ITuudised.ee  • 21 jaanuar 2019
Jaga lugu:

Küberturbe parimad praktikad

Infoturbeanalüütik Ats Onemar  Foto: Diana Unt

Küberturbe ohtudega toimetulekuks peaks iga organisatsioon tegelema turvameetmetega, mis põhinevad parimate praktikate meetodil, kirjutab Äripäeva Teabekeskuse väljaandes IT juhtimine infoturbeanalüütik Ats Onemar.

Center for Internet Security (CIS) on mittetulunduslik organisatsioon, rahvusvaheline IT-valdkonnas töötavate inimeste kommuun, mille eesmärk on aidata avaliku ja erasektori asutusi küberohtudega tegelemisel.

CIS-i turvameetmete kogum (CIS Controls, lühemalt CSC) pakub parimatel praktikatel põhinevat meetodit, et tulla toime organisatsiooni küberturbe ohtudega. Pakutud turvameetmed on sellised, millega peaks iga organisatsioon küberturbe võimekuse parandamiseks vähemal või rohkemal määral tegelema. Alusmaterjal parimate praktikate kasutamiseks on litsentseeritud, küll aga on see organisatsiooni sees kasutamiseks tasuta. Selleks et osutada kommertsteenuseid, tuleb CIS-ist vajalikud õigused soetada.

Parimad praktikad on tunnustatud, nende rakendamisega tegeletakse üle maailma ja korraldatakse koolitusi. Muu hulgas on näiteks Rahvusvahelise Infosüsteemide Audiitorite Ühing ISACA loonud auditeerimist lihtsustava auditiprogrammi. Eestis on auditi tegemise kriteeriumitena kasutanud CSC-d Riigikontroll.

CSC meetmete väljatöötamisel on järgitud järgmisi põhimõtteid.

1. Rünnak informeerib kaitset – õpitakse tegelikest rünnetest, et pakkuda praktilist kaitset. Kasutusele tuleb võtta need meetmed, millega on reaalselt võimalik rünnakuid peatada.

2. Prioriseerimine – kõigepealt tuleb investeerida meetmetesse, mis pakuvad riskide vähendamiseks ja reaalsete ohtude kaitseks parimat tulemust ning mis on asjakohased organisatsiooni tehnoloogilises taristus rakendamiseks.

3. Mõõdikud – turvameetmete tõhusa rakendamise, muudatuste tegemise ja nende toimivuse mõistmiseks on olulised ühised mõõdikud, et leida ühtne meel organisatsiooni juhtide, IT-personali, audiitorite ja infoturbe töötajate vahel.

4. Pidev analüüs ja leevendamine – pidevalt tuleb katsetada ja kontrollida olemasolevate turvameetmete tõhusust. Selle järgi on lihtsam planeerida meetmete muudatusi ja järgmiste meetmete rakendamist.

5. Automatiseerimine – kaitse peab olema automatiseeritud nii, et see oleks töökindel ja seda saaks laiendada (ingl scalable), samas aga annaks pidevat infot, kas meetmed ja nende rakendamine sobivad seatud eesmärkidega.

Parimaid praktikaid võiksid kasutada (aga mitte ainult) organisatsioonid, kellel ei ole sisemisi ega välimisi nõudeid (ISKE, ISO-27000) infoturbe rakendamisel või kes soovivad teha algust küberturbe meetmete rakendamisega, aga ei tea, millest alustada. CSC kirjeldabki olulisi väärtust pakkuvaid turvameetmeid, et kaitsta organisatsiooni küberohtude eest. Oluline on arvestada, et CSC on küberturbe vajadustest lähtuv praktikate kogum, see ei hõlma kogu infoturvet.

Ülevaade CSC 20 prioriteetsest meetmete kategooriast

CSC kategooria 1 – inventeerige ja kontrollige organisatsiooni võrgus asuvaid füüsilisi seadmeid

Oluline on aktuaalne ülevaade kõigist füüsilistest seadmetest taristu võrgus. Ligipääs võrgus asuvatele ressurssidele peaks olema ainult neil seadmetel, millel on selleks õigus. Piirake lubamatute ja haldamata seadmete ligipääsu sisevõrgu ressurssidele. Võrgus asuvad tundmatud ja haldamata seadmed ohustavad organisatsiooni võrku, sest ei pruugi olla turvalised (on uuendamata, ebaturvaliselt häälestatud) ja võivad lihtsustada küberrünnaku toimumist organisatsiooni taristus.

