Testi võrgu turvalisust ametliku sissemurdmisteenusega

Firma infosüsteemi turvalisust on edukalt võimalik kontrollida ekspertide poolt läbi viidud ametliku testi abil. See on seaduslik, silmnähtavate tulemustega ja enamasti kulub selleks vähem raha kui uue personaalarvuti soetamiseks. Ära oota, kuni tõelise kräkkeri rünnak ettevõtet tabab, lase sissetungi testida spetsialistidel.

Penetration testi nime all tuntud teenuse pakkumisele eelneb alati konfidentsiaalsuse leping ja mõlema poole mängureeglite paikapanemine. See tagab ettevõttele kindluse ja soovitud tulemused.

Kuigi Eestis on Penetration test ehk kommertslik sissemurdmise teenus üsna uudne mõiste, on see mujal maailmas juba pikemat aega kasutusel ning üsna laialt levinud moodus infosüsteemi turvalisuse kontrolliks. Seda kasutatakse nii era- kui valitsusasutustes. Näiteks mõiste Tiger Team (tiigermeeskond) pärineb USA sõjaväest, kus sellised meeskonnad on sissemurdmise testide teostamiseks spetsiaalselt välja treenitud. Infosõjandusest pärinevad ka mõisted Punane ja Sinine Tiim (Red and Blue Team). Sinine ja Punane Tiim mängivad küberlahingutes vastaspooli.

Kommerts-sissemurdmise teenuseid pakuvad mitmed välismaised andmeturbefirmad. Eestis pole see teenus eriti levinud. Ehkki firmadele on Eestis sarnast teenust ka varem pakkuda lubatud, ei ole asi sõnadest eriti palju kaugemale jõudnud.

Sissemurdmise testi käigus imiteeritakse kräkkerite tegevust ja mõtteviisi, et lagedale tuua puudujääke ettevõtte infosüsteemi välise perimeetri kaitses. Iga test on erinev ning paindlik, kujundatud sõltuvalt kliendi soovidest ja ülesande eripärast.

Sissemurdmistesti tulemuseks on detailne raport tegevusest, sissemurdmisel avastatud puudustest ja soovitustest süsteemi turvalisuse parandamiseks. Internetis ei pidurda võrukaelasid riigipiirid ega geograafiline vahemaa. Ükskõik milline kräkker võib oma ohvriks valida mistahes Internetti ühendatud arvuti. Ohvriks võib saada ka sinu firma ja tihtipeale ilma sinu enese teadmata.

ATTRTION.ORG arhiivide kohaselt on alates 1999. aastast edukalt sooritatud rünnakuid .EE ehk Eestis asuvate domeenide vastu küll vaid 17 juhul, kuid see on vaid jäämäe tipp ja pealegi osa rünnakutest, mille sooritajad seda avalikult on kuulutanud. Lähemalt vaata www.attrition.org/mirror/attrition/ee.html .

Riigipiiridest rääkides võib erandiks lugeda küll näiteks Hiinat, kes siiani on põhiliselt keskendunud läänelike maailmavaadete sissetungi piiramisele Interneti kaudu ja on nüüd koostöös Kanada ühe suurima firmaga Nortel Networks alustanud uue ?Hiina Müüri? ehk tulemüüri ehitamist.

Infosüsteemide turvalisuse testimine on tänapäeval igati tervitatav ja oluline tegevus. Tihti leitakse selle abil üles varju jäävad kitsaskohad. Siiski pole see imerohi. Esiteks ei anna ükski test garantiid ei kõigi tänaste ega veel vähem homsete nõrkuste vastu, kuna neid tekib pidevalt juurde. Teiseks saab testi käigus vaadelda vaid süsteemide hetkeolukorda. Iga väiksemagi muutuse korral tuleks teoreetiliselt testi korrata, kuna ka väike muutus võib turvalisusele saatuslikuks saada. Kolmandaks koosneb süsteemi turvalisus palju rohkematest tahkudest, nt testiga ei võeta arvesse organisatsioonilisi nõrkusi või ebalojaalseid töötajaid. Hea läbivustest võib süsteemi turvalisust küll parandada, kuid on efektiivseim koos teiste komponentidega, nt turbepoliitika ja auditid.

Võrkutungimise testimine on Eestis suhteliselt uus teenus. Ettevõte võib oma võrgu turvalisuse kontrolliks lasta seda teha kolmandal osapoolel nn eetilise häkkimisega. Selleks osutatakse kliendile vastavat teenust, tulemustest koostakse raport ja aidatakse nõrgad kohad likvideerida. Testi käigus tuleb ilmsiks väga sensitiivne informatsioon, sellepärast peab teenusepakkuja olema tellijale usaldusväärne. Teenusepakkuja valikul tuleb silmas pidada tema eelnevat kogemust. Penetration testi tarkvara peaks olema juhtiva, spetsialiseerunud tootja valmistatud. Ettevõtetes, kus esitatakse turvalisusele väga kõrged nõudmised, oleks mõistlik soetada turbehindamise tarkvara ning sellega võrku perioodiliselt testida.

Käesoleva loo autor on saanud infosõja alase praktilise ja teoreetilise koolituse USA sõjaväeakadeemiast.

Autor: Mehis Hakkaja (Tha HaKK)