Sisältöön

Kiina on globaali uhka - SecMeter

Ohita valikko
Ohita valikko

Kiina on globaali uhka

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
Kiina on globaali uhka



Miksi Kiina muodostaa globaalin kyberuhkan?

  • Kiinan valtio tukee järjestelmällisesti APT-ryhmiä, jotka toimivat pitkäjänteisesti, strategisesti ja runsailla resursseilla.
  • Hyökkäykset kohdistuvat globaaleihin kohteisiin, eivät vain Aasiaan: Eurooppaan, Pohjois-Amerikkaan, Afrikkaan ja muihin alueisiin.
  • Kohteina ovat teleoperaattorit, liikenne, hallinto, puolustus ja yritykset, toiminta on laaja-alaista ja sektorirajat ylittävää.
  • Yhdysvaltain, Ison-Britannian, EU-maiden ja myös Suomen viranomaiset ovat nimenneet Kiinan yhdeksi vakavimmista kyberuhkista.
  • Kyberoperaatiot kytkeytyvät Kiinan strategisiin tavoitteisiin: taloudellinen kilpailu, sotilaallinen tiedustelu ja teknologisen etumatkan tavoittelu.

Kiinan valtion tukemat kybertoimijat ovat nousseet yhdeksi merkittävimmistä globaaleista tietoturvauhkista. Kansainvälinen kyberturvallisuusraportti 2025, jonka ovat julkaisseet muun muassa Yhdysvaltain, Ison-Britannian, Saksan ja Suomen viranomaiset, osoittaa kuinka järjestelmällisesti ja pitkäjänteisesti Kiinan tiedustelun alaiset ryhmät murtautuvat kriittisiin verkkoihin. Lähde: (Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide (syyskuu 2025, Yhdysvallat, Iso-Britannia, Saksa, Suomi).

Raportin mukaan kyse ei ole yksittäisistä hyökkäyksistä vaan strategisesta, valtiojohtoiseen tiedusteluun liittyvästä toiminnasta, jonka vaikutukset ulottuvat ympäri maailmaa.

Globaalin verkkoarkkitehtuurin turvaaminen edellyttää kaikkien osapuolien sitoutumista, resurssien kohdentamista ja pitkäjänteistä kansainvälistä yhteistyötä. Ilman tätä yhteistä panostusta kriittinen infrastruktuuri pysyy haavoittuvana, ja kybervakoilu jatkaa kasvuaan osana suurvaltojen välistä kilpailua.

Kiinan valtiolliset kyberoperaatiot edustavat todellista uhkaa, jossa teknologia, geopoliittiset tavoitteet ja tiedustelutoiminta kietoutuvat yhteen.

Kiina on toimillaan osoittanut, että kyberavaruus on keskeinen väline tiedustelussa ja voimankäytössä. Tämä tarkoittaa, että kyberturvallisuus ei ole vain yrityksille kuuluva tekninen kysymys, vaan olennainen kansallinen ja strateginen prioriteetti.

Raportin mukaan Kiinan kybertoimijat kohdistavat hyökkäyksiään erityisesti teleoperaattoreihin ja verkkojen ydinlaitteisiin, kuten runko- ja reuna-alueiden reitittimiin. Näiden laitteiden kompromissilla voidaan hallita koko verkon liikennettä ja avata pääsy asiakkaiden järjestelmiin.

Hyökkääjät käyttävät hyväkseen tunnettuja ohjelmistohaavoittuvuuksia, joita ei ole korjattu, sekä heikkoja salasanoja ja oletusasetuksia. Tämä kertoo siitä, että yritykset eivät ole riittävästi huomioineet kyberturvallisuuteen kohdistuvia uhkia.

Teknisesti hyökkäykset sisältävät useita elementtejä, kuten pakettikaappausten käyttö tunnusten varastamiseen, piilotettujen käyttäjätilien luominen, hallintaporttien avaaminen epätyypillisille porteille sekä salattujen tunnelien hyödyntäminen tiedonsiirrossa. Lisäksi hyökkääjät käyttävät virtualisoituja kontteja, joiden avulla heidän toimintansa on vaikea havaita normaalin järjestelmänhallinnan seasta. Hyökkäysten vaikutukset ovat monitasoisia.

