Blogin on kirjoittanut Centeron oma EMET-velho, Tuukka Tiainen. Suurimmaksi osin Tuukan käsialaa on esimerkiksi myös vuosittain julkaistava Centeron Patch Management -vertailu.

Mitä mä just luin?

Heh. Niin. EMET eli Enchanted Mitigation Experience Toolkit on Bing Translatorin suomentamana suurin piirtein lumotun kokemuksen lieventämisen työkalupakki. Tämä ei ehkä kuvaa tuotteen käyttötarkoitusta parhaimmalla mahdollisella tavalla. Vai kuvaako? Liittyykö asiaan magiikkaa? Se selviää, kun luet eteenpäin.

EMET on Microsoftin ilmainen tietoturvasovellus, jolla pyritään estämään sovellusten ja käyttöjärjestelmän haavoittuvuuksien hyväksikäyttöä. Tämä ratkaisu tuo etulyöntiaseman erityisesti korjaamattomien haavoituttavuuksien suhteen. Heti alusta alkaen tulee ymmärtää, että EMET ei suojaa kaikelta. Se antaa kuitenkin lisämahdollisuuden pysäyttää ja hidastaa hyökkäyksiä, mikäli ne ovat päässeet jo muun tietoturvakerroksen ohi.

Haavoittuvuuden elinkaari

Kuva 1 – Vasemalla haavoittuvuuden elinkaari haavoittuvuuden näkökulmasta ja oikealla IT-ylläpitäjän näkökulmasta. Klikkaamalla kuvaa, saat sen isommaksi.

Kuten sanottua, EMET tuo ikään kuin yhden kerroksen lisää haavoittuvuuksien hallintaan. Se tarkkailee muistia käyttäviä sovelluksia ilman tarvetta päästä sovelluksen lähdekoodiin. Käytännössä valvottu prosessi suljetaan, jos havaitaan tietoturvapoikkeama. EMET ei siis ole virustorjuntaohjelmisto, koska se ei perustu samalla tavalla tunnisteisiin. Se pikemminkin tutkii valvottujen sovellusten käyttäytymistä tiettyjen lainalaisuuksien puitteissa. Tätä turvallisuusratkaisua suositellaan käytettäväksi lisänä muiden tietoturvaratkaisuiden kanssa kuten antivirus-ohjelmat ja palomuurit. Toki on oleellista, että ympäristö on muutenkin ajan tasalla. Käyttöjärjestelmän ja 3. osapuolten sovellusten pitäisi olla myös uusimmissa versioissa. Tähän ratkaisuna on esimerkiksi Centero Software Manager (CSM).

Sovellusten hyväksikäyttö

Kuva 2 – Haavoittuvuuden hyväksikäytön yleinen malli

Hyödyt kun EMET on käytössä

Sovelluksien ja käyttöjärjestelmien tarkkailuun on ajan mittaan tullut lisää eri tekniikoita. Niin sanottu mitigation voidaan suomentaa lievennykseksi. Näitä lievennystekniikoita ovat muun muassa

  • DEP,
  • SEHOP,
  • EAF,
  • Heapspray ja
  • Mandatory ASLR.

Tarkemmin niiden toimintatavat on selitetty Microsoftin ylläpitämässä EMET-manuaalissa. Pääasiallisesti eri lievennykset tutkivat ja estävät sovellusten muistinkäytössä tapahtuvia hyökkäyksiä.

EMET:n avulla saadaan lisäturvaa useasti päivittyvien sovellusten käyttöön. Toisaalta myös niin sanotut iäkkäät legacy-applikaatiot saavat lisäturvaa, kun ne otetaan EMET-valvonnan piiriin. Joissakin tilanteissa voi olla mahdollista, että syystä tai toisesta joudutaan käyttämään niin sanottuja ”down-level” käyttöjärjestelmiä tai sovelluksia. Tämä tarkoittaa toisin sanottuna vanhentuneita versioita, jotka eivät välttämättä ole enää minkään tuen piirissä. Kaikkien sovelluksien koodia ei myöskään ole välttämättä käännetty käyttäen CFG:tä. EMET tuo lisäturvaa edellä mainittuihin tilanteisiin.

