Rünnakuahel kübermaailmas: kuidas peatada pahalane võimalikult vara?
Infoturbes on kasutusel mõiste the kill chain ehk rünnakuahel, mis kirjeldab küberründe seitset etappi. Mida varem õnnestub rünnakuahel peatada, seda väiksem on ka sündiv kahju. Datafoxi infoturbejuht Janar Randväli ja Microsoft tehnoloogiajuht Neeme Kaalep kirjutavad, mis meetmeid ja tööriistu saab selleks kasutada.
1. Luure (reconnaissance) etapis otsivad häkkerid, keda üldse ründama hakata. Selleks kasutatakse nii passiivseid vahendeid (veebilehed, guugeldamine, Whois ja Shodani otsingud, töötajate avalikud kontaktandmed ja suhtlusvõrgustikud jne) kui ka aktiivseid tööriistu (Nmapi võrguskänner, portide skaneerimine, haavatavuste otsing jt), et kaardistada võimalike sihtmärkide jalajälg internetis. Kaitsemeetmeteks on avaliku info piiramine (näiteks kõigi töötajate kontaktandmed), kasutamata portide ja teenuste sulgemine, rünnete tuvastamise ja tõkestamise võimekusega (IDS/IPS) tulemüüri kasutuselevõtt ning virtuaalsed lõksud (honeybot) pahalaste peibutamiseks, et rünnakukatseid uurides tuvastada haavatavused ise.
2. Ründevahendite valimiseks (weaponization) kasutavad pahalased tehnosotsiaalset sahkerdamist (social engineering) ning täiesti seaduslikke haavatavuste otsimise ja turvatestimise tööriistu nagu Metasploit, Exploit-DB, Burp Suite, SQLmap. Nii määratakse kindlaks, kuidas konkreetset ohvrit rünnata: näiteks kas ettevõtte pakutava internetiteenuse, iganenud tehnoloogiaga serveri, õngitsuskirjade, kontori ukse taha jäetud mälupulga vms abil. Kaitsemeetmeteks on keskselt hallatava viirusetõrje kasutamine ja e-posti turve (näiteks DMARC autentimine ja SPF-kirjed), IDS/IPS võimekusega tulemüür, mitmeastmeline autentimine (MFA), logide analüüs, kiire turvapaikamine ning whitelisting, kus igale töötajate grupile määratakse lubatud rakendused ja tegevused, kõik muu on aga keelatud. Kui keegi tahab turbepoliitikas teha erandeid (näiteks häkker püüab endale hankida laiaulatuslikke administraatoriõiguseid), tuleb infoturbe eest vastutajatele automaatteavitus. Turbevahenditeks võib soovitada näiteks Sophose või Microsofti
3. Pahavara „tarne“ (delivery) käigus saadetakse rünnatavale enamasti õngitsuskirju (phishing), millega ahvatletakse teda võltskeskkonda sisse logima (credential harvesting), kirjaga kaasapandud nakatunud faili avama või klikkima linkidele, mis viivad pahavara levitavatele veebilehtedele. Kaitsemeetmeteks on kõik eelpool toodud tehnoloogiad, aga vähemalt sama oluline on töötajate infoturbealane harimine, sest teadlikku kasutajat on märksa keerulisem petuskeemidega õnge võtta. Selleks tuleb teha regulaarseid infoturbekoolitusi, millele peaks eelnema töötajate turvateadlikkuse hindamine küsitluse ja simuleeritud õngitsusründega.
4. Kasutamise (exploitation) etapis loob pahalane esmase suhtluskanali nakatatud IT-seadmega, millest saab vaheplatvorm järgmisteks tegevusteks. Selleks võidakse kasutada näiteks mälu ülekoormamist, SQL-koodi nakatamist, JavaScripti kaaperdamist või mõnda pahavara. Kaitse tööriistadena võib välja tuua sisenevate e-kirjade kontrolli ja rämpspostitõrje, kasutajaseadmete pahavarakaitse ning segmenteerimise nii seadmete kui ka kasutajaõiguste tasemel. Tavapärastest tööjaamadest ei tohiks üldse pääseda administraatoriarvutitesse ning laiaulatuslike kasutajaõigustega kontodele logitakse sisse üksnes IT-administreerimiseks vajalike ülesannete täitmiseks, mitte aga tavatöö tegemiseks.