  • Ensinnäkin ne vaarantavat kriittisen infrastruktuurin toimintavarmuuden. Telekommunikaatio, liikenne ja hallinnon tietojärjestelmät voivat altistua vakoilulle ja häiriöille.
  • Toiseksi ne mahdollistavat yksityiskohtaisen tiedonkeruun kansainvälisestä liikkumisesta, viestinnästä ja päätöksenteosta, mikä antaa Kiinalle merkittävän strategisen edun.
  • Kolmanneksi toiminta heikentää luottamusta globaaliin verkkoarkkitehtuuriin, sillä mikä tahansa organisaatio voi olla kohteena riippumatta sen sijainnista.

Raportti korostaa, että kyberturvallisuuden tehokkain puolustus tapahtuu perustasolla.

  • Olennaista on järjestelmien päivittäminen, konfiguraatioiden tarkastaminen ja hallintaprotokollien koventaminen.
  • Reitittimien ja muiden kriittisten laitteiden lokit tulee auditoida säännöllisesti, ja hallintayhteydet on rajattava vain valtuutettuihin verkkoihin.
  • Lisäksi yritysten on investoitava henkilöstön koulutukseen ja varmistettava, että ne pystyvät havaitsemaan poikkeavaa liikennettä.
  • Kansainvälinen yhteistyö on välttämätöntä, sillä hyökkäykset ovat globaaleja ja rajat ylittäviä.
Kiinan valtiolliset kyberoperaatiot
Kiinan valtion tukemat toimijat (APT) murtautuvat globaaleihin verkkoihin osana pitkäaikaista vakoiluohjelmaa. Kohteina ovat telekommunikaatio, hallinto, liikenne, majoitus ja sotilaallinen infrastruktuuri.

Tavoitteena on pysyvä pääsy verkkoihin, tietojen varastaminen, liikkumisen seuranta, kommunikaation valvonta.

APT-toimijat ovat toteuttaneet haitallisia operaatioita maailmanlaajuisesti ainakin vuodesta 2021. Toiminta on yhdistetty useisiin Kiinassa toimiviin yhtiöihin, kuten:

  • Sichuan Juxinhe Network Technology Co. Ltd.
  • Beijing Huanyu Tianqiong Information Technology Co., Ltd.
  • Sichuan Zhixin Ruijie Network Technology Co., Ltd.

Nämä yritykset tarjoavat kyberpalveluja Kiinan tiedusteluviranomaisille, kuten Kansan vapautusarmeijan (PLA) yksiköille ja Valtion turvallisuusministeriölle (MSS).

Ulkomaisilta teleoperaattoreilta ja internet­palveluntarjoajilta sekä matkailu- ja liikennesektorin toimijoilta varastettu tieto antaa Kiinan tiedustelulle kyvyn tunnistaa ja seurata kohteidensa viestintää ja liikkeitä maailmanlaajuisesti.

Miten Kiina toimii?

  • Hyökkäykset kohdistuvat verkkojen ydinlaitteisiin (runkoreitittimet, PE/CE-reitittimet).
  • Hyökkäyksissä käytetään tunnettuja haavoittuvuuksia (CVE) ja heikkoja salasanoja.
  • Luodaan piilotettuja käyttäjätilejä, avataan portteja ja käytetään tunneleita (GRE, IPsec).
  • Hyödynnetään virtualisoituja kontteja (esim. Cisco Guest Shell) havaitsemisen välttämiseksi.
  • Varastetaan tunnuksia esim. TACACS+ -pakettikaappauksilla.

Mitä vaikutuksia hyökkäyksillä on?

  • Laaja-alainen ja pitkäkestoinen uhka yksittäisten hyökkäysten sijaan.
  • Havaitseminen vaikeaa, koska toiminta naamioidaan normaaliin liikenteeseen.
  • Hyökkäyksillä saadaan aikaan globaali ulottuvuus, joka uhkaa useita maita, sekä julkisen että yksityisen sektorin toimijoita.
  • Tarjoaa mahdollisuuksia häiritä kriittisiä yhteyksiä ja palveluita.
Tehtävälista
  1. Päivitä kaikki verkon reuna­laitteet (reitittimet, palomuurit, VPN-portaalit) välittömästi. Seuraa CISA:n Known Exploited Vulnerabilities -listaa.
  2. Auditoi reitittimien asetukset, lokit ja tunnukset ja etsi luvattomia muutoksia.
  3. Rajoita hallintayhteydet vain valtuutettuihin osoitteisiin, käytä SSHv2/HTTPS/SNMPv3.
  4. Havaitse poikkeavat yhteydet (esim. TACACS+ ulospäin, epätavalliset portit).
  5. Jaa havaintoja ja noudata viranomaisten ohjeita (CISA, NSA, Traficom jne.).

