Näkymättömältä on hankala suojautua

27.1.2022

Verkkoliikenteen suojaaminen alkaa ymmärryksestä: mitä laitteita verkossa on, mihin ja kenen kanssa ne keskustelevat.

Kysy itseltäsi: ”Miten tunnistan verkostani hämäräperäisen laitteen?” tai ”Miten näen kaikki verkkoon liitetyt laitteet IoT mukaanlukien” ja ”Ovatko kaikki liitetyt laitteet oikeasti sallittuja verkossani?”

Verkkoliikenteen suojaaminen alkaa liikenteen analysoinnilla

Tänä päivänä voitaneen sanoa, että tietojenkäsittely ilman tietoliikenneverkkoa on ”old school”. Toki kodeista ja konttoreista löytyy laitteita, joita ei välttämättä kytketä verkkoon, mutta aika harvinaista se alkaa olla. Puhelimet, televisiot, termostaatit, jääkaapit ja muut elektroniset laitteet alkavat olla kytkettyinä internetiin jo heti kun niihin virta kytketään. Organisaatioiden verkoissa tämä korostuu vielä enemmän. BYOD-kulttuuri mahdollistaa sen, että työntekijä tai joku tietoliikenteestä perillä oleva taho voi kytkeytyä verkkoon omilla laitteillaan.

Miten tiedämme mikä laite keskustelee kenenkin kanssa verkossamme?

Reaaliaikainen inventaario

Toki ratkaisuja on olemassa. On aktiivisia skannaustyökaluja ja välineitä, joilla verkkoa skannataan ja tutkitaan kuinka ne keskustelevat toistensa kanssa. Usein nämä ratkaisut tarvitsevat agentin, pienen ohjelmiston, joka tehtävän suorittaa. Agenteilla on taipumusta rasittaa verkkoliikennettä ja niiden ylläpitoon sekä seurantaan kuluu työaikaa. Tärkeää olisi, että tieto olisi helposti ja nopeasti saatavilla ilman tietoliikennettä rasittavia ratkaisuja.

Kuinka saat reaaliajassa tiedon verkossasi olevista laitteista ja niiden yhteyksistä toisiinsa tai jopa verkosta ulos?

Entäs ne ei-toivotut laitteet?

Mikäli organisaatiossa ei ole tarkoin mietitty ja hallittu kuinka laitteet tunnistautuvat verkkoon, sinne päätyy laitteita joiden käyttö tai käyttäytyminen ei ole toivottua.

Käytännössä ei tarvita kuin yksi saastunut muistitikku työntekijän työasemaan, ja ongelmat saattavat hyvin nopeasti paisua mittasuhteiltaan suuriksi. Näin käy helposti, ja tavoitetila on saada tällaiset tapahtumat kiinni ennen kuin ne aiheuttavat suurempia ongelmia tai jopa tuotannon pysähtymisen.

Palomuurit ja ”verkon rajalla” tapahtuva suojaus auttaa, mutta liikenne verkon sisällä, niin sanotusti ”itä-länsi”-suunnassa jää usein pimentoon. Tämä on sitä harmaata aluetta, jota ei aina oteta huomioon. Päätelaitteissa virustorjunta on tänä päivänä kunnossa, mutta valitettavasti se ei aina riitä. Erilaisten haavoittuvuuksien kautta lähes verkkoon kuin verkkoon on mahdollista päästä sisään.

Kuinka pystyt poimimaan tällaisen toiminnan pois ja estämään sitä kautta aiheutuvat tietomurrot tai järjestelmien saastumisen?

Kuinka nämä voidaan ratkaista?

Yksinkertainen vastaus voisi olla, että ei sallita mitään vapauksia laitteiden liittämisessä verkkoon. Tämä sinänsä tehokas keino ei kuitenkaan ehkä ole tätä päivää. Työnteko on enenevässä määrin siirtynyt toimistolta etätyöpisteisiin ja koteihin. Organisaation verkkoon saatetaan liittyä mobiililaittein tai vaikka sillä kotona kaikkien käytössä olevalla laitteella.

Luovaa työtä tekevät saattavat tarvita tai jopa vaatia, että he voivat tehdä työnsä valitsemallaan laitteella. Osa palveluista on pilvipalveluita ja näkymä koko verkkoon on on hankala toteuttaa ilman sitä varten kehitettyjä ratkaisuja.

Perinteiset SIEM ratkaisut, logien tutkiminen omin voimin ja haitallisen liikenteen metsästäminen SOC/NOC  toiminnan kautta tarvitsee lisää työkaluja. Monesti Network ja Security toiminnot ovat siiloutuneita. Verkkoliikenteen valvonnasta saattaa vastata henkilöt, jotka eivät välttämättä ole perehtyneitä tietoturvan syvyyksiin. Tietoturva taas saattaa katsoa asioita hyvin tarkkaan tietoturvalinssin läpi.

Ratkaisu – verkkoliikenteen Sveitsin armeijan linkkari – ExtraHop Reveal(x)

Wesentra edustaa  ExtraHop Reveal(x) -ratkaisua. Reveal(x) käyttää passiivisia sensoreita sekä koneoppimista tietoliikenteen analysointiin ja kykenee löytämään kaikki laitteet, jotka liikennöivät tietoliikenneverkossa. Ratkaisulle ohjataan verkkoliikenne suoraan ”langan” päästä ja sitä analysoidaan pilvipohjaisen koneoppimisen ja tiedossa olevien haitallisten ohjelmistojen liikenteen tunnistamisen avulla.

Ratkaisu toimii passiivisena, poissa verkkoliikenteestä, eli mahdollinen tunkeutuja ei voi sitä havaita eikä esimerkiksi poistaa jälkiään. Kaikki verkkoliikennettä luovat laitteet analysoidaan ja kategorisoidaan niiden ominaisuuksien perusteella. Tämä mahdolllistaa sen, että saamme täydellisen kuvan siitä mitkä laitteet kommunikoivat keskenään ja mihin suuntaan. Aina protokollatasolle 7 asti.

SOC/NOC toiminnot voidaan saattaa yhden ja saman käyttöliittymän taakse. NOC, eli Network Operation Center, saa työkaluja verkkoliikenteen pullonkaulojen metsästämiseen ja samanaikaisesti tiedon mahdollisista hyökkäyksistä tai haitallisesta liikenteestä. SOC, eli Security Operation Center, taas pääsee porautumaan ongelmiin nopeasti ja tekemään korjaavia toimenpiteitä.

Lisätietoja ExtraHop Reveal(x):stä löydät sivuiltamme tai ota yhteyttä

Lue lisää