jannenevalainen.com logo
kyberturvallisuus blast radius jannenevalainen.com

Blast radius

Englanninkielinen termi ”Blast radius” viittaa alunperin fyysiseen maailmaan. Termillä on ensisijaisesti tarkoitettu aluetta ja etäisyyttä joka on räjähteen vaikutusalueella. Sama termi on myös vakiintunut kyberturvallisuudessa kuvaamaan vahingon laajuutta joka voi aiheutua esimerkiksi kyberhyökkäyksen seurauksena.

Blast radius -termi kuvaa siis tietoympäristössä sitä kuinka laajalle yksittäinen tietoturvahäiriö voi levitä organisaation verkossa, laitteissa ja tietojärjestelmissä. Toisin kuin fyysisessä maailmassa jossa räjähdysalue on helposti havaittavissa ja arvioitavissa, kyberturvallisuuden vaikutusalue voi edetä hyvinkin moninaisia reittejä ja sillä voi olla heijastusvaikutuksia myös organisaation ulkopuolisiin osapuoliin esimerkiksi toimitusketjuhyökkäyksien muodossa. Yksittäinen saastunut tietokone voi toimia lähtökohtana organisaation laajuiseen kyberhyökkäykseen jonka kohteena voivat olla niin organisaation käyttäjäidentiteetit, tiedostot, tietokantapalvelimet, laitteet kuin tietoliikenneverkkokin.

Esimerkkejä kyberhyökkäyksen blast radius -vaikutuksesta voivat olla esimerkiksi seuraavat kuvitteelliset (mutta täysin mahdolliset) tapahtumat:

  1.  Kyberhyökkäys organisaation sisäisiin järjestelmiin. Hyökkääjä on saanut kalasteluviestin avulla käsiinsä kohdeorganisaation käyttäjätunnuksen jolla on myös ylläpito-oikeudet paikallisiin järjestelmiin. Tunnuksen avulla hyökkääjä saa täyden hallinnan organisaatioon ja sen tietoihin. Varastettuaan tarpeelliset tiedot hyökkääjä käynnistää vielä ransomware -hyökkäyksen joka lukitsee kohdeorganisaation järjestelmät. Yhden kalasteluviestin blast radius oli siis hyvin merkittävä organisaation sisäisen toiminnan kannalta.
  2. Toimitusketjuhyökkäys. Hyökkääjä on onnistunut tunkeutumaan sovelluskehittäjän järjestelmään haavoittuvuutta hyödyntäen. Yrityssalaisuuksien varastamisen lisäksi hyökkääjä saastuttaa asiakkaille kehitetyn sovelluksen haittaohjelmalla joka asentuu ohjelmistotoimittajan asiakkaiden ympäristöön seuraavan päivityksen yhteydessä. Vaikutusalue siis leviää organisaation sisäisen toiminnan vaarantumisen lisäksi myös asiakasympäristöihin. Ohjelmistoimittajan mainehaitan lisäksi hyökkäyksellä voi olla vakavia vaikutuksia myös asiakasympäristöjen turvallisuudelle.
  3. Kriittiseen infrastruktuuriin kohdistuva isku. Verkkolaitevalmistajan ilmoittamaa kriittistä haavoittuvuutta käytetään välittömästi kohdistetussa hyökkäyksessä kriittisen infrastruktuurin toimijaa kohtaan. Onnistuessaan hyökkääjä saa kohdeverkon haltuunsa, saaden näin aikaan laajoja katkoja valtiollisessa infrastruktuurissa jolloin vaikutukset voivat olla todella kauaskantoisia.
 
Modernissa tietoturva-ajattelussa onkin tärkeää ottaa huomioon myös se, kuinka pitkälle laineet lyövät laiturissa jos kaikista puolustuskeinoista huolimatta kyberhyökkäys onnistuu. Tästä syystä suunnitelman tekeminen ei ole vain tekninen kysymys vaan se on organisaation laajuinen strategia jonka laatimiseen myös johtoryhmä osallistuu.