CISA:n Known Exploited Vulnerabilities (KEV) -lista on Yhdysvaltain kyberturvaviranomaisen (Cybersecurity and Infrastructure Security Agency, CISA) ylläpitämä tietokanta, johon on koottu haavoittuvuuksia, joista on vahvistettu olevan aktiivisia hyökkäyksiä.

Listalla ei ole vain teoreettisia haavoittuvuuksia, vaan sellaisia, joita hyökkääjät oikeasti käyttävät hyväkseen.

CISA velvoittaa kaikki Yhdysvaltain liittovaltion virastot paikkaamaan listan haavoittuvuudet määräajassa, mutta lista on julkinen ja hyödyllinen myös yrityksille.

Jokaisesta haavoittuvuudesta kerrotaan ohjelmiston nimi, CVE-tunnus, lyhyt kuvaus, päivämäärä, jolloin haavoittuvuus lisättiin, sekä määräpäivä, johon mennessä se on korjattava.

Lista priorisoi haavoittuvuuksien korjaustyötä. Jos jokin haavoittuvuus on KEV-listalla, se tulisi paikata heti.
Tekniset yksityiskohdat
Vuodesta 2012 lähtien Kiinan APT-toimijoiden käyttämiä taktiikoita, tekniikoita ja menetelmiä (TTP) ovat olleet:

  • Reitittimien konfiguraatioiden muokkaaminen, jotta hyökkääjät voivat liikkua verkosta toiseen.
  • Virtualisoitujen konttien käyttö verkkolaitteissa havaitsemisen välttämiseksi.
  • Hyökkäyksiä mukautetaan uusien haavoittuvuuksien ilmetessä tai kun vanhat menetelmät eivät enää toimi.

Mitä kontilla tarkoitetaan?

  • Eristystä, jossa kontti erottaa sovelluksen muista sovelluksista ja käyttöjärjestelmästä. Tällä pyritään rajoittamaan hyökkääjän mahdollisuuksia laajentaa toimintaansa, mikäli hän saa haltuunsa ainoastaan yhden kontin.
  • Hyökkäyspinta-alaa, sillä jokainen kontti sisältää omat kirjastonsa, riippuvuudet ja mahdollisesti verkko- tai käyttöoikeudet. Mikäli konttia ei kovenneta asianmukaisesti, se voi muodostaa uusia hyökkäysreittejä.

Hyökkääjän näkökulmasta virtualisoitujen konttien käyttö verkkolaitteissa havaitsemisen välttämiseksi on houkuttelevaa seuraavista syystä:

Naamioituminen normaaliksi toiminnaksi
Monet verkkolaitteet (reitittimet, palomuurit, SD-WAN-laitteet) tukevat virtualisointia ja kontteja ihan legitiimeihin tarkoituksiin (esim. lisäpalveluiden ajamiseen). Hyökkääjä voi ajaa haitallista koodia kontissa, joka näyttää järjestelmän ylläpidon silmissä vain “uudelta konttisovellukselta”.

Parempi eristys ja pysyvyys
Kontti pyörii omassa hiekkalaatikossaan, jolloin haittakoodi ei välttämättä muuta laitteen pääjärjestelmää, joten sitä ei huomata päivitysten tai tarkastusten yhteydessä. Haitallinen kontti voidaan myös konfiguroida käynnistymään automaattisesti laitteen bootin jälkeen.

Heikompi näkyvyys valvontaan
Perinteiset tietoturvavalvontatyökalut eivät aina näe konttien sisälle. Haittakoodi voi kerätä tietoa, ohjata liikennettä tai ylläpitää komentokanavaa huomaamatta. Kun hyökkääjä sammuttaa kontin, siitä jää vain vähän forensiikkaan sopivia jälkiä.

