Mrks's Blog

ITSPEA: IT-turvariskid

Selle nädala teemaks on Andmeturve ning ajaveebi artiklis pidime kirjutama ühest suuremast IT-turvariskist ning analüüsima, kuidas seda maandada.

Suurim turvarisk on minu silmis inimene. Ma ei pea siinkohal silmas inimese poolt tekitatud turvaauke läbi halvasti seadistatud tarkvara või infrastrutuuri.

Üle poole lunavara rünnakutest toimuvad läbi phishingu ehk siis kasutatakse ära inimest, kes teadmatusest “lubab” pahalase ligi turvatavatele it süsteemidele ning lunavara rünnakud on ainult osa võimalikest rünnakuliikidest. Lisaks phishingule kasutatakse sagedasti ka manipuleerimisrünnet (social engineering), et ammutada it süsteemi kasutajatelt väärtuslikku informatsiooni, mida otseselt ära kasutada või kasutada kogutud andmeid, et läbi viia järgmiseid ründeid sihtmärgi vastu.

Selliste rünnakute vastu tehnoloogia väga aidata ei saa, jah on võimalik kasutada e-kirja filtereid aga see on ainult osa probleemist. Tehnoloogia on abiks pigem reaktiivsete tegevuste jaoks nagu näiteks pärast toimunud rünnet analüüsikams kuidas pahalane keskkonnas liikus ja mida tegi. Inimeste vastu tehtavate rünnakute ära hoidmiseks või mõju vähendamiseks aitavad pigem reeglid ja koolitus. Reeglid jagunevad sisuliselt kaheks - ühed on sisekorra eeskirjades või mujal paberi peale märgitud reeglid, millest kinni pidamiseks peab inimene ise vaeva nägema ning teised, mis on organisatsiooni tasemele tehniliste vahenditega rakendatud - olgu need siis GPO-d Windoza maailmas või selinuxi reeglid, mis takistavad kasutajal mingeid operatsioone läbi viia. Igasuguste reeglite juures võiks alati silmas pidada võimalikult väheste ligipääsude printsiipi (least privilege) ehk siis kasutaja ei tohiks saada ligi asjadele, millele tal pole vajadust ligi saada.

Koolitus on kindlasti üks tähtsamain kui mitte kõige tähtsamaid osi eelnimetatud kolmest komponendist (tehnoloogia * koolitus * reeglid). Paljudes ettevõtetes on kasutusele võetud iga aastased turvakoolitused koos turvatestidega, mis aitavad ettevõttel kaardistada töötajate teadmisi ning sellele vastavalt reageerida tehes rohkem selgitustööd piirkondades, kus inimestel puuduvad piisavad teadmised turvaliselt käitumiseks. Kurb muidugi on see, et minu kogemuse järgi selliseid iga aastaseid koolitusi ei peeta vajalikuks enne, kui ettevõttes kas a) on juba midagi juhtunud b) midagi juhtunud ei ole aga ettevõte tahab vastata mõnele nõuete standardile (SOC, ISO27001, PCIDSS jne). Tegelikult peaks turvapraktikaid juurutama juba päris rohujuure tasemelt, olgu sees siis noor inimene või noor ettevõte, mõlemal juhul tuleb algusest peale hakata juurutama turvalisuse “mind-set”-i.

Lõpetuseks paneks ma siia mõned viited headele raamatutele, mis puudutavad turbeteemasid, eriti läbistustestimise valdkonda nii IT-süsteemidele kui ka organisatsioonidele suuremalt ning manipulatsiooni teemasid:

  1. Kevin Mitnick “The Art of Deception : Controlling the Human Element of Security”
  2. Kevin Mitnick “Art of Intrusion : The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers”
  3. Will Allsopp “Unauthorised Access”