Miksi kyberturvallisuus on tärkeää? Ajankohtaiset uhat ja niiltä suojautuminen Mikko Viitaila

Transkriptio

1 Miksi kyberturvallisuus on tärkeää? Ajankohtaiset uhat ja niiltä suojautuminen Mikko Viitaila

2 Mikko Viitaila

3 Arkemme on muuttunut peruuttamattomasti Mikko Viitaila

4 Mikä on kyberuhka? Motivaatio Menetelmät Uhka? Mitä hyökkääjä haluaa? Huomiota Rahaa Tietoja / Poliittista etua Resursseja Sabotaasia Miten se saavutetaan? Palvelunesto APT Haittaohjelma Identiteettivarkaus Pääsy sisäverkkoon Hyökkäysmenetelmät, kuten exploit kit, haitalliset sähköpostit, jne... Kyberturvallisuuskeskus tarjoaa apua Neuvontaa tietoturvatapausten käsittelyssä Tilannekuvaa HAVARO (ja muu havainnointi) Yhteistyöverkostot Haavoittuvuuskoordinointi Järjestelmäturvallisuus Mikko Viitaila

5 Yleisimmät tunkeutumiskeinot 1. "Watering hole" tai "Myrkytetty keidas"» Haittaohjelmia jakelevat www-palvelimet» Sivusto liittyy työntekoon tai muuten luotettavan oloinen 2. Sähköpostissa liite tai latauslinkin haittaohjelmalle» Tyypillisiä Microsoft Office -dokumentit / PDF-tiedostot» Tiedostot nimettynä esimerkiksi tiedosto.pdf.exe 3. Klassinen keino: tiputtaa muistitikku parkkipaikalle» Voi huvittaa keinona mutta ihmisen uteliaisuus vie voiton 4. Myyrät ja muu HUMINT..?» Työverkostot, tapahtumat, jne päivähaavoittuvuuksia vain todelliseen tarpeeseen» Kohdeorganisaation päivityskäytännöt tiedossa» Vanhat konsti voi olla parempi kuin muistitikullinen uusia Mikko Viitaila

6 3 ajankohtaista uhkaa...ja niiltä suojautumiskeinoja Mikko Viitaila

7 Palvelunestohyökkäykset Mikko Viitaila

8 "Teinitkin saavat valtion polvilleen" Palvelunestohyökkäyksiä valtionhallintoa vastaan» Kohteena mm. pääministerin päätiedotuskanava (vn.fi)» Yhdeksän eri hyökkäystä virastojen ja ministeriöiden julkisille verkkosivuille 1,5 kk aikavälillä» Poliisi ottanut epäillyt kiinni Mikko Viitaila

9 Miten palvelunestohyökkäykseltä voidaan suojautua? Pakettipesuripalvelut, joita voi ostaa operaattoreilta Toteuta verkkosi ja palvelusi niin, että ulkoisten palveluidesi ongelmat eivät estä sisäisten palveluidesi käyttöä. Palveluiden suunnitteleminen siten, ettei niitä voida kuormittaa jatkuvilla kyselyillä» Ei isoja tiedostoja» Minimoi dynaaminen sisältö» Kuormantasaajien ja edustapalvelinten käyttö Infrastruktuurin hajauttaminen pilveen, jos mahdollista (esim. Cloudflare, Akamai, AWS, Microsoft Azure,...) Väistösivujen käyttöönotto tarvittaessa Mikko Viitaila

10 Haittaohjelmat aiheuttavat hengenvaaraa Tunnettuja tapauksia sairaaloissa Saksassa, USA:ssa, Israelissa...» Röntgenlaite jäi kiristyshaittaohjelman panttivangiksi» Verkon koneet jouduttiin sammuttamaan, "sisäinen hälytystila", $ lunnaita maksettu, jne. Sairaaloissa kiristyshaittatapaukset lisääntyneet myös Suomessa» Sairaalat ottavat varhain käyttöön uutta tekniikkaa, jonka verkkoturvallisuutta ei ole ehditty varmistaa altis hyökkäyksille Mikko Viitaila

11 Tilanne Suomessa syyskuussa 2016 Tällä hetkellä levityksessä erityisesti Locky» Leviää sähköpostitse Pinnan alla jatkuvasti uusia tulokkaita» AutoLocky, HydraCrypt, UmbreCrypt CryptoLocker... CRYPTO WALL 2 CRYPTO WALL 3 TESLA CRYPT 2 TESLA CRYPT 3 REVETON CRYPTO LOCKER CRYPTO WALL TESLA CRYPT LOCKY ZEPTO Mikko Viitaila