CSC kategooria 2 – inventeerige ja kontrollige organisatsioonis kasutusel olevat tarkvara

Oluline on aktuaalne ülevaade kogu tarkvarast organisatsiooni võrgus. Piirake õigusi selliselt, et ainult lubatud tarkvara on installitud ja käivitatav. Tundmatu tarkvara installimine ja käivitamine peaks olema takistatud.

Esiteks ei pruugi kasutaja omal algatusel installitud tarkvara olla vastavuses organisatsiooni turvapoliitikaga. Peale selle annab õigus tarkvara installida kasutaja tööjaamas vabad käed pahavarale, kui kasutaja peaks kogemata avama vale e-kirja või pöörduma nakatunud veebiaadressile. Arvutis käivitunud pahavara ei ohusta ainult konkreetse masina andmeid, vaid võib olla sisenemispunkt küberkurjategijale kogu organisatsiooni taristu kompromiteerimiseks.

CSC kategooria 3 – pidev turvanõrkuste haldus

Ülevaade taristu turvanõrkustest peab olema ajakohane ja nendega tuleb järjepidevalt tegeleda (parandada, leevendada). Seda selleks, et pahavara või ründaja võimalus neid nõrkusi ära kasutada oleks võimalikult väike.

Turvanõrkused on süsteemis asuvad tarkvara või riistvara häälestusvead, tarkvaravead või muud puudused. Nende teadaolevate või ka veel tundmatute puuduste peale ehitatakse tihti üles pahavara ja neid nõrkusi otsivad ka häkkerid, et rünnakut korraldada. Turvanõrkused võivad ka iseenesest taristus häireid ja probleeme põhjustada.

CSC kategooria 4 – administraatoriõiguste kontrollitud kasutus

Administraatoriõiguste andmine, kasutamine ja häälestamine peab olema kontrollitud ja jälgitav nii sisemiste tööprotsesside kui ka tehniliste vahenditega.

Administraatoriõiguste kasutamine tööarvutis igapäevasteks toimetusteks, mis ei ole administreerimisega seotud, on üks levinud nõrkusi organisatsiooni taristus. Administraatoriõigused lubavad vale veebiaadressi või avatud manuse kaudu saavutada häkkeril kontrolli kogu masina üle ja sobivate tingimuste korral laiendada oma ligipääsuõigusi ka ülejäänud organisatsioonis.

CSC kategooria 5 – turvaline tarkvara ja riistvara häälestus mobiilseadmetes, tööjaamades ja serverites

Seadmete (mobiilseadmed, tööjaamad, serverid) häälestust tuleb süsteemselt hallata – see tähendab, et seademete häälestus on turvaline ja on minimeeritud võimalus, et pole tegeletud oluliste nõrkustega nende seadistuses või on jäänud avatuks võrguteenused, mida ei vajata. Seadmete vaikimisi häälestus on poest ostetud seadmetel enamasti minimaalne ja turvahäälestus avalikult teada – neile seadmetele on sellisel kujul väga kerge ligi pääseda.

CSC kategooria 6 – revisjonilogi (ingl audit log) haldus, seire ja analüüs

Rünnaku tuvastamiseks, mõistmiseks ja sellest taastumiseks koguge asjakohased logid, analüüsige neid ja hallake tervikuna.

Logide puudumisel võib küberrünnak jääda märkamata, see avastatakse hilja või ei ole võimalik tuvastada kompromiteerimise ulatust. Samuti raskendab logide puudumine rünnakust taastumist.

CSC kategooria 7 – e-posti ja veebibrauseri kaitse

Aitab leevenda riske, mis tulenevad peamistest kasutaja vastu suunatud rünnetest, näiteks manipuleerimine ja õngitsemine e-posti ja avaliku veebi kaudu. E-post ja veeb on oma olemuselt kasutaja ja interneti vahelised kontaktpunktid, mistõttu on need ka ühed peamised rünnakuobjektid.

