Modernin tietomurron merkit — case epäonnistuneet kirjautumiset

Nykyisessä tietoturvamallissa käytännössä täytyy olettaa, että tietomurto tulee tapahtumaan ennemmin tai myöhemmin. Puolustuksen pitäisi onnistua torjumaan kaikki hyökkäykset, kun taas hyökkääjän tarvitsee onnistua vain kerran. Tämä on käytännössä mahdotonta, joten parempi on käytännössä olettaa, että murto tulee tapahtumaan ja varautua siihen.

Varautuminen tarkoittaa sitä, että käytössä on keinot murron huomaamiseksi, ennen kuin on liian myöhäistä. Peli ei vielä ole menetetty yhden työaseman saastuessa, mutta hyökkääjän edetessä verkossa huomaamatta riski sille, että hän pääsee käsiksi tärkeään tietoon kasvaa. Ilman jatkuvaa valvontaa tietomurron havaitsemiseen voi mennä aikaa jopa yli 200 päivää.

Merkittävä keino varautumisessa on sisäverkon tapahtumien jatkuva valvonta. Valvonta on haastavaa, koska verkossa, palvelimissa, työasemissa ja sovelluksissa tapahtuu jatkuvasti massiivisia määriä tapahtumia. Osa näistä voi olla merkkejä tietomurrosta, mutta suurin osa on yleensä täysin normaalia. Useimmiten poikkeamat huomataan monen eri tapahtuman ketjusta, joka on voinut tapahtua useassa eri järjestelmässä.

Tarvitaan valvontajärjestelmä, joka osaa yhdistää näitä yksittäisiä, toisistaan erillään tapahtuvia asioita kokonaisuuksiksi ja hälyttää tarvittaessa.

Otetaan yleinen esimerkki, epäonnistuneet kirjautumiset sisäverkossa.

 

Jokaisessa verkossa tapahtuu epäonnistuneita kirjautumisia silloin tällöin ja se on ihan normaalia. Yleensä yksittäiset epäonnistuneet kirjautumiset ovat käyttäjien virheitä, kiireessä tapahtuneita vahinkoja.

Tyypillisiä kirjautumisia verkkoympäristössä tapahtuu esimerkiksi:

  • Etähallintayhteyteen
  • Tietokantaan
  • Virtualisointijärjestelmään
  • Palomuuriin ja verkkolaitteisiin
  • Levyjärjestelmään
  • Varmistusjärjestelmään

Näitä satunnaisia epäonnistuneita kirjautumisia ei yleensä seurata pahemmin ja ne voivat olla ylläpitäjien ja käyttäjien kirjoitusvirheitä. Tästä syystä hyökkääjä ei yritä murtaa vain yhtä tunnusta yhdessä järjestelmässä vaan monta eri tunnusta monessa eri järjestelmässä jälkiensä peittämiseksi.

Entä jos olisikin järjestelmä, joka näkee, että 99% näistä satunnaisilta näyttävistä epäonnistuneista kirjautumisista tuleekin yhdestä samasta lähteestä.

SIEM-järjestelmän avulla voidaan muodostaa kokonaiskuva tilanteesta. Se auttaa näkemään, että yksittäisiltä näyttävät tapahtumat olivatkin osa kokonaisuutta, jossa murretusta työasemasta yritettiin päästä eteenpäin verkossa.

IBM QRadar on markkinoiden paras SIEM-ratkaisu tietoturvan aktiiviseen valvotaan. Järjestelmän avulla havaitset tietomurron ajoissa. Combitechin Security Intelligence Platform -palvelu auttaa ja tukee sinua SIEM-järjestelmän käyttöönotossa ja kehittämisessä.