Alkuperäinen pääsy (Initial Access)
Tutkinnat ovat osoittaneet, että APT-toimijat hyödyntävät menestyksekkäästi yleisesti tunnettuja haavoittuvuuksia (CVE) ja vältettävissä olevia heikkouksia verkkojen reuna­laitteissa. Zero-day-haavoittuvuuksia ei ole havaittu käytettävän. Hyökkääjät käyttävät:

  • virtuaalisia palvelimia (VPS) hyökkäysinfrastruktuurina
  • välivaiheena kompromettoituja reitittimiä
  • murrettuja laitteita ja luotettuja yhteyksiä (esim. operaattorilta toiselle tai operaattorilta asiakkaalle) siirtyäkseen muihin verkkoihin

Joissakin tapauksissa reitityksiä muokataan ja liikenteen peilausta (SPAN/RSPAN/ERSPAN) tai GRE/IPsec-tunneleita käytetään liikenteen sieppaamiseen.

Pysyvyys (Persistence)
Pysyäkseen verkossa APT-toimijat muokkaavat ACL-sääntöjä lisäten omia IP-osoitteitaan (esim. access-list 20, 50 tai 10). Hyökkääjät avaavat standardeja ja epästandardeja portteja (SSH, SFTP, RDP, FTP, HTTP/S). Esimerkiksi SSH-palveluita avataan ei-tyypillisille porteille (22x22 tai xxx22). Lisäksi:

  • HTTP/HTTPS-palvelut saatetaan käynnistää korkeilla porteilla (esim. 18xxx).
  • SNMP:tä käytetään komentojen suorittamiseen, verkon laitteiden kartoitukseen ja muokkaukseen.
  • Luodaan tunneleita (GRE, mGRE, IPsec), jotka mahdollistavat pysyvät ja salatut yhteydet.
  • Hyödynnetään Cisco Guest Shell -kontteja (Linux-kontti IOx-ympäristössä), joissa voidaan ajaa työkaluja ja skriptejä huomaamatta.
  • Käytetään työkaluja kuten STOWAWAY monihyppyisen komentokanavan rakentamiseen (C2).

Sivuttaisliike ja tiedonkeruu (Lateral Movement & Collection)
Kun verkkoon on päästy sisään, hyökkääjät kohdistuvat erityisesti autentikointiin liittyviin protokolliin (TACACS+, RADIUS) sekä reititysinfrastruktuuriin. Hyökkääjät keräävät:

  • pakettikaappauksia (PCAP) asiakasverkkojen liikenteestä
  • käyttäjätietoja, salasanoja, konfiguraatiotiedostoja, ohjelmisto­inventaarioita
  • reititystietoja (BGP, MPLS)
  • liikennettä SPAN/RSPAN/ERSPAN-menetelmillä

Tyypillistä on myös:

  • uusien käyttäjien luonti ja etuoikeuksien myöntäminen reitittimissä
  • heikkojen Cisco-salasanojen (esim. MD5-hash tai ”cisco”) murtaminen ja uudelleenkäyttö
  • SNMP:n, SSH:n ja HTTP-pyyntöjen käyttö konfiguraatioiden hakemiseen ja muokkaamiseen
  • reititystaulujen muokkaaminen liikenteen ohjaamiseksi hyökkääjien hallintaan
  • lokien poistaminen tai muokkaaminen toiminnan peittämiseksi

Tietojen ulossiirto (Exfiltration)
Merkittävä riski on verkkoyhteyksien väärinkäyttö (peering connections).

  • Hyökkääjät voivat siirtää tietoa ulos ilman, että sitä havaitaan normaalien liikennemäärien seasta.
  • C2- ja ulossiirto tapahtuvat usein tunneleiden (IPsec, GRE) kautta.
  • Useita komentokanavia käytetään samanaikaisesti tiedonsiirron peittämiseksi.

Keskeiset suositukset
Olennaista on selvittää hyökkäyksen laajuus ennen vastatoimien aloittamista. Uhkametsästykseen liittyvät yksityiskohdat on pidettävä hyökkääjiltä salassa. Osittaiset toimet voivat varoittaa hyökkääjää ja estää hyökkäyksen täyden torjumisen. Hyökkääjät saattavat seurata, onko heidän toimintansa havaittu, esimerkiksi valvomalla yrityksen henkilöstön sähköposteja tai ylläpitäjien sähköpostitilejä. Usein tarvitaan yhtäaikaisia toimia kaikissa kompromissikohteissa, jotta hyökkääjä voidaan häätää järjestelmästä ulos.

