Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Käytöstä poistuvien palveluiden alasajo tulee tehdä huolella

Tietoturva Nyt!

Palveluiden elinkaaren hallintaan kuuluu olennaisena osana niiden hallittu alasajo. Tämä koskee sekä teknisesti ympäristöjen sammuttamista, poistamista sekä tuhoamista kuin myös asiaan liittyvien konfiguraatioiden poistoa. Jos alasajotoimenpiteitä ei tehdä johdonmukaisesti loppuun asti, voi taustalle jäädä pyörimään käyttämättömiä palveluita, jotka voivat aiheuttaa merkittäviä tietoturvariskejä organisaatiolle.

Palveluiden ja teknisten ympäristöjen käytössä keskitytään yleensä vain aktiivisena olevien järjestelmien ylläpitoon ja kehitykseen. Ennakkosuunnittelu ennen käyttöönottoa tietoturvan ja käytettävyyden kannalta on yksi sivuhaara itsessään (johon tässä artikkelissa ei paneuduta), mutta myös palveluiden käytön ehtoopuolella kannattaa suorittaa riittävästi valmistelevia ja varmistavia toimenpiteitä. Kun mitä tahansa järjestelmää ollaan ajamassa alas tai poistamassa käytöstä, kannattaa se tehdä johdonmukaisesti ja varmistaa erikseen, että kaikki toimenpiteet ovat menneet suunniteltuun päätepisteeseensä. Jos näin ei tehdä, on mahdollista että tuotantoon jää edelleen ns. varjoinfrastruktuuria, joka ei ole millään taholla aktiivisessa valvonnassa tai ylläpidossa. Tällöin pahantahtoiset toimijat voivat väärinkäyttää näitä ympäristöjä heikompina portteina tunkeutuessaan organisaation käytössä oleviin järjestelmiin.

Elinkaaren hallinta ei koske ainoastaan perinteisillä menetelmillä tuotettuja palveluita, jotka tarjotaan paikallisesta teknisestä ympäristöstä, vaan myös pilvipalveluita tai muutoin ulkoistettuja palveluita. Asiakassuhteessa ollessa kannattaa varmistua jo ennakkoon, että palveluntarjoaja tai -toimittaja on suunnitellut myös alasajo-osuuden kunnolla. Kaikissa palvelutoimitustavoissa (oma tuotanto, ulkoistus, pilvihankinnat) kannattaa nähdä erillinen vaiva ja varmistaa palvelun hallittu sammutus. Alla käsitellään muutama konkreettinen esimerkki ja niistä aiheutuvat tietoturvariskit.

Case-esimerkkejä

1: DNS ja pilvipalvelu

Organisaatio hankkii suuresta, globaalista pilvestä, esimerkiksi Azuresta tai Amazonista, itselleen verkon ylitse käytettäviä palveluita. Organisaation nimipalveluissa luodaan DNS-tietue osoittamaan kohti kyseistä palvelualustaa, ja palvelualustalla tehdään kyseistä nimeä vastaava palvelu ja siihen liittyvä konfiguraatio. Esimerkinomaisesti extranet.example.com asetetaan osoittamaan Amazonin S3-palveluita kohti, ja Amazonin puolella luodaan http/s-pohjaista liikennettä kuunteleva instanssi vastaamaan ja tarjoamaan sisältöä, kun koko Amazonin S3-pilveä kohti tulee kyselyitä kyseistä osoitetta kohti.

Organisaatio päättää lopettaa kyseisen palvelun kokonaisuudessaan, ja irtisanoo Amazonilta palvelun ja poistaa palvelun konfiguraatiot pilvestä. DNS-osoitus jää kuitenkin voimaan kohti kyseistä pilveä. Hyökkääjä havaitsee tilanteen, ja pystyttää oman instanssinsa Amazonin pilveen alkuperäisen instanssin poiston jälkeen.

Tämän jälkeen hyökkääjä pystyy kontrolloimaan täysin extranet.example.com-sivustolla olevaa sisältöä, ja käyttämään sitä esimerkiksi tunnusten kalasteluun tai haittaohjelmien jakeluun. Organisaatio pystyy estämään tämän poistamalla extranet.example.com-osoituksen nimipalveluistaan, jolloin kyseiseen palveluun osuminen on käytännössä äärimmäisen epätodennäköistä. Suojaava toimenpide on yksinkertainen, mutta unohtuessaan mahdollistaa hyökkääjälle moninaisia toimenpiteitä.

2: DNS-nimien vanhentuminen

Organisaatio on fuusioitunut vuoden varrella ja vaihtanut myös omaa nimeään. Osa palveluista on pystytetty aikanaan DNS-nimiin, jotka eivät ole enää aktiivisesti käytössä. DNS-tiedot joissain palveluissa ovat ketjuuntuneet mallilla organisaationuusinimi.com -> example.com -> IP-osoite. Koska organisaatio ei käytä enää osoitetta example.com aktiivisesti, se vanhenee vahingossa ja hyökkääjä rekisteröi osoitteen itselleen.