Miellyttävä seikka on tämän ratkaisun keveys. Se ei vie työasemakohtaisesti juuri ollenkaan resursseja. Kovalevytilaa työasemalta se vie reilut 20 Mt, eikä Microsoft listaa mitään vaatimuksia muistinkäytön tai prosessoriajan suhteen. Omien testiemme perusteella keskusmuistia EMET-prosessi ja -palvelu varaa yhteensä noin 20-30 Mt.

Yksi mielenkiintoinen näkökulma löytyy myös Centero Software Managerin ja EMET:n yhteispelistä. Pyrkimyksemme on CSM:n kautta tehdä sovellusten päivitystenhallinta mahdollisimman helpoksi. Tiedämme kuitenkin, että haavoittuvuuden löydettyä päivityksen saaminen loppukäyttäjän työasemalle ei tapahdu välittömästi. Näin ollen voidaan todeta CSM:n ja EMET:n olevan hyviä kavereita keskenään. CSM tuottaa nopeasti laadukkaita hyvien yrityskäytänteiden mukaisia sovelluspaketteja usein päivittyviin sovelluksiin. Ne yhdessä muiden tietoturvaratkaisuiden kanssa luovat työasemille edellytykset erinomaiselle tietoturvalle.

Haasteet

Paloalto, jonka tuote Traps tekee osittain samaa asiaa kuin EMET kuvailee Microsoftin ratkaisua työkaluksi, joka on suunnattu erittäin kokeneille käyttäjille. Heidän mielestään EMET ei myöskään tarjoa syvyyttä turvallisuuteen eikä keskitettyä hallintaa. Olemme tiedostaneet osittain samoja puutteita ja sen takia lähdimme kehittämään omaa tuotetta ja palvelua korjaamaan tiettyjä asioita.

Mielestämme EMET kuitenkin tuo syvyyttä yrityksen turvallisuusratkaisuihin siinä mielessä, että se tarjoaa ilmaisena sovelluksena mahdollisuuden hidastaa ja estää haittaohjelmia tekemästä tuhoja ja leviämästä laajemmin. EMET on kohtuullisen helppo asentaa työasemakohtaisesti. Yrityskäytössä on kuitenkin tärkeää saada sovellus jaeltua työasemille keskitetysti ja sen jälkeen myös hallita sitä. Microsoft tarjoaa ohjelmasta MSI-paketin, jonka avulla sovellusjakelu voidaan tehdä keskitetysti. Jakelua varten pitää tietenkin olla joku jakelukanava, mutta se on asia erikseen. Jakelun voi tehdä esimerkiksi Centero Software Managerin avulla, jos varsinainen jakelujärjestelmä tai Active Directory -jakelu ei ole mahdollinen.

Kun EMET-sovellus on jaeltu työasemille, se tarvitsee säännöstöt siitä, mitä lievennyksiä tarkkaillaan missäkin sovelluksessa. Asetuksissa määritellään sen lisäksi käyttöjärjestelmätason lievennykset ja joitakin muita asioita. Nämä säännöt voidaan määritellä asennuksen yhteydessä XML-tiedostona. Mikäli ympäristössä on käytössä Active Directory, niin suosittelemme sääntöjen hallitsemista group policy -objekteilla (GPO). Se on keskitetyn hallinnan kannalta paras tapa, minkä Microsoft EMET:lle tarjoaa.

Kun sovellus on työasemilla asetuksineen, niin voidaan sanoa, että EMET on asennettu ja määritelty keskitetysti. Tässä vaiheessa työasemalla tapahtuu aktiivista valvontaa käyttöjärjestelmän laajuisesti ja sovelluskohtaisesti. Microsoftin EMET ei ikävä kyllä tarjoa keskitettyä valvontaa ja raportointia.

Blogin seuraavassa osassa tutustutaan siihen, miten EMET voidaan ottaa organisaatiossa käyttöön ja miten me olemme taklanneet tämän hetkisiä puutteita EMET:ssä.

Jos kiinnostuit muuten EMET:istä, ole ihmeessä yhteyksissä blogin kirjoittajaan tai Centeron myyntiin.