12 Kiristyshaittaohjelmien Estäminen / Varautuminen Perustus kuntoon» Ohjelmistojen päivitykset» Virustorjunta» Oikein mitoitetut käyttöoikeudet Varmuuskopiot» Suunnitelmat ja säännöllisyys» Palautuskyky ja sen harjoittelu» Suojaa varmuuskopiot erityisen hyvin! Pysy kartalla / kouluta työntekijät» Mitä levitetään ja millä tavoin» Ei klikata niitä liitteitä Sähköpostin suodatus (esim. tietyt liitteet) Selainliitännäiset (adblock, scriptblock -> EK ei laukea) Verkkolevyjen kirjoitustapahtumien monitorointi / hälyttäminen Microsoft-ympäristöissä» Makrojen digitaalinen allekirjoittaminen» Group policyt» AppLocker» Device Guard» Tiettyjen tiedostopäätteiden kirjoittamisen / luomisen estäminen tiedostopalvelimilla (.locky,.xxx,.vvv) Mikko Viitaila

13 Tietojen kalastelu Mikko Viitaila

14 Tietojen kalastelulta suojautuminen Henkilöstön koulutus ja tiedottaminen! Mm. laskutus- ja hyväksyntäprosessien laatu Tunnettujen "huijaus-domainien" estäminen (typosquatting)» Esim. Väärennetty lähettäjänosoite» 1-suuntainen tiedonvaihto Muita keinoja? Mikko Viitaila

15 Mikko Viitaila

16 Tilannekuva lukuina 2016 (syyskuu)

17 Ajankohtaiset Equation Group -paljastukset» Shadow Brokers -niminen ryhmä julkaisi tietoverkkolaitteita vastaan tarkoitettuja hyökkäystyökaluja.» Työkalujen väitetään olevan peräisin Equation Group -nimiseltä ryhmältä, jonka sanotaan olevan kytköksissä Yhdysvaltain NSA:han.» Vaikka tietojen alkuperästä ei ole varmuutta, paljastus antaa arvokkaan näkymän kohdistetuissa hyökkäyksissä käytettäviin menetelmiin. Internetissä levitettävät huijaukset muuttuvat taidokkaammiksi ja röyhkeämmiksi.» Rikollisten tähtäimessä käyttäjätunnukset, raha ja henkilötiedot.» Huijauksia ja tilausansoja levitetään sähköpostin lisäksi tekstiviesteillä, somekanavilla ja verkkomainoksilla. Viestintäverkkojen häiriöt Rauli-myrskyssä jäivät vähäisiksi» Kesämyrskyn vaikutukset sähköverkkoon merkittäviä: liittymää ilman sähköä» Matkaviestinverkossa katkoksia 2850 tukiasemassa» Viat korjattiin pääosin 36 tunnissa, kaikki viat 4 vrk kuluessa Mikko Viitaila

18 Viestintäverkkojen toimivuus Vuosi 2015 A-luokka: 14 kpl B-luokka: 33 kpl C-luokka: 107 kpl Kaikki häiriöt: kpl Vuosi 2016 (tammi elokuu) A-luokka: 10 kpl B-luokka: 19 kpl C-luokka: 77 kpl Kaikki häiriöt: kpl (tammi kesäkuu) Vakavimpia A-luokan toimivuushäiriöitä on alkuvuonna 2016 ollut tavallista enemmän. C-luokan häiriöitä elokuussa enemmän kuin aiemmin tänä vuonna. Mikko Viitaila

19 Viestintäverkkojen toimivuus Satojatuhansia käyttäjiä (A) Kymmeniätuhansia käyttäjiä (B) Tuhansia käyttäjiä (C) Tässä tilastossa on esitetty ainoastaan A-, B- ja C-vakavuusluokan toimivuushäiriöt. Niitä on vuosittain Pienempiä toimivuushäiriöitä teleyritykset korjaavat satoja päivittäin. Kaikkien häiriötilanteiden määrä on kappaletta vuodessa. Mikko Viitaila

20 Teleyritysten tietoturvailmoitukset Vuosi 2015 Ilmoituksia yhteensä: 26 kpl Tietomurto: 5 kpl Palvelunestohyökkäys: 5 kpl Haavoittuvuus tai uhka: 4 kpl Henkilötietojen loukkaus: 11 kpl Asiakastietojen hallinnan virhe: 8 kpl Muu ilmoitus: 9 kpl Vuosi 2016 (tammi elokuu) Ilmoituksia yhteensä: 11 kpl Tietomurto: 6 kpl Palvelunestohyökkäys: 2 kpl Haavoittuvuus tai uhka: 1 kpl Henkilötietojen loukkaus: 2 kpl Asiakastietojen hallinnan virhe: 2 kpl Muu ilmoitus: 1 kpl Tietoturvailmoitusten määrä oli vuonna 2015 normaalitasolla. Vuoden 2016 alussa tavanomaista vähemmän ilmoituksia. Kukin ilmoitus voi kuulua useaan luokkaan. Mikko Viitaila