Uhkametsästys (threat hunting) tarkoittaa sitä, että yrityksen tietoturvatiimi etsii aktiivisesti merkkejä mahdollisista hyökkäyksistä tai tunkeutujista omasta ympäristöstään, ilman että odotetaan hälytysjärjestelmien ilmoitusta.

Uhkametsästyksen keskeiset piirteet

Proaktiivisuus
Uhkametsästys ei perustu pelkkiin SIEM-/IDS-hälytyksiin, vaan analyytikot lähtevät itse tutkimaan, voisiko verkossa olla piilotettu hyökkääjä.

Hypoteesipohjaisuus
Usein lähdetään liikkeelle hypoteesista, kuten “APT-toimijat hyödyntävät epästandardeja SSH-portteja” ja tutkitaan lokit ja verkon tapahtumat tätä vastaan.

Tiedustelutiedon hyödyntäminen
Käytetään hyväksi uhkatiedustelua (IOCs, MITRE ATT&CK, raportit) ja verrataan niitä omaan ympäristöön.

Kohdistuu huomaamattomaan toimintaan
Esimerkiksi sivuttaisliike, pysyvyyden ylläpito, tiedonkeruu eli ne asiat, jotka usein eivät nosta automaattisia hälytyksiä.

Käytännön esimerkkejä uhkametsästyksestä

  • Tarkistetaan lokit, löytyykö SSH-yhteyksiä epätyypillisiltä porteilta (22x22, xxx22). Tämä voisi viitata luvattomaan pääsyyn.
  • Verrataan reitittimien konfiguraatioita, löytyykö ACL-sääntöjä tai uusia käyttäjiä, joita ei pitäisi olla.
  • Haetaan SIEM:stä TACACS+-liikennettä tuntemattomiin IP-osoitteisiin.
  • Tarkastellaan, onko käytetty Cisco Guest Shell -komentoja ilman valtuutusta.

Hyödyt

  • Havaitsee uhat, jotka muuten jäisivät piiloon.
  • Vähentää hyökkäyksen kestoaikaa (dwell time).
  • Parantaa organisaation tilannekuvaa ja kyvykkyyttä tunnistaa poikkeavaa toimintaa.

Mitä tarkoittaa IOCs ja MITRE ATT&CK
IOC (Indicators of Compromise) tarkoittaa suomeksi kompromissin indikaattorit. Ne ovat: konkreettisia teknisiä jälkiä, joita hyökkäys jättää. Esimerkkejä:

  • IP-osoite, josta haittaliikennettä havaitaan
  • Haitallisen tiedoston hash-arvo (MD5, SHA256)
  • Kompromoitunut domain tai URL
  • Prosessin nimi tai tiedostopolku (esim. tac.pcap, sshd_operns)

IOC:t auttavat havahtumaan hyökkäykseen, jolloin ne voidaan syöttää palomuureihin, SIEM:iin tai EDR:iin estämään tai tunnistamaan tunkeutuminen. Haasteena on, että IOC:t ovat usein nopeasti vanhentuvia (esim. IP vaihtuu, domain suljetaan).

MITRE ATT&CK tarkoittaa suomeksi MITRE ATT&CK -tietokantaa, joka on viitekehys hyökkääjien taktiikoista, tekniikoista ja menetelmistä (TTP). Kyse on avoimesta tietokannasta, jossa on mallinnettu, miten hyökkääjät toimivat vaihe vaiheelta. Esimerkkejä:

  • T1190 Exploit Public-Facing Application = haavoittuvan verkkopalvelimen hyväksikäyttö
  • T1071 Application Layer Protocol = C2-liikenne naamioidaan HTTPS:ksi
  • T1040 Network Sniffing = verkon liikenteen kaappaus tunnusten varastamiseksi

ATT&CK auttaa ymmärtämään hyökkääjän käyttäytymistä ja vertaamaan sitä omiin havaintoihin. Se ei vanhene yhtä nopeasti kuin IOC:t, koska TTP:t pysyvät usein samankaltaisina vuosia.

