Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Miksi en käyttäisi ilmaisia skannereita haavoittuvuuksien havainnointiin?

27. huhtikuuta 2017

Haavoittuvuuksien havainnointi - kuva

 

Ratkaisuja haavoittuvuuksien havainnointiin ja hallintaan löytyy paljon, niin ilmaisia, kaupallisia kuin myös palveluja. Monet ilmaisetkin ratkaisut ovat vähintäänkin yhtä hyviä kuin mitä eri talot tarjoavat. Miksi siis ostaa kaupallinen tuote tai haavoittuvuuksien havainnointi palveluna? Eri vaihtoehdoissa on omat puolensa ja organisaation on valittava näistä itselleen ja tilanteeseensa parhaiten sopiva ratkaisu.

 

Ilmainen ja räätälöitävä, mutta minkä kustannuksella?

Ensimmäinen vaihtoehto ovat avoimen lähdekoodin ohjelmistot. Näiden hyviin puoliin kuuluvat ilmaisuus ja muokattavuus. Jos taitoa ja vapaita resursseja löytyy talon sisältä, niin ilmaiset vaihtoehdot ovat varteenotettavia. Ilmaiset skannerit kun ovat pääpiirteissään ominaisuuksiltaan samaa luokkaa kuin kaupallisetkin ratkaisut.

 

Koska nämä perustuvat avoimeen lähdekoodiin, ovat ne myös räätälöitävissä vastaamaan organisaation tarpeita kunhan vain osaamista riittää. Muokattavuuden ja niiden vaatiman itsenäisen opettelun vuoksi ne ovat oiva tapa lisätä asiasta innostuneen työntekijän osaamista. Ilmaisissa ratkaisuissa on kuitenkin huomioitava muutama asia:

Ilmainen, mutta ei välttämättä halpa

Vaikka itse ohjelmisto on ilmainen, ei se kuitenkaan tarkoita, että sen käyttö olisi halpaa. Avoimen lähdekoodin ohjelmistot vaativat samat resurssit kuin mikä tahansa muukin järjestelmä. Valmistaudu siis maksamaan esim. kapasiteetista, järjestelmän hallinnasta, ylläpidosta ja varmuuskopioinneista.

Kaikkien resurssit ovat rajalliset. Järjestelmään käytetty aika opettelusta, räätälöinnistä, käyttöönotosta ja käytöstä ylläpitoon asti ovat poissa muusta toiminnasta tai vaativat lisäresurssien hankkimista. Muista, että myös omien työntekijöiden aika maksaa.

Koulutuksen ja tuen puute/hajanaisuus

Toinen ongelma avoimen lähdekoodin ohjelmistoissa on koulutuksen ja tuen puute. Jotta työkalusta saa irti kaiken mahdollisen hyödyn on sitä osattava käyttää, pelkkä tuote ei tee autuaaksi. Vaikka suosituimpiin ratkaisuihin löytyy foorumeilta ja muualta internetistä paljon tietoa, ei ajantasaista tietoa aina löydy helposti ja varsinkaan yhdestä paikkaa. Kun koulutusta ja suoraa tukea ei ole saatavilla, joutuu järjestelmästä vastaava henkilö usein käyttämään paljon aikaansa tiedon keräämiseen, opetteluun ja järjestelmän virkkaamisen haluttuun tilaan.

Tiedon siiloutuminen

Edellisen kohdan vuoksi tieto usein siiloutuukin yhden ihmisen taakse. Kun tämä henkilö on poissa tai lähtee organisaatiosta, ratkaisusta tulee helposti hyödytön. Tietotaito ei yhtäkkiä enää riitäkään ratkaisun hyödyntämiseen, koulutusta ei ole saatavilla mistään, eikä ratkaisun käyttöä yleensä pysty ostamaan palveluna ulkopuoliselta toimijalta.

 

 

Turvaa kaupallisesta ratkaisusta

Toinen vaihtoehto itse tehtävälle haavoittuvuuksien havainnoinnille on käyttää kaupallisia ratkaisuja. Tämä koetaan usein ns. turvallisemmaksi vaihtoehdoksi. Kaupallisessa ratkaisussa vältetään ilmaisen tuotteen puutteet tuen ja koulutuksen saatavuudessa. Näissä myös valmistajan tarjoama ylläpito on varmistettu, mikäli lisenssimaksut ja tuet on maksettu. Kaupalliset tuotteet pyrkivät myös tuottamaan lisäarvoa käyttäjilleen maksua vastaan, joten niiden käytettävyyden mukavuus ja helppous sekä toimintavarmuus ja raporttien selkeys ovat usein avoimen lähdekoodin järjestelmiin verrattuna pidemmälle kehitettyjä. Kaupallisen ohjelmiston käytössä on kuitenkin hyvä huomioida seuraavat asiat.

Mahdutettava budjettiin

Kaupalliset ratkaisut maksavat, joten budjetista on löydyttävä varaa niin aloituskustannuksiin kuin vuosittaisiin lisenssi- ja tukimaksuihin (ohjelmisto on riippuvainen ajantasaisista haavoittuvuustiedoista ja siten myös päivityksistä). Hankintoihin on myös usein saatava johdon lupa, joka lisää ainakin byrokratiaa. Samat operatiiviset kulut kuin muissa omissa käsissä olevissa järjestelmissä tulevat tässäkin kyseeseen.

