Tietoturvaloukkausten hallinta..kun puolustus on kunnossa, mekin voimme nauttia kahvista Jussi Perälampi Senior Security Consultant GCIH,GREM,CISSP 12/9/13 Nixu 2012 1
Tietoturvapoikkeamien hallinta vs. forensiikka 12/9/13 Nixu 2013 2
Tietoturvapoikkeamien hallinta vs. forensiikka Tietoturvapoikkeamien hallinta tulipalon sammutus Tietomurtojen tutkinta / forensiikka - palosyyntutkinta Poikkeamienhallinnan aikainen forensiikka Oikein tehty poikkeamien hallinta mahdollistaa, että myöhemmin voidaan suorittaa forensiikkatutkimus 12/9/13 Nixu 2013 3
Päätös tutkinnan laajuudesta Tietoturvapoikkeaman havaitsemisen jälkeen tulisi tehdä päätös siitä mihin tähdätään Tutkinnan keinot ja menettelytavat riippuu tutkinnan tavoitteista Monet poikkeamienhallinnan alussa tehdyistä valinnoista on sellaisia, että niitä ei voi muuttaa 12/9/13 Nixu 2013 4
Todistusaineiston talteenotto - yleistä Talteenotto tulee tehdä aloittaen helpoiten häviävistä todistusaineistoista: 1. Muistivedos 2. (Verkkoliikenteen talteenotto) 3. Levykuva Jos mahdollista, niin muistivedos tulisi tehdä koneen ollessa verkossa 12/9/13 Nixu 2013 5
Tietoturvapoikkeaman hallinnan vaiheet Tietoturvapoikkeamien ja loukkausten kuvaamiseen, määrittelyyn ja nimeämiseen on useita viitekehyksiä Tietoturvapoikkeamien elinkaaren osat Valmistautuminen (Preparation) Tunnistaminen (Indentification) Eristäminen (Containment) Hävittäminen (Eradication) Palautuminen (Recovery) Tapauksesta oppiminen (Lessons Learned) 12/9/13 Nixu 2012 6
Valmistautuminen (Preparation) Parannetaan yleistä näkyvyyttä ympäristöön Tehdään palomuuri sääntöjä ja GPO:ta valmiiksi eri tilanteita silmällä pitäen. Tarvittaessa otetaan asetukset käyttöön. Erillinen viestintäjärjestelmä sekä apupalvelut Muita IR resursseja Valmistautumisvaihetta tulee toistaa tasaisin väliajoin 12/9/13 Nixu 2012 7
Tunnistaminen (Indentification) Epäilys tai tieto tietoturvapoikkeamasta tai loukkauksesta voi tulla useasta eri lähteestä. Tilanne saattaa myös eskaloitua käynnissä olevan tutkinnan kautta. Muita jälkiä 12/9/13 Nixu 2012 8
Poikkeaman dokumentointi Heti kun on syytä epäillä että on tapahtunut poikkeama tai loukkaus, pitää aloittaa tapauksen dokumentointi. Kirjattavia asioita on melko runsaasti, lomakepohjat auttavat Tapaukseen liittyvä tieto pitää suojata hyvin 12/9/13 Nixu 2012 9
Älä vihjaa hyökkääjää Oletetun hyökkääjän suuntaan ei kannata olla aktiivinen Tiedustelua voidaan tehdä passiivisin työkaluin 12/9/13 Nixu 2012 10
Eristäminen (Containment) Tietoturvapoikkeama on eristetty kun se ei voi enää aiheuttaa lisää harmeja Eristämisstrategian valitseminen Keskustelkaa lakiosastonne kanssa siitä kuinka todisteita tulee kerätä ja säilyttää 12/9/13 Nixu 2012 11
Eristämisen teknisiä keinoja Microsoft ympäristössä GPO:t Koneiden / laitteiden eristäminen Scriptit DNS muutokset Tunnusten disablointi 12/9/13 Nixu 2012 12
Hävittäminen (Eradication) Hankkiudutaan eroon ongelmasta Määritetään tietoturvapoikkeaman syy sekä dokumentoidaan havaitut oireet Todisteiden perusteella päätellään kuinka hyökkäys oli toteutettu Haitakkeiden persistenssi ominaisuudet saattavat aiheuttaa päänvaivaa 12/9/13 Nixu 2012 13