Kuna tänapäeval rünnatakse pigem kasutajat kui välist tulemüüri, tuleb igaühe digitaalset identiteeti igati kaitsta, eriti kui veel on tegemist administraatorikontosid omavate töötajatega. Seetõttu on perimeetrikaitse kõrval olulised sellised lahendused nagu Microsoft Azure Active Directory (Azure AD), mis tagavad nii kohapealsete serverite kui ka pilveteenuste identiteedi- ja ligipääsuhalduse ärikriitilisel tasemel. Oluline on ehitada ka eri turvakihte: isegi kui kontode haldamiseks kasutatakse pilveteenuseid, saab lisameetmena tagada, et pilves olevatele halduskeskkondadele pääseb ligi üksnes ettevõtte sisevõrgust.
5.-6. Pahavara paigaldus järgmistesse seadmetesse (installation) ning juhtimine ja kontroll (command and control) langevad praktikas sageli kokku. Nende tegevustega püüab kurikael end kindlustada rünnatud organisatsioonis ning laiendada võimalikult palju oma õigusi IT-süsteemides. Selleks püütakse üle võtta uusi kasutajaseadmeid, administraatorikontosid, servereid, identiteedi ning ligipääsu haldussüsteeme jne, kusjuures vahel pendeldatakse tagasi ka eelmisesse pahavara „tarne“ etappi. Et võimalikult laialdast kontrolli saada, tuleb häkkeril esmalt teha kogu IT-taristu 360-kraadine kaardistus. Vahenditena kasutatakse Windowsi rakendustesse pahavarakoodi süstimist (DLL hijacking), läbistustestimise (pentesting) rakendusi (näiteks Meterpreter), kaugligipääsu tööriistu, registrimuudatusi jne.
Kaitseks aitab turvaintsidentide tuvastus- ja reageerimisteenus nagu Sophose MDR ning sisevõrgu segmenteerimine. Töötajatele mõeldud kontorivõrk, klientidele pakutavad teenused, tehase tootmisliinid ning kontori nutikad haldussüsteemid (nutilukud, valgustus, küte ja ventilatsioon jt) peavad kõik olema eraldatud kas füüsiliselt või vähemalt virtuaalsete kanalite tasemel. Seadmete nakatumise korral saab need kiiresti ülejäänud võrgust ja internetist isoleerida Sophose sünkroniseeritud infoturbelahenduse või taaskord IDS/IPS tulemüüriga, mis vaatab lisaks sissetulevale andmeliiklusele ka rakendusekihis toimuva sisse. Asjakohane on ka oma IT-taristus Zerotrust mõtteviisi juurutamine, mille kohaselt ei usaldata vaikimisi ühtki kasutajat, IT-seadet ega rakendust, vaid kõiki kontrollitakse alati.
7. Tegutsemise (actions) etapis püüab pahalane varastada nii palju sensitiivset infot kui võimalik (kontode ligipääsud, klientide andmebaas, finantsandmed, ärisaladused jne), et seda hiljem näiteks tumeveebis müüa. Mastaapsele andmevargusele järgneb tavaliselt ettevõtte kõigi IT-süsteemide krüpteerimine lunavaraga ning raha väljapressimine andmete lahtitegemiseks. Kaitseks sobivad andmevarguste ennetuspraktika (DLP), ühtsed andmehalduslahendused nagu Microsoft Purview, võrkude segmenteerimine ja varundus.
Varundamise puhul ei piisa lihtsalt pidevast varukoopiate tegemisest, vaid andmetaastet tuleb korrapäraselt testida, sest vastasel korral ei pruugi see reaalse taastamisvajaduse korral õnnestuda. Kui häkkeril on õnnestunud süsteemid lunavaraga krüpteerida, ei tohi neid kohe varundusest taastada, sest ka varukoopiad võivad olla lunavaraga nakatatud isegi siis, kui nad hetkel on krüpteerimata. Võibolla ei õnnestunud häkkeril varundust krüpteerida, kuid ta jättis sinna varjatud tagaukse, mille kaudu on võimalik varukoopiast taastatud live-süsteem uuesti krüpteerida. Isegi kui pole soovi konkreetset pahalast tuvastada, tuleks esmalt turvaintsidenti uurida ja logianalüüsiga tuvastada, mil viisil õnnestus tal süsteemidesse tungida, et enne andmetaastet turvaaugud sulgeda. Analüüsi abivahenditena võib soovitada Graylog logihaldustarkvara ning varunduse kontrolliks Veeami varunduslahenduse astmelist kontrolli staged restore, kus on võimalik enne varundusest taastamist varukoopiaid antiviirusega üle kontrollida. Alles seejärel võib planeerida süsteemide taastamist, kui varukoopiad on osutunud puhtaks. Vajadusel tuleks süsteemid esmalt taastada isoleeritud keskkonnas ning alles mõningase karantiinis testimise järel minna üle tavapärastele live-keskkondadele.
