Lue uutinen mobiilisivustolla

Hyökkäyksenestoa ei voi kokonaan automatisoida

– Tekniikka ei voi täysin automaattisesti päättää, mikä verkkoliikenne katkaistaan, johtaja Jukka Sieppi Stonesoftista sanoo.

10.2.2005 14:52 Haitallisen verkkoliikenteen tarkkailusta ollaan siirtymässä haittaliikenteen estämiseen. Siihen tarkoitetut ratkaisut eivät kuitenkaan tee muita tietoturvatuotteita tarpeettomiksi eivätkä ole sataprosenttisen automaattisia.

Tietojen kerääminen haitallisesta verkkoliikenteestä tunkeutumisen havainnoinnilla eli ids-järjestelmillä (intrusion detection system) ei enää riitä yrityksille ja julkishallinnon organisaatioille. Nyt haittaliikennettä, kuten matoja, viruksia ja troijalaisia, haluttaisiin estää mahdollisimman automaattisesti tunkeutumisen estojärjestelmillä eli ips:llä (intrusion prevention system).

Ratkaisutoimittajat eivät kuitenkaan lupaa täysin automatisoitua tunkeutumisenestoa. Ips-tuotteiden toiminta perustuu kuhunkin tapaukseen määriteltyihin sääntöihin. Perustyön tekee tietoa keräävä ids. Sen avulla liikennettä voidaan luokitella harmittomaan, haitalliseen ja vaaralliseen.

Vaara on, että automatisoitu järjestelmä tulkitsee haitalliseksi aivan haitatonta liikennettä ja estää tämän. Jos verkkoliiketoiminta on yrityksen ydintoimintaa, kategorisella estolla voidaan aiheuttaa huomattavaa haittaa, tietoliikenneasiantuntija Sami Iivarinen Ciscosta sanoo.

– Verkkoliikenteen estoratkaisun hankkineet eivät käytäkään sitä aina estämiseen vaan lähinnä verkkoliikenteen seurantaan, ids:nä, hän lisää.

Automaattinen torjunta ei jousta

Tutkimusyhtiö Gartnerin pari vuotta sitten nostattama kohu siitä, onko ips korvaamassa ids:n, on oikeastaan turha, sillä kaikki ips-ratkaisut edellyttävät ids:ää ja sisältävät sen. Tunkeutumisen havainnointi on siis tunkeutumisen estämisen välttämätön esivaihe: ensin on tarkkailtava liikennettä, ja vasta sitten voidaan päättää, mitä kannattaa estää.

Tämä aiheuttaa sen, ettei estotyötä voi automatisoida. Ihmisälyä tarvitaan päättämään, mikä liikenne on estettävä.

Stonesoftin tutkimusjohtaja Tobias Christen ei haluakaan, että laitteiden kohdalla puhutaan älystä.

– Tarvitaan nimenomaan ihminen päättämään, miten missäkin tapauksessa lopulta reagoidaan. Teknologian tehtävä on keskittää huomio oikeisiin asioihin, hän sanoo.

Christen ja tuotejohtaja Jukka Sieppi sanovat, että tässä piilee ristiriita: yritykset, varsinkin pienet ja keskisuuret, haluaisivat mahdollisimman automaattisia ratkaisuja, mutta se ei ole mahdollista.

– Automaattinen torjunta ei ole joustavaa. Haittaliikenteen torjuntahan on kilpajuoksua sitä aiheuttavien kanssa. Päätäntälogiikkaa voi automatisoida tiettyyn rajaan asti mutta ei täysin, Sieppi huomauttaa.

Hiljainen kiinnostus

Ernst&Youngin vuonna 2004 tekemä tutkimus osoittaa, että maailmalla tunkeutumista tutkitaan Suomea ahkerammin. Nyt Suomessakin on herätty, mutta julkisesti yritykset ja organisaatiot eivät halua tästä työstään kertoa. Metsäteollisuus ja raskas teollisuus yleensä, terveydenhoitoala, pankit sekä rahoitus- ja vakuutusala ovat jo ottaneet tunkeutumisen eston eli ips-ratkaisuja käyttöön.

Tunkeutumisia voidaan tutkia ja estää useassa eri kohdassa verkkoa ja eri tavoilla. Ips voidaan integroida esimerkiksi Ciscon tuotteissa palomuuriin tai reitittimeen. Stonesoft toimittaa palomuurin ja ips:n erillisinä.

– Pk-yritykset haluavat integroituja, isot yritykset eriytettyjä ratkaisuja, Iivarinen kuvaa.

Pk-yritysten toiveissa olisi saada tietoturvaongelmista mahdollisimman moni ratkaistua yhdellä laitteella tai sovelluksella ja helpottaa näin hallinnointityötä, kun taas isot organisaatiot pelkäävät keskittää estoa yhteen pisteeseen. Kun se on murrettu, tervetulotoivotus verkkoon on lausuttu.

Olennaista tehokas hallinta

– Ips vaatii aina oman hallintatyönsä. Asiakkaan kannalta oleellista on se, että tuotteissa on tehokkaat hallintatyökalut, Christen sanoo.

Hallintatyötä vaatii sekin, että verkot ylipäätään monimutkaistuvat. Yrityksillä voikin olla useita verkon ja järjestelmän tilasta sekä haittaliikenteestä tietoa tuottavia ratkaisuja käytössään. Tässä piilee ongelma: ips voi tulkita väärin järjestelmähallinnan tai verkonvalvonnan tekemän pingauksen.

– Raakatiedon määrä ei ole sinällänsä ongelma, kunhan järjestelmä osaa jäsentää ja yhdistellä tiedot käytettävään muotoon automaattisesti, Sieppi huomauttaa.

Ips ei myöskään tee muita tietoturvatuotteita kuten palomuureja tai virustentorjuntaa tarpeettomiksi.

– Uhkat tulevat useita eri reittejä. Hyökkäykset tulevat yhä useammin muuta kuin sähköposti- tai web-reittiä, esimerkiksi vertaisverkkojen välityksellä, Sami Iivarinen sanoo.

Maija-Liisa Ihanus toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Poliisi: Ajatus ampumisesta tuli vain hieman ennen veritekoa

• Ampuja keskeytti opinnot ja armeijan
• Pohjois-Korean Kim kävi huvipuistossa ja herkistyi
• Asiantuntija: Punkkipaniikki on jo ylimitoitettua
• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa