Tietoturvaloukkausten hallinta

Transkriptio

1 Tietoturvaloukkausten hallinta..kun puolustus on kunnossa, mekin voimme nauttia kahvista Jussi Perälampi Senior Security Consultant GCIH,GREM,CISSP 12/9/13 Nixu

2 Tietoturvapoikkeamien hallinta vs. forensiikka 12/9/13 Nixu

3 Tietoturvapoikkeamien hallinta vs. forensiikka Tietoturvapoikkeamien hallinta tulipalon sammutus Tietomurtojen tutkinta / forensiikka - palosyyntutkinta Poikkeamienhallinnan aikainen forensiikka Oikein tehty poikkeamien hallinta mahdollistaa, että myöhemmin voidaan suorittaa forensiikkatutkimus 12/9/13 Nixu

4 Päätös tutkinnan laajuudesta Tietoturvapoikkeaman havaitsemisen jälkeen tulisi tehdä päätös siitä mihin tähdätään Tutkinnan keinot ja menettelytavat riippuu tutkinnan tavoitteista Monet poikkeamienhallinnan alussa tehdyistä valinnoista on sellaisia, että niitä ei voi muuttaa 12/9/13 Nixu

5 Todistusaineiston talteenotto - yleistä Talteenotto tulee tehdä aloittaen helpoiten häviävistä todistusaineistoista: 1. Muistivedos 2. (Verkkoliikenteen talteenotto) 3. Levykuva Jos mahdollista, niin muistivedos tulisi tehdä koneen ollessa verkossa 12/9/13 Nixu

6 Tietoturvapoikkeaman hallinnan vaiheet Tietoturvapoikkeamien ja loukkausten kuvaamiseen, määrittelyyn ja nimeämiseen on useita viitekehyksiä Tietoturvapoikkeamien elinkaaren osat Valmistautuminen (Preparation) Tunnistaminen (Indentification) Eristäminen (Containment) Hävittäminen (Eradication) Palautuminen (Recovery) Tapauksesta oppiminen (Lessons Learned) 12/9/13 Nixu

7 Valmistautuminen (Preparation) Parannetaan yleistä näkyvyyttä ympäristöön Tehdään palomuuri sääntöjä ja GPO:ta valmiiksi eri tilanteita silmällä pitäen. Tarvittaessa otetaan asetukset käyttöön. Erillinen viestintäjärjestelmä sekä apupalvelut Muita IR resursseja Valmistautumisvaihetta tulee toistaa tasaisin väliajoin 12/9/13 Nixu

8 Tunnistaminen (Indentification) Epäilys tai tieto tietoturvapoikkeamasta tai loukkauksesta voi tulla useasta eri lähteestä. Tilanne saattaa myös eskaloitua käynnissä olevan tutkinnan kautta. Muita jälkiä 12/9/13 Nixu

9 Poikkeaman dokumentointi Heti kun on syytä epäillä että on tapahtunut poikkeama tai loukkaus, pitää aloittaa tapauksen dokumentointi. Kirjattavia asioita on melko runsaasti, lomakepohjat auttavat Tapaukseen liittyvä tieto pitää suojata hyvin 12/9/13 Nixu

10 Älä vihjaa hyökkääjää Oletetun hyökkääjän suuntaan ei kannata olla aktiivinen Tiedustelua voidaan tehdä passiivisin työkaluin 12/9/13 Nixu

11 Eristäminen (Containment) Tietoturvapoikkeama on eristetty kun se ei voi enää aiheuttaa lisää harmeja Eristämisstrategian valitseminen Keskustelkaa lakiosastonne kanssa siitä kuinka todisteita tulee kerätä ja säilyttää 12/9/13 Nixu

12 Eristämisen teknisiä keinoja Microsoft ympäristössä GPO:t Koneiden / laitteiden eristäminen Scriptit DNS muutokset Tunnusten disablointi 12/9/13 Nixu

13 Hävittäminen (Eradication) Hankkiudutaan eroon ongelmasta Määritetään tietoturvapoikkeaman syy sekä dokumentoidaan havaitut oireet Todisteiden perusteella päätellään kuinka hyökkäys oli toteutettu Haitakkeiden persistenssi ominaisuudet saattavat aiheuttaa päänvaivaa 12/9/13 Nixu

