Haavoittuvuuksien etsintä on tietoturvan next level

Niin ja onhan toki vielä kolmaskin vaihtoehto eli leikkiä kuollutta ja toivoa, että ongelma korjaantuu itsekseen. Se ei kuitenkaan ole kovin tehokas eikä suositeltava tapa. Tottakai toinen vaihtoehto eli aktiivinen toimintatapa on paras. Kun niin sanotuista perusasioista on yrityksessä huolehdittu, ei kuitenkaan kannata jäädä tyytyväisenä odottelemaan huomista. Aktiivisilla turvallisuuden kehittämisen toimilla organisaation tietoturvaa voidaan entisestään parantaa. Mutta miten?

Vaihtoehtoja löytyy. Blue, purple ja red teaming on toimintaa, jossa yritys tilaa yksittäisen tai useampia tahoja eri menetelmin ja toimintamallein varustautuneena etsimään haavoittuvuuksia ja raportoimaan niistä. Näin on mahdollista löytää paljon tuloksia, mutta toiminnan varjopuolena on työläydestä johtuvat korkeat kustannukset sekä se, että kustannuksia syntyy riippumatta siitä, löytyykö haavoittuvuuksia.

Bug bounty puolestaan on eräänlainen erikoistapaus edellä mainitusta toiminnasta. Siinä tiettyä nimettyä järjestelmää tai muuta rajattua kohdetta voidaan testata siten, että palkkioita metsästävät hyvishakkerit eli valkohattuhakkerit etsivät haavoittuvuuksia, raportoivat niistä vastuullisesti ja saavat löydöksistään palkkion.

Digimaailman palkkasoturit avuksi

Bug bountyssa eli haavoittuvuuspalkkio-ohjelmassa käytetään useimmiten kolmatta osapuolta, esimerkiksi HackerOnea, joka toimii välittäjänä sekä tuloksille että korvauksille ja huolehtii, että kaikki menee molempien osapuolten näkökulmasta sääntöjen mukaan. Joskus järjestetään myös tapahtumia, joissa hyvishakkerit tulevat tiimeineen paikalle ja tekevät tarkastusta kilpailullisesti toisiaan vastaan reaaliaikaisesti. Tällöin kyseessä on yleensä HackDay.

Ketä nämä digimaailman palkkasoturit sitten ovat? Monet heistä työskentelevät turva-alalla. Jotkut taas ovat aivan erilaisissa tehtävissä tähän harrastukseen nähden, mutta jahtaavat haavoittuvuuksia mielen virkistykseksi. Sitten on itseoppineita, nuoria ja vanhoja, niitä, jotka eivät voi tai halua välttämättä sitoutua tiettyyn työnantajaan ja hankkivat elantonsa työllistämällä itse itsensä. Varsinainen päivätyö voi siis olla turvallisuusalalla Lontoossa tai vuohipaimenena pakistanilaisessa pikkukylässä. Parhaiden tienestit ovat satoja tuhansia dollareita vuodessa. Se edellyttää kuitenkin jo melkoista omistautuneisuutta alalle.

Kenelle bug bounty -ohjelma sopii?

Sanoisin, että haavoittuvuuspalkkio-ohjelma soveltuu parhaiten organisaatiolle, joka on jo suhteellisen kypsällä tasolla oman turvallisuuden hallintansa kanssa ja jolla on jokin rajattavissa oleva tuote, järjestelmä tai palvelu, jonka turvallisuudesta halutaan vakuuttua. Kypsä taso turvallisuudessa tarvitaan siksi, että perusasiat kannattaa olla kunnossa ensin. Muuten raportteja (ja kuluja) tulee liikaa ihan helpoistakin asioista, jotka olisi voinut hoitaa kuntoon jo talonpoikaisjärjelläkin. Tässäkin asiassa kannattaa oppia kävelemään ensin ja juosta vasta sitten.

Sama koskee toki haavoittuvuuksien aktiivista etsimistä yleensäkin. Ensin hyvän kumppanin, kuten Loihteen, kanssa korjataan perusongelmat pois, sitten nostetaan oman turvallisuusorganisaation kyvykkyyttä purple/red team -operaatioilla. Näiden operaatioiden päätavoitteena tulisi olla oppiminen, ei esimerkiksi ihmisten nöyryyttäminen keskittymällä pelkkiin virheisiin. Avainjärjestelmien bug bountyillä voidaan sitten vielä tehdä havaintoja, jotka omalla väellä olisivat ehkä jääneet huomaamatta. Silloin, kun suojattavana on huipputärkeitä etuja, myös suojaustoimien pitää olla huippuluokkaa.

PS. Haastattelin taannoin Vireillä-podcastiin kahta suomalaisen tietoturvakentän pioneeria: LähiTapiolan CSO Leo Niemelää ja Loihde Trustin kyberturvapalveluista vastaavaa johtajaa Benjamin Särkkää. Nämä kokeneet konkarit olivat kanssani puhumassa bug bountystä ja muista aktiivisen turvallisuuden kehittämisen toimista. Jakson pääset kuuntelemaan tästä.