21 Teleyritysten tietoturvailmoitukset Vuosi 2015 Vuosi % 12 % 12 % 13 % 7 % 40 % Tietomurto Palvelunestohyökkäys Haavoittuvuus tai uhka 19 % 10 % 20 % Henkilötietojen tietoturvaloukkaus Asiakastietojen hallinnan virhe Muu ilmoitus 26 % 7 % 13 % Tietomurtoja on raportoitu vuonna 2016 tavanomaista enemmän. Muuntyyppisiä tietoturvaloukkauksia tavanomaista vähemmän. Mikko Viitaila

22 Teleyritysten tietoturvailmoitukset Mikko Viitaila

23 Tietoturvapoikkeamat suomalaisissa verkoissa 2015 Havainnot kpl Tanska 1,30 % Alankomaat 1,53 % Puola Saksa 1,01 % 1,89 % Norja Ruotsi 1,25 % 1,35 % Suomi 0,83 % Viro 1,73 % Liettua 2,56 % Latvia 1,78 % 2016/1 8 Havainnot kpl Valko-Venäjä 1,01 % Venäjä 1,41 % Havaintojen määrä on keskimäärin vuoden 2015 tasolla. Suomi erottuu edelleen edukseen. Mikko Viitaila

24 Havainnointi- ja varoitusjärjestelmän (HAVARO) havainnot Vuosi 2015 Vuosi 2016 (tammi elokuu) Vakavuus Lukumäärä Punainen Keltainen Vihreä Yhteensä Vakavuus Lukumäärä Punainen 452 Keltainen Vihreä Yhteensä Järjestelmän avulla on havaittu useita tietoturvaloukkauksia, joita organisaatioiden muut kontrollit eivät olisi huomanneet. Parantunut näkyvyys on auttanut organisaatioita kohentamaan tietoturvallisuutta ja vähentämään punaisia havaintoja. Mikko Viitaila

25 Merkittävät tietoturvailmiöt Varoitukset Ilmiöt keltainen varoitus: Huijauskampanja hyödyntää lomakautta älä maksa valheellisia laskuja! keltainen varoitus: Useita tietojenkalastelukampanjoita käynnissä keltainen varoitus: Kiristyshaittaohjelma TeslaCrypt on tarttunut useisiin tietokoneisiin Verkossa huijataan rahaa yrityksiltä ja kansalaisilta tekaistuin laskuin ja arpajaisvoitoin. Huijauksissa käytetään tunnettujen yritysten ja tuotteiden nimiä tai uskottavan tuntuista rekisteröityä verkkotunnusta, joka muistuttaa oikeaa nimeä. Palvelunestohyökkäyksiä käytetään kiristämiseen tai julkisuuden hakemiseen. Pankkitunnusten kalastelu on jatkunut koko kevään ja kesän eri muodoissa: Nordea, Danske, Aktia, S-pankki, OP... Teemakuukaudet Elokuu: Salaus Syyskuu: Kohdistetut haittaohjelmahyökkäykset Lokakuu: Euroopan kyberturvallisuuskuukausi Mikko Viitaila

26 Muutokset vuoteen

27 Muutostrendejä vuoteen 2012 nähden Muutostrendejä Kyberrikollisuuteen "businesmäisyys" kasvanut» Exploit kit as a service» DDoS as a service» Kiristyshaittaohjelmat» SWIFT-murto» Haavoittuvuuksien myynti, esim. iphone-haavan arvo on n. 1 M Haittaohjelmien levitysalustat (exploit kitit) ovat yleistyneet haittaohjelmien jakelukanavana Kohdistettuja hyökkäyksiä havaitaan aiempaa enemmän» Suomessa nykyään useita kymmeniä tapauksia vuodessa, aiemmin vain muutama Ei huomattavaa muutosta Tietojenkalastelu toimii edelleen Suomeen kohdistetaan edelleen vähän (viimeaikoina ei ollenkaan) pankkihaittaohjelmia Iso osa haittaohjelmatartunnoista tulee edelleen sähköpostin haitallisen liitetiedoston tai linkkien kautta» Office-liitetiedostot ja etenkin makrot ovat edelleen suuri riski Isoja haavoittuvuuksia noin kerran vuodessa, mutta Conficker-haavan kaltaista "wormable" haavaa ei kuitenkaan ole hyödynnetty Mikko Viitaila

