Tietoturva nyt!

9.6.2010

Keinoja kohdistettujen hyökkäysten torjumiseksi

Kohdistettujen hyökkäysten torjunnassa käytetään valtaosin samoja menetelmiä kuin muidenkin hyökkäysten estämisessä. Käyttäjien oma varovaisuus kuitenkin korostuu, sillä pelkät tekniset suojakeinot eivät aina suojaa riittävästi.

Kohdistetuilla hyökkäyksillä tarkoitetaan sellaisia tietoturvallisuutta uhkaavia toimia, jotka kohdistuvat yhteen tai useampaan ennalta valittuun organisaatioon. Esimerkki kohdistetusta hyökkäyksestä voi olla haittaohjelmien levittäminen yrityksen sähköpostiosoitteisiin suunnatulla jakelulla sen sijaan, että niitä levitettäisiin mahdollisimman laajalti. Kohdistetuissa hyökkäyksissä käytetään usein sellaisia haittaohjelmien versioita, joita tietoturvaohjelmat eivät hyökkäyshetkellä tunnista. Rajatulla jakelulla pyritään myös siihen, ettei tieto uusista versioista kantautuisi riittävän nopeasti esimerkiksi virustorjuntaohjelmistojen valmistajille.

Hyökkäysten torjuminen ja niiden vaikutusten rajoittaminen

Australian puolustusministeriön Defence Signals Directorate (DSD) on julkaissut luettelon keinoista, joilla kohdistettujen hyökkäysten uhkaa voidaan pienentää ja onnistuneiden hyökkäysten vaikutuksia lieventää. Luettelossa on pyritty arvioimaan myös keinojen kustannuksia, niiden toteuttamisen vaikeutta ja muita päätöksiin vaikuttavia tekijöitä.

Tärkeimmiksi keinoiksi DSD arvioi käyttöjärjestelmän ja sovellusten säännöllisen päivittämisen ja käyttövaltuuksien rajoittamisen. Samoilla kohtuullisen yksinkertaisilla teknisillä keinoilla voidaan suojautua suurelta osalta muistakin hyökkäyksistä.

CERT-FI:n tietoon tulleiden tapausten valossa näyttää siltä, että erityisesti PDF-tiedostoihin tai Microsoft Office -dokumentteihin kätketyt haittaohjelmat ja Shockwave Flash -tiedostoina esiintyvät haitalliset sisällöt ovat usein käytettyjä hyökkäystyökaluja. Läheskään aina ei kohteena ole edes kovin tuore haavoittuvuus, vaan hyökkääjä luottaa siihen, ettei kaikkia haavoittuvia ohjelmistoja ole päivitetty tai asetuksia muuten säädetty turvallisiksi.

Apua hyökkäysten selvittämiseen

Jos epäilee joutuneensa kohdistetun hyökkäyksen uhriksi, kannattaa toimia heti. Sisäverkon tietokoneissa voi toimia tietoja vakoilevia haittaohjelmia, jolloin yrityssalaisuudetkin voivat olla vaarassa. Tietoturva-alan konsulttiyritykset tarjoavat apua tapausten selvittämisessä.

Myös CERT-FI voi avustaa alkuselvityksessä, jos on syytä epäillä tietoturvahyökkäystä. Jos näyttää siltä, että tapaukseen liittyy rikos, asia kannattaa ilmoittaa myös esitutkintaviranomaisille.

Lisätietoa

• http://www.dsd.gov.au/library/infosec/mitigations.html
• http://www.dsd.gov.au/_lib/pdf_doc/intrusion_mitigations.pdf
• CERT-FI ohje 1/2010 tietoja varastavista haittaohjelmista
• CERT-FI ohje 4/2010 tietoturvaloukkauksiin varautumisesta
• CERT-FI ohje 1/2007 Windows-haittaohjelmatartunnan tutkimisesta
• http://www.f-secure.com/weblog/archives/00001963.html

Sivua päivitetty 09.06.2010

Tulostusversio