Riskialttiit verkon reunalaitteet aktiivisten murtoyritysten kohteena

Tänä vuonna erityisesti verkkolaitevalmistaja Ivantin ohjelmistohaavoittuvuudet ovat puhuttaneet kyberturvallisuuden kentällä. Ivantin Connect Secure ja Policy Secure -tuotteisiin liittyen on julkaistu yhteensä viisi haavoittuvuutta, joista kolmea on käytetty aktiivisesti hyväksi valtiollisten toimijoiden tekemissä kyberhyökkäyksissä (Ulkoinen linkki). Kyberturvallisuuskeskus on ollut yhteydessä satoihin verkossa olevien laitteiden haltijoihin Ivantin haavoittuvuuksiin liittyen.

Yhdysvaltojen kyberturvallisuusviranomainen CISA julkaisi kumppanimaiden kanssa ulostulon (Ulkoinen linkki) Ivantin alkuvuoden haavoittuvuuksiin liittyen. CISA huomautti, että laitevalmistajan tarjoama työkalu ei välttämättä havaitse laitteelle tunkeutumista, ja haavoittuvuuksia hyväksi käyttämällä kyvykkään toimijan on mahdollista piileskellä ympäristössä pitkiäkin aikoja paljastumatta. On myös havaittu, että laitteen tehdasasetusten palautus tai ohjelmistopäivitys ei välttämättä poista hyökkääjän pääsyä laitteelle (Ulkoinen linkki). Kyberturvallisuuskeskus vahvistaa nämä havainnot.

Ulostulossaan CISA ja kumppanimaat toivat julki vakavaan sävyyn sen, että organisaatioiden tulisi tarkastella kriittisesti näiden tuotteiden käytön jatkoa organisaatioissa. Organisaatioiden on muutenkin suositeltavaa tarkastella säännöllisesti kriittisten verkon reunalla sijaitsevien laitteiden tai palveluiden kokonaistilannetta tietoturvan kannalta.

Kriittisiä haavoittuvuuksia kuukausittain

Erilaisia kriittisiä verkon yli hyväksikäytettäviä haavoittuvuuksia julkaistaan kuukausittain. Näistä vaikeimpia torjua ovat niin kutsutut nollapäivähaavoittuvuudet (eng. zero-day vulnerability). Tällainen haavoittuvuus on vain hyökkääjän tiedossa, kunnes tietomurto tai sen yritys havaitaan. Havaitsemisesta valmistajan lieventäviin ohjeisiin tai korjaaviin päivityksiin voi kestää kuitenkin päiviä tai viikkoja.

Hyökkääjät odottavat myös laitevalmistajien ohjelmistopäivityksiä havaitakseen, mitä kyseisillä päivityksillä on korjattu. Hyökkäykset kriittisiä haavoittuvuuksia kohtaan alkavat usein jopa lähipäivinä haavoittuvuuskorjauksen tultua julki. Köydenveto organisaation päivitystahdin ja hyökkääjän välillä onkin hyvä voittaa varmistamalla, että organisaatio tuntee ympäristönsä ja omaa toimivat prosessit haavoittuvuuksien hallinnan osalta. Mikäli poikkeama kuitenkin havaitaan, on hyvä tunnistaa, löytyykö osaaminen itseltä vai otetaanko heti yhteyttä tietoturvatutkintaa tekeviin organisaatioihin. Nopea reagointi tässäkin tapauksessa auttaa ja hyökkäys voidaan saada pysäytettyä tai torjuttua.

Heikot verkon reunalla olevat laitteet voivat olla avoin ovi organisaation sisäverkkoon

Esimerkiksi etätyön mahdollistava VPN-ratkaisu on useimmille organisaatioille yksi sen kriittisimmistä palveluista ja siten se perinteisesti kiinnostaa myös rikollisia. Organisaatioiden tulisi huolehtia siitä, että kyseiset tuotteet on otettu käyttöön tietoturvasta huolta pitäen ja päivitykset ovat aina ajan tasalla. Mahdollisten tietoturvapoikkeamien varalta on tärkeää, että organisaatioilla on kyvykkyys valvoa laitteita ja reagoida toiminnassa havaittuihin poikkeamiin. Myös muut verkkoon näkyvät laitteet tai palvelut on syytä pitää tietoturvan osalta ajan tasalla. Näihin lukeutuvat esimerkiksi erilaiset palvelimet, palomuurit, verkkopalvelut tai -rajapinnat sekä erilaiset IoT-laitteet. Yksikin heikko lenkki ketjussa voi kutsua hyökkääjän sisään. Pahimmassa tapauksessa hyökkääjä voi myydä saavuttamansa sisäänpääsyn eteenpäin muille hyökkääjille, jolloin alun perin lievä kryptolouhija tai muu haittaohjelma voikin eskaloitua esimerkiksi kiristyshaittaohjelmaksi. On myös mahdollista, että rikollisten sijaan tarpeeksi kiinnostavan organisaation tietoja tulee urkkimaan valtiollinen toimija.

Merkittävät verkossa olevien laitteiden haavoittuvuudet toimivat esimerkkinä kaikille organisaatioille, kuinka varautumista on syytä toteuttaa internetin reunalla olevien laitteiden suhteen. Minkä tahansa valmistajan kriittinen haavoittuvuus voi asettaa organisaatiosi poikkeamatilanteen äärelle, jossa nopeita toimenpiteitä vaaditaan. On myös syytä tarkastella ja harjoitella tilanteita, joissa organisaationne käyttämä tuote tai palvelu jostain syystä muuttuukin käyttökelvottomaksi hetkellisesti tai kokonaan. Mikäli käyttämänne VPN-ratkaisu on pakko ajaa alas, millä varmistaisitte etätyön tekemisen seuraavina viikkoina?