Picture of Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

Mikä on RVA?

CISA suorittaa vuosittain riski- ja haavoittuvuusarvioinnin (RVA = Risk and Vulnerability Assessment) tiettyjen vaikutusvaltaisten yhteistyötahojen kanssa. Mukana on mm. kriittisen infran tarjoajia.

Jokainen RVA on tarkoitettu arvioksi kunkin tahon kyvykkyydestä ja ominaisuuksista niiden verkon suojaukseen mahdollisia uhkia vastaan. Vuonna 2021 CISA suoritti 112 RVA-arviointia monilla eri toimialoilla. Kunkin RVA:n tulokset mäpätään MITRE ATT&CK -viitekehykseen. Jokaisen RVA:n aikana CISA kerää tietoja paikan päällä suoritetuilla arvioinneilla ja yhdistää ne kansallisiin uhka- ja haavoittuvuustietoihin tarjotakseen organisaatioille toimivia korjauksia ja suosituksia.

RVA voi sisältää seuraavia menetelmiä:

  • Skenaariopohjainen verkon läpäisytestaus
  • Verkkosovellusten testaus
  • Social engineering -testaus
  • Langaton testaus
  • Palvelimien ja tietokantojen konfiguraatiotarkistukset
  • Havaitsemis- ja reagointikyvyn arviointi

Miten RVA muodostetaan?

CISA suorittaa vuosittain riski- ja haavoittuvuusarvioinnin (RVA = Risk and Vulnerability Assessment) tiettyjen vaikutusvaltaisten yhteistyötahojen kanssa. Mukana on mm. kriittisen infran tarjoajia.

Jokainen RVA on tarkoitettu arvioksi kunkin tahon kyvykkyydestä ja ominaisuuksista niiden verkon suojaukseen mahdollisia uhkia vastaan. Vuonna 2021 CISA suoritti 112 RVA-arviointia monilla eri toimialoilla. Kunkin RVA:n tulokset mäpätään MITRE ATT&CK -viitekehykseen. Jokaisen RVA:n aikana CISA kerää tietoja paikan päällä suoritetuilla arvioinneilla ja yhdistää ne kansallisiin uhka- ja haavoittuvuustietoihin tarjotakseen organisaatioille toimivia korjauksia ja suosituksia.

RVA voi sisältää seuraavia menetelmiä:

  • Skenaariopohjainen verkon läpäisytestaus
  • Verkkosovellusten testaus
  • Social engineering -testaus
  • Langaton testaus
  • Palvelimien ja tietokantojen konfiguraatiotarkistukset
  • Havaitsemis- ja reagointikyvyn arviointi

Vuoden 2021 RVA-raportin esittely

FY2021-raportissa analysoidaan esimerkki hyökkäyspolusta (attack path), jota uhkatoimija voisi käyttää vaarantaakseen hyökkäyksen hyödyntämällä RVA:ssa tunnistettuja heikkouksia. Koko raportin voit ladata täältä halutessasi: https://www.cisa.gov/sites/default/files/publications/FY21-RVA-Analysis_508c.pdf.

Polku käsittää yksitoista peräkkäistä taktiikkaa tai vaihetta:

CISA 2021 RVA - Attack Path

Tämän analyysin lisäksi raportti sisältää seuraavat havainnot:

Yleiset menetelmät

Useimmat onnistuneet hyökkäykset saavutettiin uhkatoimijoiden yleisesti käyttämillä menetelmillä, kuten tietojenkalastelu ja oletustunnistetietojen käyttö

Yhteiset ongelmat

Monilla organisaatioilla oli samoja heikkouksia

Muuttuvat työkalut

Yleisten hyökkäysten suorittamiseen käytettävien työkalujen ja tekniikoiden luettelo muuttuu jatkuvasti

CISA 2021 RVA

Yhteenveto

Trendianalyysin jälkeen saatiin useita korkean tason havaintoja, erilaisten kokonaisuuksien verkkojen ja verkon puolustuksien parannetusta tietoturvasta vanhentuneiden ohjelmistojen korjaamiseen.

Alkuvaiheessa monet organisaatiot joutuivat yleisten pääsymenetelmien, kuten tietojenkalastelun ja oletustunnistetietojen käytön uhreiksi. Tämä osoittaa, että alkuperäiset hyökkäysvektorit eivät ole juurikaan muuttuneet ajan myötä ja organisaatioiden tulisi jatkaa parannettujen salasananhallinta- ja suojauskäytäntöjen omaksumista. Pääpainoarvoksi tulisi ottaa salasanavaatimusten parantaminen, käyttäjien koulutus tietojenkalastelun tunnistamiseksi ja salasanojen vaihtaminen tietyn ajan kuluttua.

Verkon puolustajien tulee pysyä valppaina uhkatoimijoiden kehittyvien taktiikoiden ja tekniikoiden suhteen. Epänormaalin toiminnan tunnistamiseksi IDS/IPS-järjestelmät ja lokit tulee tarkistaa säännöllisesti. Jos haitallinen toiminta tunnistetaan ajoissa, se voi vähentää hyökkäysten vaikutuksia.

Lopuksi CISA havaitsi, että monilla organisaatioilla useilla sektoreilla oli samanlaisia heikkouksia — oletussalasanojen käyttö, avoimet portit ja vanhentuneet ohjelmistoversiot. CISA suosittelee kaikkia toimialoja panostamaan salasanojenhallintaan, korjaamaan vanhentuneet ohjelmistot ja sulkemaan tarpeettomat portit.

Yleisten suositusten lisäksi suositellaan yksittäisiä organisaatioita luomaan lisää räätälöityjä ohjeita, jotka sopivat heidän erityisiin verkkoarkkitehtuureihinsa.

Picture of Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.