Apua, sipulini surkastuu!
Tietoturvaa on rakennettu pitkään ns. sipulimallilla, mikä tarkoittaa sitä, että tietoturvaa tehdään kerroksittain eri tasoilla. Ylimmän kerroksen sipulista muodostaa esimerkiksi DNS-tietoturva, jota tarjotaan kaikille. Sitten vaikkapa etäyhteyteen (VPN) muodostettu tietoturva, sitten palomuuritaso ja päätelaitetietoturva, jos oikein yksinkertaistetaan. Tämä on ollut toimiva malli aika pitkään, mutta tähän on tulossa raju muutos. Salatun liikenteen kasvun myötä sipulini todellakin surkastuu.
Ei se talvi ole joka tulee vaan pimeys
Jopa 80 prosenttia kaikesta yritysten verkkoliikenteestä on salattua (Lähde: Cisco Live 2019). Seurasin Cisco Live -tapahtumassa Michal Garcarin (Technical Leader, Cisco SO) luentoa Ciscon tietoturvapalveluiden toteuttamisesta. Hänen mukaansa voimme olettaa voimakasta salatun liikenteen kasvua, jopa nykyiseen tilanteeseen nähden. Salauksen purkamisen käytännön haaste on se, että salauksen määrän yhteydessä myös salausalgoritmien ja toteutusten laatu on parantunut (esim. TLS 1.3) eli salauksen purkaminen on vaikeaa. Eikä se helppoa ole ollut aikaisemminkaan, koska se vie resursseja esim. palomuurista nykyisten datayhteyksien aikana kohtuullisen paljon. Nyt täytyy muistaa, että myös haittaohjelmat ja muu vilunkitoiminta käyttävät salausta eli meillä on jo nyt haaste käsillä. Lisätään tähän vielä se, että nimikyselyitä voidaan myös ohjata salatusti (DNS over HTTPS) Tämä on tuettu jo esim. Firefox-selaimessa. Ennustan talven lisäksi näkyvyyden rajoittumista dataverkoissa.
Kuoret ja ydin
Mitä sipulista jää jäljelle salauksen maksimoinnin jälkeen, on käytännössä kuoret ja ydin. Siis kryptopisteet eli päätelaite ja palvelin. Nyt näiden tietoturvan merkitys korostuu entuudestaan. Päätelaitteen tietoturvan muutos on ollut kova, johtuen esimerkiksi mobiliteetin kasvusta ja uusista päätelaitetyypeistä (IIOT, IOT). Salauksen purku konesalissa ja konesalin sisäisen liikenteen tarkkailu + todentaminen ovat nyt korkealla painoarvolla. Tämä muutos saattaa yllättää monet yritykset ja se kannattaa huomioida investointeja suunniteltaessa. Vaikka liikennettä ei voidakaan purkaa, se ei tarkoita sitä, että sitä ei voisi analysoida ja sen perusteella tehdä tietoturvaan liittyviä toimintoja. Tässä kohtaa uudet teknologiat kuten koneoppimiseen nojautuva salatun liikenteen analyysi tai käyttäjän käyttäytymiseen perustuva analyysi (User Behavior Analytics, UEBA) ovat varteenotettavia vaihtoehtoja uuden tietoturvatarpeen täyttämiseen.
Kumppani tarpeen mukaan
Keskustelin asiasta meidän tietoturvakonsultoinnin vetäjän Sami Sumkinin kanssa. Oma huoleni oli, onko meillä osaamista tähän ja osaammeko me tuoda asiat asiakkaittemme tietoon. Samin kommentti oli tässä harvinaisen selkeä: ”Hyvääkään uuden sukupolven tietoturvaa salatun maailman viidakossa ei voida tehdä, ellei toteuttava kumppani ole aidosti kiinnostunut ja ymmärrä asiakkaan sovelluksia ja liiketoimintaa. Tulevaisuudessa sovellusprofilointi ja sovellustietoisuus ovat yhä tärkeämpiä asioita. Atean konsultit ovat auttamassa asiakasta aina perusasioista vaativiin palvelukokonaisuuksiin. Ehkä peruskysymys tietoturvasta voisi olla vaikkapa se, että näkeekö asiakas verkostaan kaiken DNS-liikenteen? Se kun kertoo aika paljon. Entäpä salatun DNS-liikenteen tilanne. Onko se kunnossa?”
Jos asia alkoi kiinnostaa tai haluat lisätietoa, ota yhteyttä meidän konsultointiimme aiheen tiimoilta. Olemme muutoksessa mukana auttamassa asiakasta. Elämme jälleen kerran mielenkiintoisia aikoja tietoturvan ja dataverkkojen kehityksen kannalta.
