Picture of Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

Ajatus

Onko absurdia ajatella, että palvelunestohyökkäys voisi olla positiivinen asia? Ei suinkaan. Silloin, kun on kyse harkitusta ja hyvin suunnitellusta harjoituksesta, jossa riskit on arvioitu, on kyse hyvinkin positiivisesta asiasta. Tärkeää on kuitenkin juuri harkinta ja riskien hallinta.

Kuvakaappaus: Helsingin Sanomat 25.1.2019

Harkittu palvelunestohyökkäys

Palvelunestohyökkäystä harjoitellessa on syytä tietää hyvin tarkasti testattavan ympäristön yksityiskohdat. Palvelunestohyökkäyksellä on aina sivuvaikutuksia, jolloin on myös olennaista kartoittaa, mihin muualle kuin varsinaiseen kohteeseen esimerkiksi palomuurin kaatuminen voi vaikuttaa. Entä, kun palomuuri sitten oikeasti on kaatunut? Pääseekö kukaan enää sitä korjaamaan? Kattava tilanteeseen tehty arkkitehtuurikartoitus ja piirustus auttaa kaikkia osallisia ymmärtämään, millaisesta kokonaisuudesta on kysymys. Keitä sitten ovat kaikki osalliset? Osallisia harjoituksessa ovat käytännössä kaikki, jotka ovat jostain harjoituksen osasta vastuussa — tietoliikenne, infra, palvelimet, sovellukset, tietokannat — ihan kaikki. Asiakkaan tai harjoituksen tilaajan eri vastuuhenkilöitä ja edustajia unohtamatta.

Tarkoittaako tämä sitä, että harjoitus vaatii valtavasti tiedottamista ja palavereita? Käytännössä kyllä.

Tilannehuone
Tilannehuoneessa vietetään pitkä tovi - todennäköisesti jopa tunteja. Tyypillisesti harjoitus toteutetaan yöaikaan, tai viikonloppuna.
Monitorointi
Tilanteen on pysyttävä koko ajan hallinnassa. Tästä syystä monitorointia ei voi koskaan olla liikaa.

Miten hallitaan riskejä

Riskejä hallitaan siten, että ne tunnistetaan ja analysoidaan. Helppoa, kun kaikki asiat ovat etukäteen tiedossa. Faktisesti asiat eivät kuitenkaan ole etukäteen tiedossa. Jos ne olisivat, harjoitusta ei tarvitsisi tehdä. Kaikki osallistujat joutuvat siis arvaamaan, ja myös hyväksymään sen, että kaikkia riskejä ei voida ennustaa. Ennustamattomatkin riskit voidaan hallita varmistamalla, että harjoituksesta on tietoisia tarpeeksi laaja joukko ihmisiä. Laajan joukon lisäksi pitää varata myös harjoituksen ajaksi paljon osaajia varalle, ja näistä aivan kriittisimmät yhteen ja samaan fyysiseen tilaan. Ja muistetaan, että tässä tilassa tietoliikenne jossain vaiheessa harjoitusta katoaa; jokaisella on oltava oma internet-yhteys mukana.

Miten harjoitus valmistellaan

Edellä todettiin jo, että harjoitus vaatii paljon tiedottamista ja palavereita. Palaverien yksi tarkoitus on käydä läpi, minkälaisia testitapauksia on suunniteltu tehtäväksi. Vaikka osallistujat — eli puolustajat — tietävätkin osittain, minkälaisesta hyökkäyksestä on kysymys, ei se vähennä harjoituksen arvoa. Päinvastoin: hyökkäys voi olla lyhyt — minuuttien kestoinen — jonka aikana on hyvin tarkasti seurattava valtavaa määrää mittareita kohdeympäristöstä. Ilman valmistautumista ei kaikkea voida havaita. Tarkoitus ei siis ole pelkästään torjua, vaan myös oppia.

Kovaa ajoa
Onnistunut harjoitus ei vaadi ylenpalttista maailmanennätyksiä tavoittelevia liikennemäärää. Tosiasiallisesti monet palvelut kaatuvat yllättävän pienellä liikennemäärällä, kunhan hyökkäys on juuri oikeanlainen.
Hyökkäys käynnissä
Hyökkäyksen tekniikasta ja tavoitteista riippuen, nähdään erilaisia tuloksia. Kun hyökkääjä näkee vasteajoissa nousua tai palvelua ei enää ole saatavilla, on hyökkääjä voittanut. Ainakin hetkellisesti. Erilaiset pesuripalvelut ovat myrkkyä hyökkääjälle, joka saattaa kuluttaa kallisarvoisen botnetin hukkaan yrittäessään väistellä vastatoimenpiteitä.

Miten harjoitus suunnitellaan

Palvelunestohyökkäykset eivät ole yksi harmaa massa paketteja, jotka singahtavat sokkona menemään. Päinvastoin, hyvä palvelunestohyökkäys on ovela ja pyrkii ohittamaan puolustajan mekanismit. Siksi myös harjoitus suunnitellaan tarkasti. Harjoitus ajetaan erikseen ja varta vasten palvelunestohyökkäyksiä varten suunnitellulta alustalta. Tämä tarkoittaa, että alusta tilataan Redwolf Securityltä. Alustalla suunnitellaan jokainen testitapaus etukäteen. Samalla suunnitellaan ja pohditaan erilaisia variaatiota hyökkäyksiin, joilla voidaan lennossa muuttaa hyökkäyksen luonnetta. Käytännössä harjoitukseen suunnitellaan tietyt perusolettamat, mutta varaudutaan monenlaisiin adhoc -muutoksiin lennossa, riippuen puolustajien kyvykkyydestä ja harjoituksen aikana tehdyistä havainnoista.

Miten harjoitus toteutetaan

Harjoituksen aikana ollaan osittain samassa fyysisessä tilassa, osittain eri paikassa — ja osittain varalla. Ne, jotka ovat olleet tekemässä isoja järjestelmien käyttöönottoja tunnistavat varmasti tilanteen. Harjoituksen aikana ajetaan testitapauksia, tehdään ja kirjataan havaintoja, seurataan mittareita ja vasteaikoja sekä erilaisten laitteiden suoriutumista. Välillä korjataan, tuunataan ja odotellaan. Tunnelmat vaihtelevat sen mukaisesti, onko hyökkääjä (eli punapaitainen mies pöydän päässä) vai puolustus ”voitolla”.

Attack Designer
RedWolfin tarjoamalla työkaluilla voidaan suunnitella ja toteuttaa villeimmätkin hyökkäykset. Työkaluja ei kuitenkaan anneta kenelle tahansa, sillä ne ovat todella voimalliset ja naapuriyhtiön tontille levinnyt hyökkäys on mahdollisesti katastrofi.
Roolitus
Kaikilla osallistujilla on rooli. Sen lisäksi että tarvitaan hyökkääjä ja puolustaja, tarvitaan myös seuraaja, kirjaaja, korjaaja, tuunaaja, kannustaja - ja maksaja.

Harjoituksen jälkeen

Harjoituksen jälkeen on käytössä läkähdyttävä määrä dataa ja tietoa, joka koostetaan loppuraportiksi. Lessons learned -osuus on tärkeä osa tätä. Jokainen osallistuja on oppinut jotain, ja backlogille tulee väistämättä asioita. Maailma ei ole harjoituksen jälkeenkään täydellinen, mutta tietoisuus sen epätäydellisyydestä on täydentynyt.

Picture of Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.