IPS suojaa verkon hyökkäyksiltä
Stonesoftin Jukka Sieppi uskoo, että IPS nousee hypen ohi.
5.12.2003 10:27 Verkkohyökkäysten havaitsemiseen ja estämiseen tarkoitetut järjestelmät ovat kehittyneet viime vuosina melkoisesti. IDS:stä ollaan siirtymässä toisen sukupolven IPS-järjestelmiin ja samalla yhä automaattisempaan verkkoturvaan. Onko yhden kirjaimen muutos vain hypeä vai vähentääkö se vääriä hälytyksiä, joista IDS on saanut moitteita?
Tunkeutumisen estojärjestelmän nimilyhenne IPS tulee englannin kielen sanoista intrusion prevention system. IPS tuntuu olevan vielä varsin monitahoinen käsite, ainakin kun katsotaan sitä, miten erilaisissa merkityksissä nimitystä käytetään. Tunkeutumisen esto voidaan käsittää laajaksi kokonaisuudeksi, tietoturvan osa-alueeksi, joka koostuu kaikesta siitä, mikä vaikeuttaa tietomurtojen toteuttamista.
Ehkä yleisimmässä merkityksessään tunkeutumisen estojärjestelmällä kuitenkin tarkoitetaan tavallaan edelleenkehitettyä versiota tutummasta IDS:stä (intrusion detection system). Yksinkertaistaen voidaan sanoa, että siinä, missä IDS varoittaa tunkeutumisyrityksestä, IPS menee pitemmälle, sillä se myös estää hyökkääjää pääsemästä eteenpäin, tai että IDS on seurantaa, IPS aktiivista tunkeutumiseen puuttumista. Kyseessä on siis tietomurtojen ehkäisyyn tarkoitettu työkalu, joka tunnistaa alkavan hyökkäyksen ja estää sen onnistumisen.
- Ero on lähinnä kielellinen. Koko terminologinen sekasotku on suurimmaksi osaksi markkinonitihypeä, joka luo väärää mielikuvaa siitä, että kaiken pystyisi torjumaan. Jokainen IPS on itse asiassa IDS-laite, tietoturvapäällikön työkalu, joka antaa kuvan siitä, mitä verkossa todella tapahtuu. Havainnointipuoleen IPS ei tuo periaatteessa mitään uutta lisää, sanoo Stonesoftin tuotehallintopäällikkö Jukka Sieppi.
Hyökkäykset on havaittava
Samalla kun tietoturvayhtiöt ajavat tiukasti keskitettyä tietoturvaa, ne rummuttavat järjestelmiä, jotka pystyvät suoriutumaan monen erillisen turvapalvelun tehtävistä. Ajatuksena on, että verkkoturvan kokoaminen yhteen järjestelmään helpottaa ylläpitotehtäviä, ja se taas pienentää kuluja. Kun hallinta tapahtuu keskitetysti, järjestelmän ylläpito on vaivattomampaa kuin hajautetussa järjestelmässä. Etuna on muun muassa se, että tarvittavat verkko-objektit voidaan määritellä koko järjestelmään kerralla sen sijaan, että työ pitäisi tehdä jokaiselle erikseen. Eri järjestelmien tuottama informaatio on myös hallittavissa yhdestä paikasta, jolloin sen läpikäyminen helpottuu.
Sen sijaan yhteen kohtaan sijoitettu tietoturvajärjestelmä on riskialtis. Yhden sisääntuloreitin tukkiminen verkon laidalla ei vielä poista mahdollisuutta hyökätä järjestelmään langattomien lähiverkkojen, levykkeiden ja muiden tallennnusvälineiden, kannettavien tietokoneiden ja mobiililaitteiden tai erillisten sisäänsoittolinjojen ja modeemipankkien kautta. Hyökkäys voi yllättää myös sisäpiiriläisen tekemänä, esimerkiksi salattuna liikenteenä.
Lokitietoja tutkivalle se, onko kyse hyökkäyksestä vai jostakin muusta, riippuu tapahtuman kontekstista eli siitä, missä ympäristössä ja tilanteessa jotakin tapahtuu verkossa. Kontekstiherkkyys on tärkeää IPS:n tehokkaan toiminnan kannalta. Jos esimerkiksi tiedetään, että jokin tietty hyökkäys esiintyy sähköpostiprotokollan tietyssä osassa, tuo osa on se konteksti, josta tunkeilijaa etsitään. Kyseisen hyökkäyksen merkkejä on esimerkkitapauksessa siis turhaa etsiä vaikkapa sähköpostiviestin body-osasta tai jostakin toisesta protokollasta.