Tasub kasutada ka muutmatuid (immutable) varukoopiaid, mida ei saa üle kirjutada, kustutada ega sellele pahavara ja tagauksi lisada. Samuti on andmevarunduses kasulik 3-2-1-0 reegli järgmine, mis tähendab vähemalt 3 varukoopiat andmetest 2 eri andmekandjal. millest 1 on teises füüsilises asukohas või muutmatu ning andmetaaste testimisel on ilmnenud 0 viga.
Kuna küberrünnakute ennetamine on alati lihtsam ja odavam kui nende peatamine ning seejärel tagajärgedega tegelemine, tasuvad ennetusmeetmed alati ära. Seetõttu on väga oluline kasutajaõiguste ja ligipääsude korralik haldus ning võrkude ja teenuste segmenteerimine. Organisatsioonis võib kasutada ühtset identiteedi haldussüsteemi, ent kindlasti koos täiendavate turbemeetmetega nagu MFA, automaatsed hoiatused anomaaliate korral jne. Ohtude ennetamiseks tasub kaardistada Active Directory objektide omavahelised seosed, mida saab visuaalselt mugavasti teha BloodHoundi-nimelise rakendusega. Selle kaardistuse alusel on näha kitsaskohad, kust häkkerid võivad erinevate kasutajate ligipääse, grupikuuluvusi, seadmeid ja rakendusi kombineerides tekitada endale varjatult domeeniadministraatori või keskse administraatori õigused.
Ülioluline on pidev haavatuste otsing, et avastada need enne häkkereid. Üks efektiivsemaid haavatavuste avastamise tööriistu on Tenable Nessus Vulnerability Scanner. Kriitiliste turvaukude avastamisel tuleb need paigata juba tundidega, mis välistab automaatründe ohvriks sattumise. Paikamata arvuti võrku ühendamisel toimub automaatrünne enamasti juba minutitega. Kui turvapaika veel pole või selle testtsükkel enne paigaldust võtab aega päevi, tuleks võtta muid meetmeid, näiteks piirata kasutajate õigusi, eraldada süsteemid omavahel ning jälgida nendevahelist võrguliiklust vms.
Ennetava tegevusena tuleks kaardistada ka IT-taristu ülesehitus. Sellest, et paar sysadmini kõike peast teavad, on vähe. Esiteks võivad inimesed olla puhkusel, haiged või lihtsalt ametit vahetada. Teiseks võib ründe peatamiseks olla vaja abijõudu küberturbe ettevõtetest. Kui välistel abilistel kulub päevi, et end IT-süsteemide topograafiaga kurssi viia, võib juba ründe peatamiseks olla hilja, sest häkker on selle tundmaõppimisega varjatult tegelenud nädalaid. Kui aga ettevõte teab täpselt, kuidas IT-süsteemid on üles ehitatud ja seadistatud ning kus on võimalikud riskikohad, läheb välise abijõu kaasamine kiiremini. Kriisi ajal ongi kõige kriitilisem vara aeg, sest nädalaid seisev tehaseliin või veebiteenus võib tähendada 0 eurot tulusid ning päädida miljonitesse ulatuvate kahjudega.
Kui soovid nõu küberturbe meetmete ja tööriistade kasutuselevõtuks, siis kirjuta meile: [email protected].
Janar Randväli, Infoturbejuht
Neeme Kaalep, Microsoft tehnoloogiajuht
Loe lisaks:
Datafox ja Zero Trust: kuidas nullusaldus meiega kokku sobib?
Laiapõhjaline infoturbe juhtimine: mis see on ja kuidas toimib?