Tietomurtojen havainnointi verkosta open source -työkaluin

Kuten viime vuoden kevään APT1-hyökkäystä käsittelevässä blogikirjoituksessani totesin on aika tietomurrosta sen havaitsemiseen tyypillisesti aivan liian suuri. Organisaatioissa onkin alettu heräämään siihen miten tietomurtoja tulisi havainnoida. Kuten blogikirjoituksessa mainittu Verizonen raporttikin toteaa, ongelma on vain siinä minkä teknologian valita ja millä tavalla tietoturvahenkilöiden tulisi havainnointia tehdä.

Teknologioita valittaessa ei tulisi pelkästään keskittyä niiden suorituskykyyn tai kyvykkyyteen havainnoida tietomurtoja vaan myös helppokäyttöisyyteen. Tietoturvaguru Anton Chuvakinin johtoajatusta lainaten tietoturvalaitteet toimivat tietoturvan kertoimina, jotka moninkertaistavat niitä käyttävän henkilöstön työpanoksen. Mikäli tietoturvaorganisaatio ei osaa käyttää työkaluja ovat ne itsessään hyödyttömiä.

Seuraavassa muutamia avoimeen lähdekoodiin perustuvia työkaluja, jotka olen havainnut hyviksi:

Snort on hyökkäyksen havainnointijärjestelmä (IDS), jolla voidaan monistetusta verkkoliikenteestä havainnoida uhkia perustuen sormenjälkiin. Sormenjäljiksi nimitettyjä kuvauksia tuottavat niin maksulliset kuin ilmaisetkin tahot. IDS on peruslaite, joka jossain muotoa tulisi organisaatiossa olla. Joskin IDS:n hyödynnettävyys riippuu pitkälti siitä miten sen ylläpitäjä tuntee itse verkkoa ja miten laitetta hienosäädetään verkon mukaan. Snort on komentorivityökalu, mutta mm. OSSIM ja Snorby tarjoavat sille graafisen käyttöliittymän.

Bro on työkalu, joka mielletään helposti Snortin korvaajaksi, mutta tätä se ei missään nimessä ole. Bro-työkalu ei nojaa sormenjälkiin, vaan se pyrkii purkamaan kiinnostavaa verkkoliikennettä erilaisiin lokitiedostoihin, joista analysoijan on helpompi lähteä tutkimaan tietomurtoa. Työkaluun voi tehdä hälytyksiä, mutta se toimii paremmin tietomurron analysointityökaluna kuin automaattisena hälyttimenä. Työkalu siis täydentää hyvin Snorttia.

SiLK on verkkoliikenneanalysaattori, jolla voidaan manuaalisesti havainnoida tietomurtoja verkkoprotokollien ja verkkoyhteyksien käytön perusteella. Työkalu itsessään ei tarjoa mahdollisuutta pureutua verkkoliikenteen sisältöön kovinkaan syvällisesti, mutta toimii erinomaisesti isojen verkkoliikennemassojen analysoinnissa.

NTOP puolestaan tarjoaa mahdollisuuden visuaalisesti havaita verkkoliikenteestä poikkeamia, joita voidaan lähteä sitten tutkimaan muilla työkaluilla. Poikkeavat liikennemäärät astuvat hyvin esiin liikennegraafeista ja NTOP saadaan myös havaitsemaan niitä automaattisesti.

Moloch on mielenkiintoinen pakettien nauhoitusohjelmisto johon törmäsin Viron 0ct0b3rf3st-tietoturvamessuilla viime vuonna ja jota olen ajatellut testata lähitulevaisuudessa.

Todettakoon, että käytettiin sitten kaupallisia tai open source -työkaluja tulee niiden palvella ensisijaisesti työkalujen käyttäjiä jotta niistä saadaan täysi hyöty irti. Suurin virhe on ostaa kallis, paperilla kaiken kattava laite, joka ei istu organisaation todellisiin tarpeisiin ja ammatilliseen osaamistasoon.