Tunnetko tunkeutumisen laajentamisen (osa 1)
Tietoturva Nyt!
Suomi on osa globaaleja tietoverkkoja. Tämän seurauksena myös Suomeen ja suomalaisiin kohdistetaan tietomurtoja, joissa pyritään tunkeutumisen laajentamisen keinoin luomaan hyökkääjälle mahdollisimman edullinen asema ja työrauha. Tämä Tietoturva Nyt!-artikkeli on osa Tunnetko tunkeutumisen laajentamisen? -juttusarjaa, jonka ensimmäisessä osassa käsittelemme ilmiötä ylätasolla.
Mitä on tunkeutumisen laajentaminen?
Tunkeutumisen laajentamisella (engl. lateral movement) tarkoitetaan hyökkääjän toimia, joilla pyritään saattamaan hyökkääjän käyttöön mahdollisia ylläpitäjien oikeuksilla varustettuja tilejä.
Hyökkääjä pyrkii usein kartoittamaan organisaation tietojärjestelmistä parhaan ja herkullisimman kohteen. Tällaisia kohteita ovat esimerkiksi tuotantopalvelimet ja asiakastietokannat, tai sisäänpääsy toimialueen ohjauskoneeseen (Domain Controller). Hyökkääjä pyrkii tyypillisesti sulkemaan ja estämään tietoturvamekanismien ja -järjestelyiden toiminnan, jotta saisi toimia kohteessa häiriöttä.
Usein hyökkääjät jatkavat tunkeutumistaan syvemmälle organisaation sisäverkkoon, joissa kohteena on erityisesti Windows-toimialueen käyttäjätietokanta ja hakemistopalvelu (Active Directory -palvelin). Active Directory -palvelin on hyökkääjän kannalta hyödyllinen, sillä palvelimen avulla hyökkääjä kykenee esiintymään mielivaltaisesti valittuna käyttäjänä tai esimerkiksi luomaan uusia tunnuksia korotetuin käyttöoikeuksin.
Miksi sitä vastaan tulee suojautua?
Mitä kauemmin hyökkääjä toimii organisaation verkossa, sitä todennäköisemmin hän onnistuu tavoitteessaan. On erittäin tärkeää, että hyökkäykset havaitaan ajoissa. Tällöin todennäköisyys laajemmille haitoille ja vahingolle vähenee.
Tunkeutumisen laajentaminen on ollut alun perin tekniikkana käytössä lähinnä kehittyneissä hyökkäyksissä kuten vakoilussa. Laajentamiseen käytettyjä tekniikoita ja hyökkäystyökaluja on sittemmin julkaistu ja tuotteistettu. Tämä tarkoittaa sitä, että vähemmän teknisesti taitavat rikolliset toimijat voivat käyttää tekniikoita ja hyökkäystyökaluja rikosten välineenä. Tämän myötä hyökkääjät ovat laajentaneet reviiriään kohdejärjestelmissä useammissa tapauksessa. Tekniikkaa kutsutaan usein englanninkielisellä termillä big game hunting eli suurriistanmetsästys. Viime aikoina nämä hyökkäykset ovat liittyneet kohdennettuihin kiristyshaittaohjelmatapauksiin.
Organisaatiolle on tehokkaampaa ja edullisempaa havaita ja torjua hyökkäys sen varhaisessa vaiheessa. Esimerkiksi kohdennettu kiristyshaittaohjelmahyökkäys on parempi torjua hyökkääjän edetessä järjestelmiin kuin vasta kiristyksen levittyä ja aktivoiduttua hyökkääjän tavoittelemiin kohteisiin. Jälkimmäisessä tapauksessa organisaatio voi joutua rakentamaan koko verkkonsa alusta asti uudestaan muun sisäisen IT-infrastruktuurinsa ohella.
Teollisuusvakoilutapauksissa pyritään estämään jalansijan kasvattaminen organisaation omien tietojen suojaamiseksi ja tietojen ulosvuotamisen estämiseksi. Tällöin on helpompi selvittää, mikä osa organisaation tiedoista on vielä suojassa, mitkä tiedot ovat vaarantuneet tai mahdollisesti paljastuneet.
Vain havaittu tietomurto kyetään selvittämään ja mahdollinen tunkeutuja poistamaan verkosta.