Palautuminen (Recovery) Palautumisvaiheessa palautetaan ympäristö normaaliin toimintakuntoon ja monitoroidaan sitä Jos poikkeama on tapahtunut ja levinnyt isoon ympäristöön voi palautumisvaihe kestää kuukausia Varsinkin isoissa tapauksissa kannattaa ensimmäiseksi panostaa yleiseen tietoturvatason parantamiseen Jälkitarkkailu 12/10/13 Nixu 2012 14
Tapauksesta oppiminen Poikkeamatapausten selvittämisen jälkeen tehtävä yhteenveto Tarkoituksena on tunnistaa: Mikä meni hyvin Mikä ei mennyt niin kuin piti Miten toimintaa voitaisiin parantaa Miten järjestelmiä voitaisiin parantaa Tässä kohtaan ei etsitä syyllisiä 12/9/13 Nixu 2013 15
Forensiikka 12/9/13 Nixu 2013 16
Tietokoneforensiikka Forensiikkaa tehdään osittain poikkeamienhallinnan osana, mutta tarkempi tutkinta tehdään yleensä akuutin tilanteen selvittyä Tietoturvapoikkeamanhallinnan aikana tehdyillä toimilla on suuri vaikutus forensiikkatutkintaan Tutkintaa auttaa paljon jos poikkeamasta on tarkka aika tiedossa 12/9/13 Nixu 2013 17
Valmistelu ja AV Raakatiedon valmistelu Virustarkastukset useilla virustorjuntatuotteilla Monesti yksittäinen työkalu tunnistaa vain osan haittaohjelmista Myös muistivedoksesta saadut tiedostot 12/9/13 Nixu 2013 18
Murtojälkien etsintä Perustuu ennalta tiedettyjen murtojälkien tai poikkeamien etsintään Murtojälkien tunnisteita saadaan vanhoista poikkeamatapauksista ja käynnissä olevista tutkimuksista Yksittäinen tunniste sisältää kuvauksen yhdestä tai useammasta asiasta, jotka yhdessä voivat viitata siihen, että järjestelmään on murtauduttu 12/9/13 Nixu 2013 19
Automaattinen muistin analyysi Automaattityökaluja, jotka käyvät muistivedoksen läpi ja etsivät anomalioita Tarjoaa nopean näkymän koneen tilaan ja voi paljastaa ennalta tuntemattomia haittaohjelmia 12/9/13 Nixu 2013 20
Aikajanat Aikajanan luominen (Super timeline) Käyttöjärjestelmän asetukset vaikuttavat siihen mitä tietoja saadaan Esimerkiksi tiedostojen edellisen käyttöajan (access time) päivitys on vakiona pois päältä Windows Vistassa, 7:ssa ja 8:ssa Syynä suorituskyvyn parantaminen Voi tehdä mahdottomaksi selvittää, mitä tiedostoja hyökkääjä käsitteli Päivityksen saa takaisin päälle komentoriviltä Lokitietojen säilytysaika on erityisen tärkeää! Lokeja tulisi säilyttää vähintään 6kk, mieluummin 1-2 vuotta. 12/9/13 Nixu 2013 21
Tarkempi tutkinta Jäljet pysyvyydestä Pakkerit ja entropiatarkastukset Aika-anomaliat 12/9/13 Nixu 2013 22
Haittaohjelmien analyysi Haittaohjelmien analysointi paljastaa tietoa haittaohjelman toiminnasta ja siihen liittyvistä asioista Auttaa poikkeaman selvittämisessä ja puolustuksen parantamisessa Toiminnallinen analyysi Staattinen analyysi 12/9/13 Nixu 2013 23
Manuaalinen muistiforensiikka Muistinvaraiset hyökkäykset yleistyvät Muistiforensiikka tarkoittaa sitä, että tietokoneen muisti kopioidaan kokonaisuudessaan ja muistin kopiota tutkitaan Muistissa olevat ohjelmat ja kirjastot voidaan kirjoittaa levylle, mikä mahdollistaa niiden tarkistamisen esimerkiksi virustorjuntaohjelmalla 12/9/13 Nixu 2013 24
NIXU tietoturvapoikkeamien hallinta ja forensiikka Nixu on tutkinut vuosien ajan erilaisia tietoturvapoikkeamia sekä forensiikkatapauksia Suomessa ja ulkomailla Aihealueeseen erikoistunut 10 hengen ydinryhmä 24/7 Incident Response palvelu Tarvittaessa saadaan kymmeniä tietoturva-asiantuntijoita apuun tietoturvapoikkeaman hallinnassa 12/9/13 Nixu 2012 25
Kysymyksiä? 12/9/13 Nixu 2012 26