Turvaa ja mitigoi

Kyberhyökkäyksien vaikutusalue voi siis valmistautumattomassa organisaatiossa olla hyvinkin laaja. Vaikka kyberiskun mahdollisuutta ei voi koskaan täysin mitätöidä, kyberiskun vaikutusaluetta voidaan kuitenkin pienentää useilla eri tavoilla. Alla muutama esimerkki kuinka iskun vaikutusta voidaan pienentää:

 

  1.  Yrityksen resurssien segmentointi on tärkeää turvallisuuden kannalta. Esimerkiksi yritysverkon segmentointi eri segmentteihin estää hyökkääjän esteettömän pääsyn kaikkiin verkon resursseihin ja  kriittinen osa verkosta voidaan eristää tuotantoympäristöstä. Verkko on varmasti yksi yleisimpiä segmentoinnin kohteita mutta sitä voidaan hyödyntää myös muissa järjestelmissä. Esimerkiksi Microsoft 365 -hallintatunnuksien eriyttäminen erillisiksi pilvihallintatunnuksiksi on suositeltavaa jotta hyökkääjä ei pääse laajentamaan hyökkäystään Active Directorysta Microsoft 365:een synkronoitujen hallintatunnusten kautta.
  2. Zero Trust -ajattelumallin perimmäinen idea on ”never trust, always verify”. Pääsy ympäristöön arvioidaan usean kriteerin perusteella ja mihinkään ei luoteta. Termiä on viime vuosina käytetty jo kyllästymiseen saakka mutta sille on hyvä syy. Oikein käytettynä Zero trust antaa hyvän pohjan tehokkaalle turvallisuudelle. Ja maailma ei ole Zero Trustinkaan osalta valmis. Monessa organisaatiossa esimerkiksi yrityksen sisäverkko nauttii edelleen erityistä luottamusta joka voi osaltaan aiheuttaa useita riskejä.
  3. Tehokas käyttöoikeuksien hallinta on tehokas toimi blast radiuksen pienentämisessä. Varsinkin pilviympäristössä murrettu identiteetti saattaa antaa todella laajan pääsyn erilaisiin organisaation resursseihin joten on tärkeää varmistaa että käyttäjillä on pääsy vain siihen dataan johon heillä on perusteltu tarve. Käyttöoikeuksien hallinta ulottuu myös ylläpitotileihin. Ylläpitotilien tulisi olla erillisiä tunnuksia jotka voidaan ottaa käyttöön esimerkiksi erillisellä PIM (Privileged Identity Management) -prosessilla.
  4. Käyttöympäristön tehokas valvonta on oleellisessa roolissa tilannekuvan luomisessa. On tärkeää käyttää tuotetta joka tarjoaa laajan näkyvyyden organisaation hyvinkin pirstaleiseen käyttöympäristöön (esimerkiksi Microsoft Sentinel)
  5. Organisaation sisäinen riskienhallintaprosessi auttaa tunnistamaan ja arvioimaan kyberuhkia. Parhaimmillaan riskienhallinta saattaa ehkäistä kyberuhkia ennen kuin niistä tulee varteenotettavia ongelmia.
  6. Ennalta määritelty varautumissuunnitelma auttaa kyberhyökkäyksen tapahtuessa. Varautumissuunnitelman tulisi sisältää prosessit vaikutusten minimoimiseksi rooleineen, vastuineen ja toimenpiteineen. Suunnitelmaa on hyvä myös testata säännöllisin väliajoin kyberharjoitusten kautta. Esimerkiksi Kyberturvallisuuskeskuksen sivuilta löytyy skenaariopankki ja ohjeita kyberharjoituksen järjestämiseen.

Minimoi vaikutukset

Yhteenvetona voidaan todeta, että blast radius -käsitteen ymmärtäminen on olennaista nykyaikaisessa tietoturvassa. Termi muistuttaa meitä siitä, että yksittäinen tietoturvaloukkaus voi saada aikaan laajoja vaikutuksia, jotka ulottuvat organisaation koko verkostoon ja sen ulkopuolelle. Tietämyksen ja oikeiden käytäntöjen avulla voimme kuitenkin vähentää blast radius -vaikutuksia ja suojata organisaaation arvokkaita resursseja entistä tehokkaammin.

RSS Kyberturvallisuuskeskus
Artikkelit
Sanapilvi
apt Azure AD CVE CVSS forms identiteetti intune kyberrikollisuus kyberturvallisuus kyberturvallisuussuunnitelma MFA Microsoft 365 Microsoft 365 Business Premium Mitä kuuluu Microsoft Passwordless Salasanat Stream supply chain attack Teams tietoturva tuottavuus ubuntu Windows 11 yleinen

Copyright jannenevalainen.com. All rights reserved

Youtube Linkedin

Tietosuojaseloste