EMET jatkuvana palveluna

Edellisessä osassa käsittelimme työkalua kokonaisuudessaan, ja pohdimme mikä sen tarkoitus on. Pääsimme myös käsiksi EMET:n puutteisiin. Kuten aina, tarve synnyttää ratkaisuja. Niin myös tällä kertaa käärimme hihat, ja kehitimme oman tuotteen valvomaan ja raportoimaan EMET:n aisapariksi. Palveluamme varten asiakkaan ympäristöön pitää asentaa kehittämämme kevyt valvontasovellus. Alustaksi valitsemme Windows-palvelimen, mikäli mahdollista. Periaatteessa kuluttajapuolen Windows on myös mahdollinen alusta, kunhan voimme kerätä tapahtumalokeja valvotuilta työasemilta. Valvontasovellus siis kerää työasemilta EMET-datan ja lähettää sen päätietokantaamme.

Toisin sanottuna, saamme jokaiselta valvotulta työasemalta tiedon kaikista EMET-sovelluksen toiminnoista. Kun data vastaanotetaan järjestelmäämme, jokainen varoitus ja hälytys kulkee oman säännöstömme läpi, jonka perusteella tapahtumalle määritellään prioriteettiluokitus ja ratkaisuehdotus. Jatkuvasti kasvavan tietokantamme ansiosta mahdollisten tietoturvapoikkeamien havaitseminen ja korjaaminen helpottuvat. Tämä on suuri etu, sillä työaseman paikalliset EMET-tapahtumalokit ovat itsessään todella tulkinnanvaraista dataa.

EMET etsii tietoturvapoikkeamia, jolloin jokaisen hälytyksen taustalla ei ole välttämättä todellista tietoturvariskiä. Poikkeamia saattaa aiheuttaa sovelluksen epätavallinen käyttö, vääränlainen asennuspolku tai vaikka selaimen liitännäisen erikoinen käyttäytyminen. Palvelumme tarkoitus onkin osaltaan selvittää varoitusten ja hälytysten aiheuttaja ja korjata se mahdollisuuksien mukaan. Joissakin tilanteissa kannattaa siirtää tietynlainen hälytys niin sanotulle exclude-listalle.

Koska EMET kuitenkin toimii loppujen lopuksi työasemakohtaisesti, niin ainoastaan loppukäyttäjä saa ilmoituksen reaaliajassa, kun EMET sulkee sovelluksen. Tuotteemme ei vielä toistaiseksi saa tietoa reaaliaikaisesti EMET:n keskeyttämistä prosesseista.

emet1

Kuva 1. Valvontajärjestelmämme tapahtumaloki

Tämä on ollut tietoinen valinta, koska emme ainakaan toistaiseksi halunneet tehdä valvontaa client-pohjaiseksi. Ympäristön koosta riippuen kuitenkin saamme tiedon EMET-tapahtumista pääasiallisesti noin kahden tunnin viiveellä. Kriittisiin ja niin sanotusti käyttöä häiritseviin ilmoituksiin reagoimme nopeasti. Pyrimme palvelullamme siihen, että kun loppukäyttäjä saa ilmoituksen suljetusta prosessista, niin IT-tuki olisi tilanteen tasalla nopeasti, ja mahdolliseen ongelmaan olisi jo ratkaisu. Joissakin tapauksissa palvelussamme on myös mahdollista tiedottaa suoraan loppukäyttäjälle EMET:n toiminnasta. Palvelun ansiosta pystymme reagoimaan EMET:n tuottamiin tapahtumiin muutenkin kuin loppukäyttäjien vikailmoitusten perusteella.

emet2 emet3

Kuva 2 ja 3. Otteita valvontajärjestelmämme statistiikkanäkymistä

Käyttöönotto lyhyesti

EMET sisältää eri lievennystekniikoita, jotka määritellään erikseen päälle tai ei jokaiselle valvotulle sovellukselle . Microsoft tarjoaa kaksi eri asetusprofiilia. Toinen on suositellut sovellukset ja toinen on paljon käytetyt sovellukset. Käytännössä Microsoft antaa suositukset muutamalle kymmenelle sovellukselle siitä, mitä lievennyksiä niissä kannattaa käyttää. Muiden sovellusten kohdalla yhteensopivuustestaaminen on ehdottoman tarpeellista.

EMET-käyttöönotolla voidaan saada aikaan katastrofaalisia vaikutuksia, mikäli se vain jaellaan ja otetaan käyttöön. Jokainen ympäristö on erilainen, ja siksi EMET suositellaan otettavaksi käyttöön portaittain. Me olemme mielellämme mukana auttamassa ratkaisun käyttöönotossa. Kokemustemme mukaan riskien ja ongelmien mahdollisuudet ovat pienet, kun projektissa paloitellaan sovellukset, työasemat, lievennykset ja EMET-clientin toimintatila sopiviin jaksoihin.

EMET:iä on mahdollista suorittaa niin sanotussa auditointitilassa. Silloin voidaan tarkastella ”mitä jos” -näkökulmasta sovellusten käyttäytymistä eri tilanteissa.

Käyttöönottoprojektin suositeltu kesto on vähintään kuukausi. Käyttöönoton aikaa pidentää eniten se, kun odotamme testituloksia eri laajuisista pilottiryhmistä. Huolella toteutetussa projektissa pitää näet nimittäin antaa riittävästi aikaa, sille että loppukäyttäjät ehtivät käyttää EMET:n valvomia sovelluksia. Heti alussa onkin tärkeää kartoittaa sovellukset, mitä halutaan valvonnan piiriin. Microsoftin mukaan paras hyöty saadaan paljon käytettyihin ja useasti päivittyviin sovelluksiin. Microsoftin ylläpitämä suositeltujen sovellusten lista on kuitenkin hyvin rajallinen, joten muiden sovellusten on myös syytä mennä testiprosessien mukaisesti.

Huolellisen käyttöönoton pääasiallinen tarkoitus on välttää yhteensopivuusongelmat ja löytää mahdolliset poikkeamat aikaisessa vaiheessa. Käyttöönoton päätyttyä optimaalinen tilanne on sellainen, missä sanotut turhat hälytykset olisivat minimissään. Käyttöönoton päätteeksi onkin oiva tilanne jatkaa meidän tarjoamamme EMET-palvelun kanssa.

Haavoittuvuuden elinkaari

Kuva 4. Haavoittuvuuden elinkaari sovellus toimittajan (vas.) ja ylläpitäjän näkökulmasta.