28 Lisämateriaaleja Mikko Viitaila

29 Määritelmiä MOTIIVIT Huomio: kokeile omia taitojaan tai tuo esiin omaa asiaa (haktivismi). Raha: puhtaasti rahallinen motivaatio. Tieto: poliittisen päätöksenteon tueksi, liikesalaisuuksien selvittämiseksi, myyntiin rahaa vastaan tai jonkin toisen rikoksen suunnitteluun. Resurssi tai väliresurssi: käyttää yrityksen resursseja muiden tietoverkkorikosten tekemiseen. Sabotaasi: yhteiskunnan kriittisten toimintojen lamauttaminen. MENETELMÄT Käyttäjän manipulointi: saa käyttäjän paljastamaan tai antamaan pääsy salattuihin tietoihin. Palvelunesto: asiakkaat eivät pääse käyttämään yrityksen tarjoamia palveluita, esim. verkkosivua tai pankkipalveluita. APT: pitkäkestoinen ja kohdistettu hyökkäys, yleensä valtiollisen toimijan tekemä tai tukema. Haittaohjelmat: Esim. kiristys-, pankki- ja vakoiluhaittaohjelmat on luotu tiettyä tarkoitusta vastaan. Pitää jotenkin tartuttaa uhrikoneeseen. Identiteettivarkaus: Identiteetin, esim AD-tunnusten tai pankkitunnusten, anastaminen ja käyttö. Mikko Viitaila

30 Kyberturvallisuuskeskuksen tiedossa olevia tunkeutumismenetelmiä (hyökkäysvektoreita) Haitallisen liitetiedoston sisältävät sähköpostit: yleisin tapa levittää haittaohjelma. Tietojenkalastelu: valheellisella tahona esiintymällä pyritään saamaan luottamuksellista tietoa. Kohdistettu tietojenkalastelu: vastaava kun tietojenkalastelu, mutta suunnattu vain tietyille vastaanottajille. Exploit kit: Selaimen tai sen liitännäisten haavoittuvuuksia hyödyntävä verkkosivulla toimiva haitallinen ohjelmisto, joka tartuttaa verkkosivulla vierailevaan tietokoneeseen jonkin haittaohjelman. Lateraalileviäminen: Hyökkääjä levittäytyy sisäverkossa muihin koneisiin, sekä pyrkii hankkimaan admin-tunnukset. Alkutartunnan jälkeinen vaihe. Ohjelmistohaavoittuvuudet: Ohjelmistohaavoittuvuuksien hyödyntäminen on tyypillinen keino tartuttaa haittaohjelma tai esimerkiksi kasvattaa käyttöoikeuksia uhritietokoneessa. Remote code execution sekä priviledge escalation ovat molemmat pahoja. Myös SQL-injektiot kuuluvat tähän. Huijauslaskut: Esimerkiksi toimitusjohtajan nimissä lähetettävä vale-lasku. Watering hole sivustot: uhri houkutellaan viattomalta näyttävälle verkkosivulle, jossa uhrin tietokoneeseen tartutetaan haittaohjelma selaimen haavoittuvuuden avulla. Water carrier menetelmä: Esimerkiksi laitteen firmware- tai muuta ohjelmistopäivitystä on peukaloitu sisältämään haittaohjelma. Reitittimien haittaohjelmat: yrityksen reunareitittimen haltuunotto ja sen käyttö jalansijana, lateraalileviämisessä ja tietoliikenteen salakuuntelussa. Hybridiuhkat: Eri menetelmien yhdistely, esimerkiksi sähköverkon sabotaasin yhteydessä tehtävä palvelunestohyökkäys ja tietojen tuhoaminen. Pääsy sisäverkkoon: Huomaamaton pääsy yrityksen sisäverkkoon esim. alihakkijoiden tai työntekijöiden käyttöön tarkoitetun VPN-yhteyden avulla BGP-hijacking: Teleyritysten välisen reitityksen peukaloinnin avulla tehtävä IP-osoitteiden haltuunotto ja väärinkäyttö. USB- ja muiden medioiden käyttö: Siirrettävien medioiden avulla voidaan päästä verkosta eristettyihin järjestelmiin kiinni. Esimerkiksi BadUSB-haavoittuvuus ei edellytä autorunia toimiakseen. Mikko Viitaila

31