Väärät hälytykset kiusana
Verkon tapahtumia tutkitaan korrelaatioiden varalta. Jokin tapahtuma voi vaatia yhden tai useamman muun samanaikaisen ja tietynlaisen tapahtuman, jotta voidaan todeta, että kyseessä on todellakin hyökkäys. Perinteisesti tapahtumien korrelointityö on ollut täysin manuaalista. Ongelmana on ollut se, että havaintoja on kertynyt liikaa. Väärät havainnot vaikuttavat siihen, miten hyvin hyökkäyksiä voidaan aktiivisesti torjua. Lokitapahtumia on tullut sellaisia määriä, joita ei ole mahdollista ihmisvoimin käydä läpi niin, etteikö vahingossa voisi tulla poistaneeksi oikeaa hälytystä.
- False positive -ongelma on yksi perusongelmista, joita lähdimme ratkomaan kun IPS-tuotekehityksemme kolme vuotta sitten. Kävimme läpi markkinoilla tuolloin olleita tuotteita ja totesimme, että väärien hälytysten ongelman ratkaiseminen olisi yksi pääasioista tulevassa tuotteessa.
Jotakin väärien hälytysten ongelman laajuudesta kertoo Siepin esimerkkitapaus, amerikkalainen finanssialan yhtiö, joka kertoi saavansa IDS-järjestelmältään 1,8 miljoonaa hälytystä kuukaudessa.
- Kolmen kaverin tehtävänä oli manuaalisesti käydä läpi hälytykset. Käytännössä se tarkoittaa, että joka päivä ruudulla on 30 000 hälytystä, joista jokainen täytyy käydä läpi. Jos tekisi kymmentuntisen työpäivän ilman taukoja, se tarkoittaisi 3000:a hälytystä tunnissa. Tämä on tietysti äärimmäinen tapaus. Perinteisessä ympäristössä IDS on tuottanut ehkä tuhatkunta hälytystä päivässä, mutta sekin on liikaa, Sieppi puuskahtaa.
Syvätunnistavasta palomuuristako apu?
Havainnointitarkkuuden parantamiseen ei ole yhtä patenttiratkaisua. Joitakin vuosia sitten tunkeutumisen havaitsemisjärjestelmät perustuivat joko sormenjälki- tai protokollapohjaiseen tunnistukseen. Tätä nykyä järjestelmissä käytetään useita eri havaitsemismenetelmiä, mikä vähentää väärien hälytysten määrää. Kaikista vääristä hälytyksistä ei päästä eroon ilman, että tietoturvan taso vaarantuu. Pyrkimyksenä on pikemminkin vähentää tapahtumien määrä sellaiselle tasolle, että se voidaan inhimillisesti ja kustannustehokkaasti hallita.
Stonesoftin tapauksessa ratkaisu on konfiguroitava sensori, joka seuraa aiempaa tarkemmin liikennevirtaa verkon jossakin osassa sekä analysaattori, joka tekee korreloinnin automaattisesti. Beetatestausvaiheessa olevan StoneGate IPS:n hyvänä puolena Sieppi mainitsee myös yhteisen hallinnan IPS:lle, palomuurille ja VPN:lle.
Markkinatutkimusyhtiö Gartner herätti aiemmin tänä vuonna keskustelua julistamalla IDS-laitteet sukupuuttoon vuoteen 2005 mennessä. Yhtiö ehdotti tehottomien, epätarkkojen ja kalliiden IDS-järjestelmien tilalle deep packet inspection -palomuureja, jotka toimisivat sovellus- ja verkkotasolla. Toisenlaisiakin ennusteita on tosin esitetty.
- Jos esimerkiksi Infoneticsin luvut pitävät lainkaan paikkansa, IPS on tietoturvan ja oikeastaan koko IT-alan nopeimmin kasvavia sektoreita. On huomattu, että perinteiset IDS-ratkaisut eivät riitä. Ensimmäisen sukupolven laitteisiin ja ratkaisuihin ei olla tyytyväisiä, Sieppi sanoo.
Havainnointitarkkuuden parantaminen tarkoittaisi käytännössä sitä, että joudutaan tekemään asia hieman monimutkaisemmin – siis käyttämään entistä enemmän laskentatehoa ja muistia, jotta havainnointi voidaan tehdä ja jotta siihen saadaan riittävä tarkkuus. Suorituskykyongelma taas oli Siepin mukaan totta puolitoista tai kaksi vuotta sitten, mutta nyt melkein kaikilla valmistajilla on gigabitin verkkoihin sensoreita, jotka selviytyvät tehtävästään kohtalaisesti. Sitä paitsi aika ja teho kuluvat korrelointityöhön ja tutkimiseen, eivät pakettien avaamiseen.
- Gartnerin palomuuriratkaisu ei todellakaan ole ideaali tietoturvamielessä. Se tavallaan myös edistää sellaista tietoturva-ajattelua, jossa kaikki tietoturva on yhdessä paikassa verkon rajalla. Gartner oli mielestäni väärässä myös kun se sanoi, että koska tähänastiset tuotteet ovat epäonnistuneet, koko ajatus on epäonnistunut. Nythän pitäisi miettiä sitä, miksi ensimmäisen sukupolven tuotteet epäonnistuivat ja kehittää niitä edelleen, Sieppi kummastelee.
