Pitkään tietokonevirukset olivat lähinnä kallis kiusa yrityksille ja kuluttajille, mutta viime vuosina virusten kylkeen on kasvanut aivan uusi uhka: Ransomware kiristysohjelmat. Miten kiristysohjelmien uhka olisi torjuttaja, jos kaikki asiantuntijat tietävät sanoa, ettei yhtä ihmelääkettä ole olemassakaan? Tässä katsauksessa annetaan pieni kooste keinoista, joilla kiristysohjelmien tuhovoimaan on voitu vaikuttaa tehokkaasti ja esitetään kolme tehokasta keinoa torjua kiristysohjelmien uhka yritykselle ja kuluttajalle.

Mikä tekee kiristysohjelmista erityisiä?

Tietokonevirukset ovat olleet internetiin liitettyjen koneiden ja laitteiden vitsauksena aikojen alusta asti. Niin kuin kaikki nopeasti ympäristöään muuttuvat innovaatiot, myös kiristysohjelmat ovat kehittyneet yhdistämällä vanhoja ja laajasti hyödynnettyjä menetelmiä jollain uudella tavalla. Kiristysohjelmien kehityksessä on yhdistetty seuraavat neljä tekijää:

1. Perinteisten tietokonevirusten levitysmenetelmien koko kirjo
2. Modernien ja helposti hyödynnettävien tiedonsalausmenetelmien käyttö
3. Uusien virtuaalivaluuttojen, lähinnä Bitcoinin, tarjoamat mahdollisuudet kerätä nimettömästi
maksuja
4. Rikoksen ansaintamalli, joka on erittäin tuottoisa ja samalla lähes täysin riskitön

Lopputuloksena on aivan uusi ja ennätyksellisen kannattava verkkorikollisuuden muoto, millä ei ole rajoja, miltä kukaan ei ole täysin suojaussa ja joka houkuttelee koko ajan uusia rikollisia kasvattamaan ongelmaa.

Miten kiristysohjelmien uhkaa on torjuttu maailmalla?

Koska kiristysohjelmien uhka ei teknisesti ole kokonaan uusi, voimme torjua tätä uhkaa osin perinteisin keinoin. Helmikuun lopussa pidetyssä RSA konferenssissa San Franciscossa puhui Los Angelesin kaupungin tietoturvajohtaja siitä millä tavoilla he ovat oppineet menestyksekkäästi torjumaan kiristysohjelmahyökkäysyrityksiä. Kiristysohjelmien torjunta on puolustusta ”syvyydessä”, mikä tarkoittaa sitä, että uhkat on voitava torjua hyökkäyksen eri vaiheissa. Näiden kolmen avaintekijän kautta on onnistuttu toteuttamaan syvyyspuolustusta eri tasoilla:

1. Sähköpostin ja web-selaamisen suodatuksen taso,
2. Käyttäjäkoulutuksen ja tietoturvakulttuurin luomisen taso,
3. Päätelaitteiden suojaamisen taso.

Kiristysohjelmien torjunnan kenttäkokemuksen kautta kaupungin tietoturvayksikkö on laatinut toimintakäsikirjan, joka jakautuu neljään päävaiheeseen:

  1. Havainnointivaihe: tunnistetaan kiristysohjelmahyökkäys tai hyökkäysyritys ajoissa
  2. Rajaamisvaihe: rajataan kiristysohjelman leviäminen ja vahinkojen määrä sekä laatu
  3. Palautumisvaihe: luodaan, testataan ja suoritetaan järjestelmien palautumistoiminnot
    4. Ilmoitus- ja tiedotusvaihe: luodaan, testataan ja toimitetaan lainmukaiset viranomaisilmoitukset ja tiedotus kaikille sidosryhmille.

Toimintakäsikirjan vaiheet ovat tuttua kauraa jokaiselle tietoturva-ammattilaiselle ja tämän mallin avulla kiristysohjelmien torjunnassa saadaan onnistumisia, mutta miksi kiristysohjelmien uhka kasvaa koko ajan vain suuremmaksi?

Paluu perusteisiin

Kiristysohjelmauhkan torjuminen on siis mahdollista, mutta se edellyttää monivaiheista valmistautumista näkymätöntä uhkaa vastaan, mikä on suuri haaste mille tahansa organisaatiolle. Olennaista olisikin pystyä tunnistamaan ne tekijät, joilla on suurin yksittäinen teho uhkan torjumisessa. Tästä päästäänkin kahden peruskysymyksen äärelle:

  • Mitkä asiat mahdollistavat kiristysohjelmien leviämisen organisaation järjestelmissä?
  • Mitä kiristysohjelmat pyrkivät saamaan aikaiseksi organisaation järjestelmissä?