Yhteenveto

  • IOC = yksittäisiä jälkiä hyökkäyksestä (IP, hash, domain, tiedosto).
  • MITRE ATT&CK = viitekehys hyökkääjän toimintatavoista (mitä hyökkääjä yrittää tehdä ja miten).
Tehtävälista
Mitä pitää seurata?
Tarkista kaikki verkon konfiguraatiomuutokset vertaamalla valtuutettuihin versioihin. Erityisesti:

  1. ACL-muutokset
  2. reititystaulut
  3. paikallisten käyttäjien luonti
  4. PCAP-komennot

Virtualisoidut kontit

  1. Varmista, että kaikki kontit (esim. Cisco Guest Shell) ovat sallittuja.
  2. Tarkkaile komentojen käyttöä: guestshell enable, guestshell run bash, run guestshell, chvrf, dohost.
  3. Yhdistä syslog, AAA-lokit ja telemetria, pelkkä syslog ei riitä.

Verkkopalvelut ja tunnelit
Tarkkaile:

  1. SSH-yhteyksiä epästandardeilla porteilla (22x22, xxx22)
  2. HTTPS-kuuntelijoita porteilla 18xxx
  3. TACACS+-liikennettä (TCP/49) tuntemattomiin IP-osoitteisiin
  4. FTP/TFTP-liikennettä laitteista ulospäin (erityisesti PCAP:ien jälkeen)
  5. Varmista, että kaikki tunnelit (esim. GRE, IPsec) ovat valtuutettuja.

Firmware ja ohjelmistojen eheys

  1. Tee hash-tarkistukset ja vertaa valmistajan arvoihin.
  2. Hyödynnä laitteen eheystarkistustoimintoja (allekirjoitetut imaget, secure checkpoints).
  3. Tarkista laitteen tiedostojärjestelmästä ei-standardeja tiedostoja.

Lokit
Etsi merkkejä:

  1. lokien tyhjentämisestä
  2. logien pois kytkemisestä
  3. PCAP- tai SPAN/ERSPAN-istunnoista (nimiä kuten mycap, tac.pcap)
  4. uusien palveluiden käynnistämisestä XR-hostissa (esim. sshd_operns)
  5. kirjautumisista verkonlaitteelta toiselle laitteelle (ei normaalia)

Jos luvattomia toimintoja havaitaan, ennen hyökkäyksen torjuntaa on varmistettava eristämisen oikea järjestys ja kerättävä kaikki artefaktit. Artefaktilla tarkoitetaan tässä yhteydessä tietojärjestemään tallentuneita jälkiä, todisteita tai dataa, jonka tietokone tai ohjelma jättää toiminnastaan, esimerkiksi prosessilistat, lokit, tiedostot, rekisterimerkinnät, selaimen välimuisti, ajastetut tehtävät ja temp-tiedostot. Niitä käytetään hyökkäysten ja väärinkäytösten tutkinnassa.
Kompromissien indikaattorit (IOC)
IP-pohjaiset indikaattorit

  • APT-toimintaan liitettyjä IP-osoitteita on havaittu aikavälillä elokuu 2021 – kesäkuu 2025.
  • Osoitteet kattavat laajan kirjon IPv4- ja IPv6-osoitteita eri maantieteellisiltä alueilta.
  • Osa osoitteista saattaa olla jo pois käytöstä, mutta niiden käyttöä tulee tutkia ennen torjuntatoimia (esim. estot).

Mukautetut SFTP-asiakasohjelmat
Hyökkääjät käyttävät omia, Golangilla (Go Programming Language) toteutettuja SFTP-binäärejä tiedonsiirtoon kompromissiverkoista. Näiden avulla tiedostot siirretään ensin välipalvelimille (staging hosts) ja sitten edelleen ulos.

