Saamme usein kyselyitä siitä, missä vaiheessa yrityksen kannattaa lähteä systemaattisesti rakentamaan tietoturvaansa, ja milloin on tarpeellista palkata ulkopuolista apua. Rakensimme tähän kysymykseen vastauksena case-esimerkin, jollaiseen saattaisimme törmätä asiakasprojektissa, vaikka esimerkki itsessään onkin rakennettu vain tätä blogia varten. Case-esimerkin on tarkoitus antaa kuvaa ja luoda ymmärrystä siitä, millaisissa tilanteissa yritykset usein lähtevät panostamaan vahvasti tietoturvan kehittämiseen.
Asiakasyrityksen taustat
Asiakkaamme on kymmenisen vuotta toiminnassa ollut asuttavia rakennuksia omistava ja majoituspalveluja tuottava yritys, jonka liikevaihto on noin 60 miljoonaa euroa. Yritys on kasvanut nopeasti, ja johdon huomio on pitkään keskittynyt kasvun tekemiseen ja hallintaan. Eräässä johtoryhmän kokouksessa havahduttiin siihen, ettei yrityksen ja sen toiminnan teknistä tietoturvaa oltu kokonaisvaltaisesti arvioitu tai testattu, vaikka yritys esimerkiksi käsitteli ja tallensi sensitiivistä informaatiota, kuten asiakkaidensa henkilötietoja. Johtoryhmässä päätettiin teettää laaja tekninen tietoturvakartoitus. Yrityksessä ei ollut nimettyä tietoturvajohtajaa, ja asian selvityksen sai tehtäväkseen talousjohtaja. Avukseen hän sai yrityksen yksinäisen IT-asiantuntijan.
Asiakkaamme kaltaiset yritykset voivat joutua monenlaisten tietoturvauhkien kohteeksi. Heidän järjestelmiinsä saatetaan kohdistaa hakkerointia tunkeutumistarkoituksessa, tehdä palvelunestohyökkäys tai tuoda järjestelmään haittaohjelma. Tällaisten yrityksiin kohdistuvien hyökkäysten motiivina on usein raha, arkaluontoisen informaation hankkiminen tai taloudellisten tappioiden aiheuttaminen kohdeyritykselle, ja joskus kyseessä on vain tahallinen kiusanteko, josta kuitenkin saattaa aiheutua yritykselle laajamittaisia tappioita. Hyökkäyksissä voidaan hyödyntää esimerkiksi yrityksen digitaalisten palveluiden haavoittuvuuksia tai hyökkäys voidaan toteuttaa yrityksen henkilöstöä hyväksikäyttämällä, esimerkiksi kalasteluviesteillä tai hankkimalla fyysinen pääsy yrityksen tiloihin ja sitä kautta laitteisiin henkilöstöä harhauttamalla.
Kuinka päästään alkuun?
Ensimmäisessä keskustelussa asiakkaan kanssa saimme lähtötiedot heidän ympäristöstään. Asiakkaalla oli käytössä ulkoistettu konesali, jossa oli 5–6 palvelinta sekä virtuaalikonesali Azurella. Erilaisia palveluja ja sivustoja oli toteutettu Azure Service Busin päälle. Näissä palveluissa käsiteltiin erilaisia tietoja, eikä asiakkaalla ollut selkeää käsitystä niiden tietoturvasta. Asiakkaan mukaan ”jotain pieniä auditointeja” oli palveluille kuitenkin joskus tehty. Tiedossa ei myöskään ollut tapauksia, jossa tietoa olisi vuotanut, sitä olisi muutettu tai tieto ei olisi ollut syystä tai toisesta yrityksen saatavilla. Sivustojen ja palvelujen auditoinnin lisäksi asiakas halusi ymmärtää miltä heidän järjestelmänsä näyttää ulkoa päin ja onko mahdollista löytää hyväksikäytettäviä haavoittuvuuksia ilman asiakkaan toimittamaa ei-julkista informaatiota. Verkkolaitteiden osalta haluttiin varmistaa, että tietoturvaan liittyvät asetukset olivat riittävällä tasolla.
Keskustelun kuluessa saimme kuulla laajalti muitakin tietoturvan varmentamiseen liittyviä toiveita. Näiden pohjalta päädyimme ehdottamaan asiakkaalle laajaa teknisen tietoturvan todentamiseen ja varmentamiseen tähtäävää kokonaisuutta.
Projektikokonaisuuden aloittaminen
Projekti aloitetaan tiedustelulla ja kohteiden kartoituksella ulkoverkosta. Ensimmäisessä vaiheessa haetaan ja testataan ulkoverkkoon näkyviä, sekä ulkoa käsin saavutettavissa olevia asiakkaan palveluja ja järjestelmiä mahdollisen hyökkääjän näkökulmasta. Tarkoituksena on selvittää näiden avaamaa hyökkäyspinta-alaa ja ulos näkyvien palvelujen mahdollistamia hyökkäysvektoreita. Työ tehdään OSINT-menetelmiä käyttäen, ilman asiakkaan aktiivista osallistumista.
