissanvaistosi osallistumalla ExtraHopin järjestämään Hunter Challenge kilpailuun. Voit voittaa palkintoja ja saat CPE pisteitä kyberturvakoulutuksesi tueksi. Rekisteröidy kilpailuun täällä.