Torjuntatoimet
Koska APT-toimijat hyödyntävät tehokkaasti julkisesti tunnettuja CVE-haavoittuvuuksia, tärkein keino on paikkauksien priorisointi. Yrityksen tulee seurata esimerkiksi CISA:n Known Exploited Vulnerabilities Catalog -listaa ja varmistaa, että verkon reuna­laitteet on suojattu.
Tehtävälista
Yleiset suositukset

  1. Tarkista reitittimien konfiguraatiot ja lokit säännöllisesti. Etsi lokeista luvattomia muutoksia (tunnelit, ACL, käyttäjät, PCAP).
  2. Ota käyttöön vahva muutoksenhallintaprosessi (auditoi kaikki konfiguraatiot säännöllisesti).
  3. Selvitä kompromissin laajuus ennen torjuntaa. Osittaiset toimet voivat johtaa hyökkääjän säilymiseen verkossa.
  4. Estä hallintaliittymien ulospäin suuntautuvat yhteydet, joilla rajoitetaan sivuttaisliikettä.
  5. Poista käytöstä tarpeettomat portit ja protokollat (erityisesti salaamattomat: Telnet, FTP, HTTP).
  6. Vaihda oletussalasanat kaikista verkonlaitteista.
  7. Suosi avaintodennusta (public key) ylläpitäjätileillä.
  8. Käytä aina tuettuja ohjelmistoversioita ja pidä laitteet päivitettyinä.
  9. Hallintaprotokollien ja -palveluiden koventaminen
  10. Eristä hallintaliikenne omiin VRF:iin tai hallintaverkkoon.
  11. Käytä vain hyväksyttyjä IP-osoitteita hallintayhteyksiin (ACL + CoPP).
  12. Käytä yksinomaan SSHv2, HTTPS, SNMPv3.
  13. Muuta oletusarvoiset SNMP-yhteisöavaimet.
  14. Seuraa SNMP SET -operaatioita (APT-toimijat muokkaavat usein AAA-palvelinasetuksia SNMP:llä).
  15. Käytä vain vahvoja salausalgoritmeja.
  16. Estä IPv6-hallintapalveluiden tahaton altistuminen.

Lokitus

  1. Ota käyttöön keskitetty, suojattu lokien keräys.
  2. Tallenna lokit riittävän pitkällä säilytysajalla.
  3. Ota käyttöön AAA-lokit ylläpitäjäkäskyille.

Reititys- ja VPN-käytännöt

  1. Käytä reitityksen todennusta (esim. BGP session protection).
  2. Tarkista säännöllisesti staattiset reitit ja varmista, ettei liikennettä ohjata luvattomasti.
  3. Käytä vain vahvoja IKE (Internet Key Exchange) -politiikkoja VPN:issä (esim. AES-256, SHA-384). Vahvalla IKE-politiikalla tarkoitetaan sitä, että VPN:n liikenne suojataan nykyaikaisilla ja turvallisiksi katsotuilla algoritmeilla.

Esimerkkejä vahvoista IKE-politiikoista:

  • Salausalgoritmi (Encryption): AES-256 (erittäin vahva ja yleisesti suositeltu).
  • Tiivistealgoritmi (Integrity / Hashing): SHA-384 tai SHA-512 (vahvempi kuin SHA-1 tai SHA-256).
  • Avainten vaihto (Diffie-Hellman group): Käytetään suuria avainryhmiä, esim. Group 14 (2048-bit), Group 19 (256-bit elliptinen käyrä), Group 20 jne.

Cisco-kohtaiset suositukset

  1. Poista Smart Install -ominaisuus
  2. Käytä vahvaa kryptausta salasanojen tallennuksessa (Type 8 tai Type 6).
  3. Poista käytöstä web-hallintaliittymä, ellei sitä tarvita. Jos tarvitaan, käytä vain HTTPS.
  4. Varmista, että IOS XR:n piilotettu SSH-palvelu (sshd_operns, TCP/57722) ei ole käytössä.
  5. Lisää ACL:iin lopullinen deny any any log -rivi luvattomien yhteyksien havaitsemiseksi.
  6. Guest Shell -kontin väärinkäytön estäminen (Cisco)
  7. Poista Guest Shell käytöstä, jos sitä ei tarvita (guestshell disable).
  8. Rajoita sen uudelleenkäyttöönotto. Vaadi AAA-tason todennus komentoon.

Jos Guest Shell on käytössä

  1. Siirrä konttilokit SIEM-järjestelmään.
  2. Rajoita verkko­yhteydet vain tarvittuihin kohteisiin.
  3. Tee säännölliset eheystarkistukset laitteen tiedostojärjestelmässä.
  4. Hälytä komennoista kuten guestshell enable/disable, chvrf, dohost.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön