Käytöstä poistuvien palveluiden alasajo tulee tehdä huolella

Organisaatio hankkii suuresta, globaalista pilvestä, esimerkiksi Azuresta tai Amazonista, itselleen verkon ylitse käytettäviä palveluita. Organisaation nimipalveluissa luodaan DNS-tietue osoittamaan kohti kyseistä palvelualustaa, ja palvelualustalla tehdään kyseistä nimeä vastaava palvelu ja siihen liittyvä konfiguraatio. Esimerkinomaisesti extranet.example.com asetetaan osoittamaan Amazonin S3-palveluita kohti, ja Amazonin puolella luodaan http/s-pohjaista liikennettä kuunteleva instanssi vastaamaan ja tarjoamaan sisältöä, kun koko Amazonin S3-pilveä kohti tulee kyselyitä kyseistä osoitetta kohti.

Organisaatio päättää lopettaa kyseisen palvelun kokonaisuudessaan, ja irtisanoo Amazonilta palvelun ja poistaa palvelun konfiguraatiot pilvestä. DNS-osoitus jää kuitenkin voimaan kohti kyseistä pilveä. Hyökkääjä havaitsee tilanteen, ja pystyttää oman instanssinsa Amazonin pilveen alkuperäisen instanssin poiston jälkeen.

Tämän jälkeen hyökkääjä pystyy kontrolloimaan täysin extranet.example.com-sivustolla olevaa sisältöä, ja käyttämään sitä esimerkiksi tunnusten kalasteluun tai haittaohjelmien jakeluun. Organisaatio pystyy estämään tämän poistamalla extranet.example.com-osoituksen nimipalveluistaan, jolloin kyseiseen palveluun osuminen on käytännössä äärimmäisen epätodennäköistä. Suojaava toimenpide on yksinkertainen, mutta unohtuessaan mahdollistaa hyökkääjälle moninaisia toimenpiteitä.

Organisaatio on fuusioitunut vuoden varrella ja vaihtanut myös omaa nimeään. Osa palveluista on pystytetty aikanaan DNS-nimiin, jotka eivät ole enää aktiivisesti käytössä. DNS-tiedot joissain palveluissa ovat ketjuuntuneet mallilla organisaationuusinimi.com -> example.com -> IP-osoite. Koska organisaatio ei käytä enää osoitetta example.com aktiivisesti, se vanhenee vahingossa ja hyökkääjä rekisteröi osoitteen itselleen.

Hyökkääjä pystyttää haitallisia sivustoja ja sähköpostipalveluita kaappaamansa domainnimen alle, ja pääsee tämän jälkeen välikätenä joissain palveluissa kontrolloimaan käyttäjille näytettävää materiaalia; eli jakelemaan haittaohjelmia tai tekemään muita huijauksia. Hyökkääjä voi myös esiintyä organisaation vanhalla nimellä sähköpostin välityksellä, ja suorittaa vastaavia toimia sähköpostin kautta.

Ratkaisuna on hallita nimipalvelutietueiden ketjuja tehokkaasti ja välttää useita kerroksia tietueissa, ja pitää organisaation aiemmin käytössä olleet domainnimet rekisteröitynä organisaatiolle itselleen sopivaksi katsotun aikamäärän verran, esim. muutaman vuoden ajan. Vanhojen DNS-nimien alla ei tarvitse ajaa mitään palveluita, mutta kukaan muukaan ei pysty käyttämään niitä organisaation nimissä.

Organisaatiolla on käytössään etäkäyttöä varten VPN-palvelu omaan ympäristöönsä osoitteessa vpn.example.com. VPN-laite päätetään korvata tuoreella laitteella, ja sen tilalle rakennetaan uusi palvelu korvaamaan vanha samassa DNS-osoitteessa. Uusi palvelu pystytetään teknisistä syistä eri IP-osoitteeseen, ja muutoksen hetkellä nimipalvelutietue käännetään uutta laitetta kohti. Vanha laite jää kuitenkin käyntiin ja verkkoon, eikä siihen liittyviä konfiguraatioita pureta pois.

Hyökkääjä löytää vanhentuneen laitteen ja kartoittaa siinä olevat haavoittuvuudet verkkoskannauksen yhteydessä. Hyökkääjä murtautuu laitteeseen haavoittuvuuksien kautta, ja pääsee sitä kautta organisaation sisäverkkoon kiinni.

Ehkäisevinä toimenpiteinä vanhentuneet laitteet ja sovellukset tulee sammuttaa ja poistaa verkosta kokonaan. Kaikki niihin liittyvät käyttäjätunnukset ja järjestelmätilit tulee poistaa ajallaan. Verkkolaitteisiin ja verkkoliikenteeseen liittyvät konfiguraatiot tulee muuttaa muutoshetkellä vastaamaan vain haluttua tilannetta, ja konfiguraatiot kannattaa tarkastella uudelleen säännöllisin väliajoin. Organisaation käytössä olevia verkkoja kannattaa skannata laajasti ulkopuolelta mahdollisten avoimiksi jääneiden palveluiden löytämiseksi

Organisaatio päättää siirtää sähköpostipalvelunsa tarjoajalta toiselle. Uudet palvelut pystytetään uudelle tarjoajalle, ja yliheiton hetkellä postipalvelinten osoitteet ja muut postin kulkuun liittyvät päivitetään nimipalveluihin. Vanhat postipalvelut jäävät kuitenkin irtisanomatta ja purkamatta.

Hyökkääjä voi myös havaita, että vanhassa ympäristössä olevat postipalvelut ovat edelleen tuotannossa. Hyökkääjä voi tällöin yrittää tunkeutua niihin ja pyrkiä löytämään organisaation tiedoista jotain arkaluontoista tai muutoin hyväksikäytettävää, tai esiintyä kyseisiltä tileiltä muille samassa ympäristössä oleville organisaatioille alkuperäisen organisaation nimissä, pyrkien tällöin tekemään esimerkiksi laskutuspetoksia tai muita huijauksia.

Palveluiden siirroissa täytyy olla tarkkana, että palvelut myös irtisanotaan ja lopetetaan sovituilla hetkillä, jotta kuvattu tilanne vältetään. Vanhan tarjoajan kanssa kannattaa käydä keskustelu läpi, että millä hetkellä tapahtuu käytännössä mitäkin, ja milloin palvelu todella lakkaa olemasta.

Kyberturvallisuuskeskus suositteleekin organisaatioiden tilaus- ja päätäntävastuuhenkilöitä ja ylläpitäjiä käymään läpi ajatuksella palveluiden elinkaaren hallinnan prosessin ja siihen liittyvät käytännön toimenpidelistat elinkaaren eri vaiheissa. Tämän lisäksi säännöllisiä tarkasteluita palveluiden konfiguraatioista, esim. verkkoon, palomuuraukseen sekä nimipalveluihin liittyen, tulisi suorittaa määräajoin, jotta mahdollisia katveita ei pääse syntymään.