Käyttö lisääntyy hitaasti
Päättäjien IDS-tietoisuus on lisääntynyt, mutta tunnistamisjärjestelmien penetraatio ei Siepin mielestä edelleenkään ole suuri. Euroopan, Lähi-idän ja Afrikan IDS-markkinat vastaavat hänen mukaansa vain noin neljännestä Yhdysvaltain markkinoista, vaikka ne talousyhteisöinä ovat suurin piirtein samankokoiset alueet. Jenkeissäkään ei kuulemma olla vielä edes lähellä sataprosenttista penetraatiota.
- Tänä syksynä on ollut hyviä julkisia esimerkkejä siitä, mitä tietomurto saattaa aiheuttaa. Mielestäni Valve Softwaren tapaus oli loistava esimerkki siitä, kuinka joku murtautuu verkkoon, etenee siellä hitaasti ja etsii lisää informaatiota päästäkseen kohteeseensa. Tällaisessa paikassa havainnointiin perustuva järjestelmä olisi varmasti tuonut lisäarvoa, Sieppi uskoo.
Isot yritykset ovat ehkä satsanneet havainnointiin, mutta pienissä ja keskisuurissa käyttöaste on vielä pieni. Pienenä se Siepin mukaan pysyykin, sillä ei voida olettaa, että 10 hengen yrityksellä olisi ammattitaitoa pyörittää IDS-järjestelmää yksin.
- Pk-yritykset ostavat tulevaisuudessa tällaiset järjestelmät palveluna, mikä uskoakseni ajaa lähivuosina voimakkaaseen kasvuun tietoturvapalvelujen liiketoimintaa. IPS varmaankin laajenee aikanaan myös kotikäyttäjille palveluntarjoajien myymien pakettien kautta. Koko managed security service -markkina kehittyy todennäköisesti samalla tavoin kuin aikoinaan isp-markkina; pienet yritykset, esimerkiksi tietoturvakonsultit, tarjoavat aluksi palveluja, kunnes isommat yritykset ostavat ne pois, Sieppi visioi.
Vaikka kuinka satsattaisiin siihen, että tietoturvasta on huolehdittu, jotakin voi tapahtua. IPS on viimeinen toivo siitä, että ehditään tehdä jotakin ennen kuin on liian myöhäistä. Tällaisen toiminnallisuuden tarve Siepin mukaan tuskin koskaan poistuu. Hän uskoo kehityksen keskittyvän entistä tarkempaan havaitsemiseen ja tehokkaampaan tapahtumien automaattiseen korrelointiin.
- Käyttäjän on pystyttävä selvittämään, mitä konepellin alta oikein löytyy ja mikä aiheutti hälytyksen. On parempi antaa järjestelmän ylläpitäjälle aikaa keskittyä oikeisiin tietoturva-asioihin, administraattorin ajanhan pitäisi mennä tietoturvan ylläpitämiseen, ei tietoturvajärjestelmän ylläpitämiseen, Sieppi sanoo.
Kun ovella kolkutellaan, on jo myöhäistä
Siepin mielestä maailma ei ole menossa yhtään parempaan suuntaan. Uudet käyttäjät eivät enää ole niitä tietotekniikan asiantuntijoita, joita netin alkuaikoina verkkoon liittyi. Internet laajenee reunoilta, kun pienet yritykset ja yksityiset henkilöt kytkeytyvät verkkoon, siis juuri ne, joiden tietoturva on kaikkein huonoimmassa jamassa.
Yrityksetkään eivät saa synninpäästöä. Suojelupoliisin esityksessä todettiin taannoin, että monessa suomalaisyrityksessä hyökkäykset tunnistetaan vasta siinä vaiheessa kun poliisi tulee takavarikoimaan palvelimet, joita on käytetty tietomurrossa.
- Jos tunkeutumisen tunnistaminen on tuolla tasolla, ehkä se tapahtuu hivenen liian myöhään, Sieppi naurahtaa.
Antti Kirves toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Suuri tietokantavarkaus johti luottokorttipetoksiin Britanniassa
27.05.2007 Cable & Wireless syyttää entistä johtajaansa tietokantavarkaudesta. Kannasta oli 100 000 asiakkaan tiedot.
Kolme vuotta sitten
Nokian Ovi joutui heti avajaispäivänä remonttiin
27.05.2009 Iso kävijäpiikki yllätti Nokian uuden sovelluskaupan. Palvelujen hidastelun vuoksi Nokia joutui lisäämään palvelinkapasiteettia.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Ainakin 2000 saa potkut RIMiltä 09:44
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- » Taloussanomat.fi