Rajoitukset muokattavuudessa

Siinä missä ilmaiset avoimen lähdekoodin ratkaisut ovat täysin muokattavissa, on kaupallisten ratkaisujen räätälöintiä usein rajoitettu. Tällöin halutut toiminnallisuudet ja integraatiot saattavat jäädä vain haaveeksi.

Vastuu tuotteen hyödyntämisestä sinulla

Kaupallisessa tuotteessa ylläpito on varmistettu, mutta sinun vastuullasi on itse tuotteen hyödyntäminen aivan kuten ilmaisissa ratkaisuissakin. Käyttöönottoon voi ratkaisuntarjoajalta saada apua ja tuotekoulutuksiin on usein mahdollista päästä. Ratkaisun tuottamien tulosten analysointi ja arviointi sekä hälytyksiin vastaaminen ovat kuitenkin vastuullasi. Itse skannauksen ja analysoinnin jälkeen, sinun on myös huolehdittava, että löydetyille tietoturva-aukoille myös tehdään jotain ja seurata tämän toteutumista. Tämä kaikki on tehtävä muiden päivittäisten tehtävien lomassa.

 

 

Varmuutta ja asiantuntijuutta palvelulla

Kolmas vaihtoehto on ulkoistaa haavoittuvuuksien havainnointi asiantuntijaorganisaatiolle. Tämä vaihtoehto nähdään usein kalliina, mutta kun kaikki otetaan huomioon, ovat palveluhankinnan kokonaiskustannukset muiden toteutustapojen sivukulut mukaan huomioiden samaa tasoa tai jopa vähemmän. Pelkkä kertaluontoinen konsultaatio tilanteesta on harvoin rahansa väärti tai riittävä, etenkin kun haavoittuvuustilanne on jatkuvasti muuttuva asia. Siksi ulkoistaessa haavoittuvuuksien havainnointia onkin hyvä sopia jatkuvasta palvelusta.

 

Ulkoistamisen ehdoton etu on, että siinä organisaatiolla on käytössään ammattilaiset. Tietoturvallisuuden asiantuntijoilla on varmasti tarvittava tieto havaituista haavoittuvuuksista, niiden tyypeistä ja vaikutuksista sekä miten eri haavoittuvuuksiin tulee suhtautua. Näin ollen saat selkokieliset raportit, missä varteenotettavat haavoittuvuudet on priorisoitu ja niille on ehdotettuna korjaustoimenpiteet, näin voit itse keskittyä olennaiseen eli löydösten paikkaamiseen.

 

Hyvän palvelun talossa myös kuunnellaan asiakasta, joten palvelu on usein sovitettavissa juuri asiakkaan tarpeisiin. Skannausvälit ja ajankohdat sovitaan, niin ettei ympäristöä rasiteta tai altisteta riskeille turhaan. Asiantuntijat osaavat myös optimoida skannauskonfiguroinnit, jotta kaikki toimii halutusti.

 

Kuten aiemmin totesimme, tuoteratkaisut vievät usein paljon aikaa. Kun skanneri on otettu käyttöön ja saatu konfiguroitua, täytyy skannauksia myös tehdä säännöllisesti, käydä läpi tulokset, delegoida vastuut korjaustoimenpiteistä, varmistaa korjaustoimenpiteet, ja reagoida mahdollisiin skannausten välisiin hälytyksiin. Virheellisten hälytysten selvittelyä unohtamatta. Kun on paljon muita tehtäviä ja aikaa ei ole, skannauksia tulee helposti tehtyä vain silloin tällöin ilman kunnon prosessia. Haavoittuvuuksien säännöllinen skannaus on kuitenkin tärkeää hyökkäysrajapinnan minimoimiseksi ja jatkuvalla palvelusopimuksella tulee tämä hoidettua takuuvarmasti ja ilman omien resurssien venyttämistä.

 

 

Apua oikean ratkaisun valitsemiseen

Kuten alussa totesimme vaihtoehtoja ja tyylejä on monia. Miten sitten valita oikea ratkaisu organisaationne tarpeisiin? Pohdi ainakin seuraavia kysymyksiä ja olet valmiimpi punnitsemaan vaihtoehtojasi ja mahdollisia ratkaisuja.

  • Onko organisaatiossanne riittävää tietotaitoa (mieluummin useammalla henkilöllä) itsenäiseen toteutukseen?
  • Onko teillä aikaa prosessin läpiviemiseen säännöllisesti?
  • Mihin haluatte käyttää aikaanne, tuotteen kanssa painimiseen vai haavoittuvuuksien minimointiin?
  • Kuinka hyväksi tuote on arvioitu skannaustarkkuuden, luotettavuuden, skaalautuvuuden ja raportoinnin osalta?
  • Mistä ratkaisu saa haavoittuvuustietonsa ja kuinka usein tätä tietoa päivitetään?
  • Kuinka paljon aikaa kuluu järjestelmän käyttöönottoon?
  • Ovatko skannauspolitiikat valmiina ja mitä vaaditaan, jos näitä joudutaan muokkaamaan?
  • Onko tuote agentiton?
  • Paljonko skannaus rasittaa ympäristöä? Sisältääkö se ns. skannauksettoman skannauksen?
  • Miten paljon aikaa ja rahaa menee järjestelmän ylläpitoon?

 

Tutustu Ymonin tarjoamaan haavoittuvuusskanneriin tai haavoittuvuuksien havainnointipalveluun!