Ajatko ilman takarenkaita?

Moderni palomuuri, jota yksinkertaisuuden vuoksi kutsutaan nimellä NGFW, on varsinainen sveitsin armeijan linkkari. Perustason palomuurin lisäksi se sisältää tyypillisesti joukon erittäin moniulotteisia tietoturvaominaisuuksia, joiden avulla pystytään torjumaan nykymaailman uhkakuvia. Näiden ohella palomuuri toimii myös reitittimenä, VPN-keskittimenä, SD-WAN-päätelaitteena ja joissakin tapauksissa jopa lähiverkon laitteiden kontrollerina. Pitkälle on tultu siitä, kun palomuuri ainoastaan filtteröi liikennettä pakettien IP-osoitteiden ja TCP/UDP-porttien perusteella.

Vuosien vieriessä organisaatioiden näkemys oman infrastuktuurinsa suojaamisesta on pysynyt aika lailla samana. Pääpaikka muurille on oman verkon ja pahan ulkomaailman, eli Internetin välissä. Lisäksi tarpeen mukaan muurausta tehdään esimerkiksi sisäverkkojen segmenttien liikenteen eriyttämisessä, konesaleissa, tuotantoverkkojen segmentoinnissa tai vaikkapa sivukonttoreiden verkotuksessa. Myös ajatusmaailma on pysynyt usein melko staattisena - "Kun meillä on palomuuri edessä, ei mitään pahaa voi tapahtua."

Harmillista on, että vuosien vieriessä maailma ja sieltä organisaatioiden infrastruktuuriin kohdistuvat uhkakuvat ovat muuttuneet. Pahojen tahojen toiminta on viimeisen päälle ammattitaitoista ja nykyaikaistenkin muurien perussuodatuksien läpi mennään vihellellen. Tämän vuoksi onkin hämmentävää, kuinka moni organisaatio on edes harkinnut kaikkien modernien muurien ominaisuuksien käyttöönottoa omassa ympäristössään. Tämä on melkein sama, kuin jättäisi uudesta autosta takarenkaat hankkimatta, koska "Kyllähän se auto riittävästi kulkee eturenkaidenkin varassa."

Yleisin syy kaikkien uudenaikaisten suojausominaisuuksien, eli esimerkiksi 0-päivähaavoittuvuuksien torjuntaan tai DNS-filteröinnin väliinjättöön on raha. Valmistajat ovat tyypillisesti hinnoitelleet edistyneimmät tietoturvaominaisuutensa erillisten lisenssien kautta ja jos muurin 100k€ hinta hirvittää, ei toinen 100k€ paremmasta suojaustasosta yleensä paljoa houkuttele.

Toinen, joskin vähän hassu syy on se, että lisenssit on kyllä hankittu parempien ominaisuuksien käyttämiseksi, mutta syystä tai toisesta niitä ei ole otettu käyttöön. Näihin tapauksiin törmää aina silloin tällöin asiakaskunnassa. Taustalla voi olla esimerkiksi muut kiireet, osaamisen puutteet, koordinaatio hankintatahojen kanssa tai joskus myös silkka laiskuus.

Kolmantena perussyynä on tietämättömyys. Voi olla että hankintojen päätöksenteko on viety pois asiantuntijatasolta ja kirstunvartijalle on hankalaa perustella, miksi juuri ME tarvitsisimme suojaa hienojakoisia tuntemattomia haittaohjelmia vastaan. Koska MEIDÄN liiketoimintamme ei ole niin kiinnostava, että joku jaksaisi hyökätä meitä vastaan.

Oli varsinainen syy mikä tahansa, pidän erittäin huolestuttavana kaikkien tietoturvaominaisuuksien käyttämättä jättämistä palomuurien kohdalla. Samalla tavalla kuin katsastusmies pitäisi huolestuttavana autoa, josta puuttuu ne takarenkaat. Maailma on täynnä tahoja, jotka aktiivisesti etsivät seuraavaa uhriaan tutkimalla, analysoimalla ja kokeilemalla minkälainen puolustus näillä on. Ja jos pienikin reikä löytyy, siitä tullaan kyllä läpi. 

Mitä sitten voitaisiin tehdä? Ensimmäisenä vaiheena on tilanteen selvittäminen - onko meidän suojauksessa käytössä kaikki ominaisuudet? Jos ei, niin onko syynä lisenssien puute vai käyttöönoton viivästyminen? Mikäli sylttytehdas on edellinen, neuvotellaan valmistajan kumppanin kanssa ja hankitaan lisenssit. Jonka jälkeen (tai jos syy oli jälkimmäinen) tehdään niiden käyttöönotto. Yksinkertaista, ja sen jälkeen voidaan huristella paremmalla tietoturvalla, jossa on ne kummatkin takarenkaat mukana.

Jos et ole varma tilanteestasi tai haluat muuten apua tietoturva-asioissa, ota reilusti yhteyttä Reformo Networksin asiantuntijoihin.

Kirjoittaja on Reformo Networksin teknologiajohtaja