Hyökkääjä pystyttää haitallisia sivustoja ja sähköpostipalveluita kaappaamansa domainnimen alle, ja pääsee tämän jälkeen välikätenä joissain palveluissa kontrolloimaan käyttäjille näytettävää materiaalia; eli jakelemaan haittaohjelmia tai tekemään muita huijauksia. Hyökkääjä voi myös esiintyä organisaation vanhalla nimellä sähköpostin välityksellä, ja suorittaa vastaavia toimia sähköpostin kautta.

Ratkaisuna on hallita nimipalvelutietueiden ketjuja tehokkaasti ja välttää useita kerroksia tietueissa, ja pitää organisaation aiemmin käytössä olleet domainnimet rekisteröitynä organisaatiolle itselleen sopivaksi katsotun aikamäärän verran, esim. muutaman vuoden ajan. Vanhojen DNS-nimien alla ei tarvitse ajaa mitään palveluita, mutta kukaan muukaan ei pysty käyttämään niitä organisaation nimissä.

3: VPN-palvelun lopetus

Organisaatiolla on käytössään etäkäyttöä varten VPN-palvelu omaan ympäristöönsä osoitteessa vpn.example.com. VPN-laite päätetään korvata tuoreella laitteella, ja sen tilalle rakennetaan uusi palvelu korvaamaan vanha samassa DNS-osoitteessa. Uusi palvelu pystytetään teknisistä syistä eri IP-osoitteeseen, ja muutoksen hetkellä nimipalvelutietue käännetään uutta laitetta kohti. Vanha laite jää kuitenkin käyntiin ja verkkoon, eikä siihen liittyviä konfiguraatioita pureta pois.

Hyökkääjä löytää vanhentuneen laitteen ja kartoittaa siinä olevat haavoittuvuudet verkkoskannauksen yhteydessä. Hyökkääjä murtautuu laitteeseen haavoittuvuuksien kautta, ja pääsee sitä kautta organisaation sisäverkkoon kiinni.

Ehkäisevinä toimenpiteinä vanhentuneet laitteet ja sovellukset tulee sammuttaa ja poistaa verkosta kokonaan. Kaikki niihin liittyvät käyttäjätunnukset ja järjestelmätilit tulee poistaa ajallaan. Verkkolaitteisiin ja verkkoliikenteeseen liittyvät konfiguraatiot tulee muuttaa muutoshetkellä vastaamaan vain haluttua tilannetta, ja konfiguraatiot kannattaa tarkastella uudelleen säännöllisin väliajoin. Organisaation käytössä olevia verkkoja kannattaa skannata laajasti ulkopuolelta mahdollisten avoimiksi jääneiden palveluiden löytämiseksi

4: Sähköpostipalvelut siirretään toiselle tarjoajalle

Organisaatio päättää siirtää sähköpostipalvelunsa tarjoajalta toiselle. Uudet palvelut pystytetään uudelle tarjoajalle, ja yliheiton hetkellä postipalvelinten osoitteet ja muut postin kulkuun liittyvät päivitetään nimipalveluihin. Vanhat postipalvelut jäävät kuitenkin irtisanomatta ja purkamatta.

Hyökkääjä voi myös havaita, että vanhassa ympäristössä olevat postipalvelut ovat edelleen tuotannossa. Hyökkääjä voi tällöin yrittää tunkeutua niihin ja pyrkiä löytämään organisaation tiedoista jotain arkaluontoista tai muutoin hyväksikäytettävää, tai esiintyä kyseisiltä tileiltä muille samassa ympäristössä oleville organisaatioille alkuperäisen organisaation nimissä, pyrkien tällöin tekemään esimerkiksi laskutuspetoksia tai muita huijauksia.

Palveluiden siirroissa täytyy olla tarkkana, että palvelut myös irtisanotaan ja lopetetaan sovituilla hetkillä, jotta kuvattu tilanne vältetään. Vanhan tarjoajan kanssa kannattaa käydä keskustelu läpi, että millä hetkellä tapahtuu käytännössä mitäkin, ja milloin palvelu todella lakkaa olemasta.

Kyberturvallisuuskeskus suositteleekin organisaatioiden tilaus- ja päätäntävastuuhenkilöitä ja ylläpitäjiä käymään läpi ajatuksella palveluiden elinkaaren hallinnan prosessin ja siihen liittyvät käytännön toimenpidelistat elinkaaren eri vaiheissa. Tämän lisäksi säännöllisiä tarkasteluita palveluiden konfiguraatioista, esim. verkkoon, palomuuraukseen sekä nimipalveluihin liittyen, tulisi suorittaa määräajoin, jotta mahdollisia katveita ei pääse syntymään.