Seuraavaksi suoritetaan sisä- ja ulkoverkon portti- ja haavoittuvuusskannaukset. Sisäverkon skannauksessa selvitetään asiakkaan verkossa olevat laitteet ja niistä mahdollisesti löytyvät tunnetut haavoittuvuudet. Näin saadaan hyvä näkyvyys mahdollisten ongelmien juurisyihin, kuten esimerkiksi puutteelliseen päivitystenhallintaan. Ulkoverkon skannauksella katsotaan asiakkaan verkosta ulospäin näkyvissä laitteissa mahdollisesti olevat haavoittuvuudet. Tulosten perusteella pystytään reagoimaan asioihin, jotka lisäävät hyökkäyspinta-alaa ja riskejä.
Web-sovelluksissa olevat haavoittuvuudet tarjoavat mahdolliselle hyökkääjälle vektorin, jolta palomuuri ei suojaa. Testaamme asiakkaan web-sovellukset manuaalisesti käyttäjän ja toisaalta myös hyökkääjän näkökulmasta. Testit pohjautuvat OSSTMM (Open Source Security Testing Methodology Manual) ja OWASP (Open Web Application Security Project) -dokumentaatioihin, joissa on kattavasti määritelty tunnettujen haavoittuvuuksien löytämiseksi tehtävät testit. Auditoijamme myös yhdistävät yksittäisiä haavoittuvuuksia pyrkiessään löytämään sovelluksen käyttölogiikkaan liittyviä aukkoja, ja luovat haavoittuvuuskohtaisia työkaluja testien kattavuuden lisäämiseksi.
Lisäksi tehdään verkkolaitteiden tietoturvakovetusten katselmointi ajamalla verkossa oleville laitteille CIS-CAT Level 1 -profiilin mukainen vertailuanalyysi. Analyysissä verrataan käytössä olevaa konfiguraatiota profiilin turvallisen konfiguraation parhaisiin käytäntöihin perustuvia suosituksia vastaan. Tämän avulla voidaan laitteiden kovetukset saattaa tarvittavalle tasolle, joka osaltaan alentaa riskitasoa.
Raportoinnilla selkeyttä tuloksiin ja kehityskohteisiin
Kaikista tehdyistä tietoturvatöistä asiakas saa selkeän ja helppolukuisen raportin, jossa löydökset avataan ja niiden hyväksikäyttömahdollisuudet havainnollistetaan. Annamme aina myös konkreettiset korjaussuositukset ja ehdotuksemme korjausten priorisoinnista.
Viimeisessä vaiheessa on tarkoitus suorittaa arkkitehtuuri- ja prosessikatselmointi yleisen tietoturvan ja tietoturvakontrollien näkökulmasta. Työ toteutetaan haastatteluina ja olemassa olevaan dokumentaatioon perehtymällä, sekä näiden pohjustamana työpajatyöskentelynä. Työpajassa käydään yhdessä asiakkaan kanssa systemaattisesti läpi järjestelmän tietoturvakontrollit sekä tietoturva-arkkitehtuuri parhaita käytänteitä vasten. Arvioitavia aihealueita ovat verkon rakenteen lisäksi esimerkiksi poikkeuksien havaitseminen ja hallinta, lokituskäytännöt, verkon monitorointi ja operointi, mahdollinen IDS:n ja IPS:n käyttö ja näihin liittyvät prosessit, ja muut tietoturvan kannalta olennaiset aiheet. Työllä tunnistetaan verkon rakennetason haavoittuvuudet sekä puutteet toimintatavoissa. Edellä kuvattujen teknisen tietoturvan testaamiseen liittyvien töiden tulokset otetaan soveltuvin osin huomioon katselmointia suoritettaessa.
Työt jatkuvat
Tässä kirjoituksessa esitelty esimerkkiasiakas oli jo ehtinyt kasvaa merkittävää liikevaihtoa tekeväksi yritykseksi ilman suurempia panostuksia tietoturvaan. Nopea kasvu oli pitänyt johdon kiireisenä ja prioriteetit muualla. Johtoryhmässä kuitenkin todettiin tietoturvan olevan yrityksen jatkuvuuden kannalta merkittävä asia. Onneksi asiakkaamme ei – tiettävästi – ollut joutunut hyökkäyksen kohteeksi, eikä tietoturvan varmentaminen ole koskaan liian myöhäistä. Yrityksen johto on sitoutunut työn tulosten pohjalta tehtävien toimenpidesuositusten toteuttamiseen, ja tietoturvan ylläpitämiseen jatkossa.
Yllä oleva kuvaus on hyvä esimerkki siitä, millaisia tietoturvahaasteita useat yritykset kohtaavat ja kuinka niitä voidaan lähteä ratkomaan. Jokaisella yrityksellä on yksilölliset tarpeet tietoturvan suhteen, mutta esimerkin avulla on helppo hahmottaa tietoturvan kokonaisuutta yritystoiminnassa. Tarjoamme yrityksille räätälöityjä ratkaisuja, joissa tietoturvaprojektit toteutetaan vastaamaan yrityksen yksilöllisiä tarpeita.