Näihin kysymyksiin löytyy useita vastauksia, mutta olennaisimmillaan kyse on siitä, että kiristysohjelmien tavoitteena on saattaa organisaation tiedot yritykselle itselleen käyttökelvottamaan muotoon, tunkeutumalla organisaation tietoverkkoihin ja järjestelmiin mahdollisimman korkeilla käyttövaltuuksilla. Kun tämä peruskysymys on ratkaistu, on mahdollista tunnistaa mitkä keinot antavat tehokkaimman suojan kiristysohjelmia vastaan. Näitä on käytännössä kaksi:

  1. Estetään käyttöoikeuksien anastus ja käyttövaltuuksien väärinkäyttö
  2. Luodaan ja testataan korkean luotettavuuden varmuuskopiointimenetelmä

Käyttöoikeuksien ja -valtuuksien suojaaminen: kruununjalokivet turvaan!

Ensimmäisessä ratkaisussa kyse on siitä, että kiristysohjelmahyökkäyksen onnistuminen on aina riippuvainen hyökkäyksen jokaisen vaiheen onnistumisesta. Tätä kutsutaan myös nimellä ”attack kill-chain”, eli hyökkäyksen tappoketju. Hurjasta nimestään huolimatta, tämä tarkoittaa sitä, että hyökkäyksen voi torjua estämällä edes yksi hyökkäykselle olennainen vaihe. Koska kiristysohjelmien torjunta tulee yritykselle huippukriittiseksi vasta siinä vaiheessa, kun hyökkäysohjelma on jo tunkeutunut verkkoon, ovat käyttäjätunnukset ja käyttövaltuudet välittömimmässä uhkassa. Neljä keskeisintä keinoa tämän uhkan torjumiseen ovat:

1. Vahvan käyttäjätunnistuksen toteuttaminen kautta linjan. Kun käyttäjätunnistus on vahvistettu moniosaiseksi vahvaksi tunnistukseksi, ei hyökkäysohjelmalla ole tunnuksia mitä varastaa.
2. Privileged Access Management (PAM) järjestelmän tehokas käyttäminen pääkäyttäjä- ja järjestelmäkäyttäjätilien ja käyttövaltuuksien käytönseurantaan ja -valvontaan
3. PAM ratkaisun puutteessa Windows Active Directory Red Forest asetusten käyttöönottaminen (toiselta nimeltään Enhanced Security Administrative Environment tai ESAE).
4. Kaikkien järjestelmien ajantasainen tietoturvapaikkausten ajaminen jopa sillä riskillä, että jotkin sovellukset voivat kaatua tai häiriintyä paikkauksista. Sovellusten käyttökatkokset voivat tulla yrityksille kalliiksi, mutta kriittisten tietoturvapäivitysten osalta turvallisuustarpeiden pitäisi ajaa yli hetkellisten taloudellisten menetysten uhkan koska kiristysohjelmat tarvitsevat aina jonkun tietoturva-aukon mitä kautta ne pääsevät tunkeutumaan ja etenemään järjestelmissä.

 

Tiedonvarmistusta kolmessa ulottuvuudessa

Toisessa ratkaisussa lähdetään olettamuksesta, että vaikka tiedonvarmistus ja varmuuskopioiden palautustestaus kuuluu jokaisen organisaation perustoimintoihin, tuo kiritysohjelmat näille rutiinitoimille aivan uudenlaisen kriittisyysasteen. Mikäli organisaatio ei pysty katkaisemaan hyökkäyksen tappoketjua ennen kuin kiristysohjelma onnistuu salaamaan yrityksen tiedot käyttökelvottomiksi, ovat varmuuskopioiden tila ainoa minkä varassa yrityksen tulevaisuus makaa. Tästä syystä organisaation on syytä toteuttaa seuraavan kolmetasoinen varmuuskopiointijärjestely:

1. Kaikesta tiedosta pidetään vähintään kolminkertaiset kopiot
2. Kaikki varmuuskopiot pidetään vähintään kahdella erilaisella alustalla, jotka sijaitsevat vähintään kahdessa eri paikassa
3. Kaikesta tiedosta pidetään vähintään yhtä varmuuskopiota muualla kuin organisaation omassa
ympäristössä

Silloin kun varmuuskopioita pidetään eri alustoille, joista joku voi olla julkinen pilvipalvelu tai muu ulkopuolinen tallennuspalvelu, niin varmuuskopiot tulee aina tallentaa salatussa muodossa ja pitää salausavaimet omassa hallinnassa, muualla kuin siinä palvelussa missä varmuuskopiot on tallennettu.

Ratkaisuja, ratkaisuja

Spear Innovations tarjoaa tehokkaat ratkaisut kiristysohjelmauhkien torjuntaan seuraavilla tavoilla:

1. Vahvan tunnistuksen ratkaisut käyttäjätunnusten suojaamiseen
2. Käyttövaltuuksien käytönvalvonnan ratkaisut (Privileged Access Management, PAM)
3. Tiedonsalausratkaisut ja salausavainten hallintaratkaisut turvalliseen varmuuskopiointiin ja
luottamuksellisten tietojen suojaamiseen
4. Neuvonta- ja konsultointipalvelut parhaiden käytäntöjen toteuttamiseen