Kustannustehokkaan kyberturvallisuuden jalkauttaminen (osa 2/2)
Komento- ja kontrollikanavien (C&C) tunnusmerkistöön kuuluu pysyvyys. Valvonnan toteuttaminen on kohtuullisen yksinkertaista eli tarkoituksena on löytää kaikki sellaiset TCP-yhteydet, jotka ovat auki sisäverkon osoitteesta A ulkoiseen osoitteeseen B jatkuvasti. TCP-yhteyden ei tarvitse olla sama yhteys mutta päätepisteiden tulee olla samat.
Koska kyseessä on puhdas liikenneanalyysi kommunikointikanavaa ei voi naamioida salauksella. Valvonnassa löytyy haittaohjelmien lisäksi usein myös luvattomia tietoturvapolitiikan kiertoratkaisuja, kuten esimerkiksi luvattomia VPN- tai SSL/TLS-tunneleita.
Selvitä kuinka data saadaan organisaatiosta ulos
C&C-kanavat voivat myös hyödyntää muita protokollia kuin TCP:tä. ICMP-protokollan echo ja echo-reply (ping) ovat usein sallittuja vianmääritystä varten. Näissä paketeissa voi kuljettaa myös dataa. Normaalisti ping-pakettiin vastataan täsmälleen samalla tietosisällöllä. Etsimällä lokeista sellaisia ping-pareja, joissa tietosisällön pituus poikkeaa toisistaan, löytyy mahdollinen haittaohjelman C&C-kanava tai varastetun tiedon poiskuljettamiseen rakennettu kanava.
Myös nimipalvelukyselyitä (DNS) voidaan käyttää C&C-kanavana. DNS-kyselyistä etsitään poikkeavia kyselyjä, jotka sisältävät joko paljon dataa tai korkean entropian dataa. Isostakin DNS-lokimäärästä voidaan poimia data siten, että tarkastelun kohteeksi otetaan vain valtavirrasta poikkeavat kyselyt.
Kaikki yllä olevat menetelmät tuottavat sellaisia osumia, jotka eivät ole haittaohjelmia. Samoin osa hienostuneista haittaohjelmista jää varmasti havaitsematta. Väärät positiiviset on kuitenkin seulottavissa pois kohtuullisen vähäisellä jalkatyöllä. Se, että osa haittaohjelmista jää havaitsematta, ei ole mikään syy olla tekemättä valvontaa, joka on kustannustehokasta ja voittaa selkeästi sen, ettei minkäänlaista valvontaa tehdä.
Kirjoittaja Pekka Viitasalo toimii Nixussa johtavana konsulttina Adaptive Solutions -tiimissä mottonaan kustannustehokas kyberturvallisuus.