CSC kategooria 8 – pahavara kaitse

Kontrollige organisatsioonis levida võivat pahavara taristu eri tasanditel (tööjaam, server, e-post jne) automatiseeritud ja hallatud töövahendite abil.

Tänapäeva pahavara on muutunud väga keerukaks ja edukamad on võimelised peitma enda tegutsemist või muutma pahavaratõrje kasutuks. Pahavara levib ja sellega võib nakatuda mitmeti, näiteks interneti, e-posti, kaasaskantavate mälu- ja mobiilseadmete kaudu.

CSC kategooria 9 – võrguportide, -protokollide ja -teenuste kontroll ja piiramine

Hallake võrgu kaudu kättesaadavaid porte, protokolle ja teenuseid selliselt, et kasutusel on ainult vajalik. Sedasi saab minimeerida võimalikest nõrkustest tulenevaid turvaauke.

Ründajad otsivad automatiseeritud vahenditega lahti unustatud või jäetud ja halvasti häälestatud võrguteenuseid, et saada nende kaudu ligipääs ettevõtte ressurssidele ja teenustele.

CSC kategooria 10 – andmetaaste võimekus

Asjakohased tööprotsessid ja õigesti häälestatud töövahendid andmete varundamiseks on oluline eeldus, et vajaduse korral andmeid ka taastada saaks.

Kui rünnak on toimunud ja organisatsiooni andmed on kompromiteeritud, siis ilma korraliku varunduseta on raske saavutada kindlustunnet, et kõik rünnaku ohvriks langenud vajalikud andmed ja nende terviklus on taastatud.

CSC kategooria 11 – turvaline võrguseadmete häälestus

Korraldage võrguseadmete konfiguratsioonihaldus (planeerige turvaline häälestus, jälgige seadmete muudatusi ja uuendage püsivara) selliselt, et takistada ründaja võimalikku turvanõrkuste ärakasutamist.

Võrguseadmete vaikimisi häälestus ei ole üldjuhul turvaline. Avatuks on jäetud liigsed teenused ja pordid ning uuendusi pole seadmetele paigaldatud. Lisaks on seadme vaikimisi parool enamasti avalikult teada ja seda on kerge ära kasutada. Nõrk võrguseadme häälestus on üks esimesi asju, mida ründaja kontrollib.

CSC kategooria 12 – perimeetri turve

Võrgu topoloogia tuleb üles ehitada nii, et asjakohaste segmentide järgi oleks tagatud andmete turvaline liiklus. Tuvastage ja vajadusel piirake võrguliiklust, mida kindlas võrguosas toimuda ei tohiks.

Halvasti planeeritud võrk ja selle häälestus, sh kaitsevahendite puudumine, on ründajale ideaalne võimalus, et oma tegevust planeerida, peita ja ka organisatsiooni tervikuna kompromiteerida.

CSC kategooria 13 – andmete kaitse

Planeerige ja rakendage tegevused ja töövahendid, et ennetada andmete lekkimist. Eesmärk on tagada andmete terviklus ja konfidentsiaalsus.

Andmed asuvad tihti organisatsioonis laiali ja nende töötlemist ei kontrollita. Kasutades sealhulgas pilveteenuseid ja mobiilseid töövahendeid, on suurenenud oht, et kui ei rakendata asjakohaseid protsesse ega kasutata kaitsemeetmeid, satuvad tundlikud andmed kurjategijate kätte või avalikustatakse tahtmatult.

CSC kategooria 14 – kontrollitud ligipääs teadmisvajaduse (ingl need-to-know) kohaselt

Oluline on rakendada tööprotsesse ja -vahendeid, mis kontrollivad, seiravad ja ennetavad ligipääsu ressurssidele, millele ligipääsuvajadus puudub.

Teadmisvajaduse järgi korraldamata andmetele võivad ligi pääseda töötajad, kellel puudub andmete töötlemiseks tööalane eesmärk või vajadus, aga need samad andmed võivad olla seetõttu kergemini kättesaadavad ka kurjategijatele.

CSC kategooria 15 – traadita võrguliikluse kontroll

Rakendage tööprotsesse ja -vahendeid, mis kontrollivad, seiravad ja tuvastavad traadita kohtvõrgus asuvaid seadmeid (näiteks pääsupunkt) ja nende kliente (tööjaamad, telefonid jm seadmed).