14 Palautuminen (Recovery) Palautumisvaiheessa palautetaan ympäristö normaaliin toimintakuntoon ja monitoroidaan sitä Jos poikkeama on tapahtunut ja levinnyt isoon ympäristöön voi palautumisvaihe kestää kuukausia Varsinkin isoissa tapauksissa kannattaa ensimmäiseksi panostaa yleiseen tietoturvatason parantamiseen Jälkitarkkailu 12/10/13 Nixu

15 Tapauksesta oppiminen Poikkeamatapausten selvittämisen jälkeen tehtävä yhteenveto Tarkoituksena on tunnistaa: Mikä meni hyvin Mikä ei mennyt niin kuin piti Miten toimintaa voitaisiin parantaa Miten järjestelmiä voitaisiin parantaa Tässä kohtaan ei etsitä syyllisiä 12/9/13 Nixu

16 Forensiikka 12/9/13 Nixu

17 Tietokoneforensiikka Forensiikkaa tehdään osittain poikkeamienhallinnan osana, mutta tarkempi tutkinta tehdään yleensä akuutin tilanteen selvittyä Tietoturvapoikkeamanhallinnan aikana tehdyillä toimilla on suuri vaikutus forensiikkatutkintaan Tutkintaa auttaa paljon jos poikkeamasta on tarkka aika tiedossa 12/9/13 Nixu

18 Valmistelu ja AV Raakatiedon valmistelu Virustarkastukset useilla virustorjuntatuotteilla Monesti yksittäinen työkalu tunnistaa vain osan haittaohjelmista Myös muistivedoksesta saadut tiedostot 12/9/13 Nixu

19 Murtojälkien etsintä Perustuu ennalta tiedettyjen murtojälkien tai poikkeamien etsintään Murtojälkien tunnisteita saadaan vanhoista poikkeamatapauksista ja käynnissä olevista tutkimuksista Yksittäinen tunniste sisältää kuvauksen yhdestä tai useammasta asiasta, jotka yhdessä voivat viitata siihen, että järjestelmään on murtauduttu 12/9/13 Nixu

20 Automaattinen muistin analyysi Automaattityökaluja, jotka käyvät muistivedoksen läpi ja etsivät anomalioita Tarjoaa nopean näkymän koneen tilaan ja voi paljastaa ennalta tuntemattomia haittaohjelmia 12/9/13 Nixu

21 Aikajanat Aikajanan luominen (Super timeline) Käyttöjärjestelmän asetukset vaikuttavat siihen mitä tietoja saadaan Esimerkiksi tiedostojen edellisen käyttöajan (access time) päivitys on vakiona pois päältä Windows Vistassa, 7:ssa ja 8:ssa Syynä suorituskyvyn parantaminen Voi tehdä mahdottomaksi selvittää, mitä tiedostoja hyökkääjä käsitteli Päivityksen saa takaisin päälle komentoriviltä Lokitietojen säilytysaika on erityisen tärkeää! Lokeja tulisi säilyttää vähintään 6kk, mieluummin 1-2 vuotta. 12/9/13 Nixu

22 Tarkempi tutkinta Jäljet pysyvyydestä Pakkerit ja entropiatarkastukset Aika-anomaliat 12/9/13 Nixu

23 Haittaohjelmien analyysi Haittaohjelmien analysointi paljastaa tietoa haittaohjelman toiminnasta ja siihen liittyvistä asioista Auttaa poikkeaman selvittämisessä ja puolustuksen parantamisessa Toiminnallinen analyysi Staattinen analyysi 12/9/13 Nixu

24 Manuaalinen muistiforensiikka Muistinvaraiset hyökkäykset yleistyvät Muistiforensiikka tarkoittaa sitä, että tietokoneen muisti kopioidaan kokonaisuudessaan ja muistin kopiota tutkitaan Muistissa olevat ohjelmat ja kirjastot voidaan kirjoittaa levylle, mikä mahdollistaa niiden tarkistamisen esimerkiksi virustorjuntaohjelmalla 12/9/13 Nixu

25 NIXU tietoturvapoikkeamien hallinta ja forensiikka Nixu on tutkinut vuosien ajan erilaisia tietoturvapoikkeamia sekä forensiikkatapauksia Suomessa ja ulkomailla Aihealueeseen erikoistunut 10 hengen ydinryhmä 24/7 Incident Response palvelu Tarvittaessa saadaan kymmeniä tietoturva-asiantuntijoita apuun tietoturvapoikkeaman hallinnassa 12/9/13 Nixu

26 Kysymyksiä? 12/9/13 Nixu