Traadita kohtvõrk on ründajale mugav viis, et organisatsiooni võrku tungida, sest see ei eelda füüsilist ligipääsu organisatsiooni ruumidesse.

CSC kategooria 16 – kontode kontroll ja seire

Hallake organisatsiooni ressursse kasutavaid kasutaja-, süsteemi- ja rakenduskontosid (kontode loomisest kustutamiseni), et vähendada nende väärkasutust.

Unustatud ja aktiivsest kasutusest maas olevaid kontosid kasutatakse tihti selleks, et planeerida ja viia ellu rünnakuid organisatsiooni sisevõrku – näiteks lahkunud töötajad või välised teenusepartnerid, kelle kasutajakontod on jäänud sulgemata, või ka olukord, kus konto parool on olnud teada paljudele inimestele.

CSC kategooria 17 – turbeteadlikkuse koolitusprogrammi rakendamine

Organisatsiooni igal tasandil on tarvis arendada teadmisi, oskusi ja võimeid, mille abil saab organisatsiooni kaitsta. Hinnake hetkeolukorda ja tuvastage puudused, mille põhjal saab parandada olukorda ettevõtte poliitika, ülesehituse, treeningute ja teadlikkuse parandamise kaudu. Küberturvalisus ei ole ainult tehnoloogilised meetmed, vaid selle turvalisuse taga on kasutajad, IT-spetsialistid, juhid, arendajad jpt, kelle teadmatust, väheseid oskusi ja eksimusi kasutavad ära küberkurjategijad, et oma eesmärke saavutada.

CSC kategooria 18 – rakendustarkvara turvalisus

Hallake sisse ostetud või maja sees arendatud tarkvara ja rakendusi ning võimaldage nende turvaline toimimine.

Ründed organisatsiooni ressursside ja andmete vastu saavad tihti alguse veebirakendusest või muust tarkvarast, mille nõrkused (halb kood, loogikavead vms) võimaldavad rakendust, selle andmeid või ka seda jooksutavat taristut kompromiteerida.

CSC kategooria 19 – intsidentidele reageerimine ja nende haldus

Arendage ja rakendage intsidentidele reageerimise võimekust, et kiiresti avastada toimuvad ründed, piiritleda nende rünnete kahju, tõrjuda välja ründaja ja taastada võrgu jt ressursside turvalisus.

Tänapäeva mõistes ei ole küsimus, kas intsident toimub. Küsimus on see, millal see juhtub. Kui intsident on juba toimunud, pole vastava võimekuse arendamisega alustamine enam intsidendi lahendamisel abiks.

CSC kategooria 20 – läbistustestid

Kontrollige organisatsiooni tegelikku vastupanuvõimet küberünnakule, lubades seda (tehnika, protsessid, töötajad) rünnata nii, nagu seda teeks küberkurjategija.

Organisatsioon ei pruugi turvameetmeid rakendades arvestada häkkeri vaatenurka (ingl think like a hacker) ja seetõttu võivad jääda tegemata olulised tegevused küberturvalisuse parandamiseks.

IT JUHTIMISE TEABEVARA

Artikkel ilmus Äripäeva Teabekeskuse väljaandes IT juhtimine.

Põhjalik ülevaade infotehnoloogia võimalustest ja otstarbeka rakendamise põhimõtetest. Kui vastutate ettevõtte strateegia ja investeeringute eest, siis saate põhjaliku info IT-valdkonna praktilisest poolest ning teete tulemuslikke juhtimisotsuseid.

Aastalitsentsiga saate:

- ligipääsu igal kuul uuenevale teabevarale

- kasutada e-nõuandekeskust

- lisavõimalusena paberväljaande ja selle täiendused kord kvartalis

- e-uudiskirja Õigusuudised 10 korda aastas

Jaga lugu:
ITUUDISED UUDISKIRJAGA LIITUMINE

Telli olulisemad Ituudised uudised igal nädalal enda postkasti.

Ituudised.ee toetajad:

Enimloetud
Indrek Kald
Indrek KaldITuudised.ee toimetajaTel: 511 1112indrek.kald@gmail.com
Ana Madismäe
Ana Madismäereklaamimüügi projektijuhtTel: 545 60 150ana.madismae@aripaev.ee