EvoEX
← Kõik artiklidKüberjulgeolek, serverid

🚨 Turvalisus on meie jaoks kõik: mida õppisime LVM rünnakust

07.07.20265 min lugemist
🚨 Turvalisus on meie jaoks kõik: mida õppisime LVM rünnakust

Me EvoEx'is oleme juba mõnda aega teisiti tegutsemas. Ükski koodijupp ei jõua klientideni ilma täieliku turvalisuse auditi tegemata, serveritel pole väliseid "uksi", millele koputada, ja kui keegi siiski proovib - süsteem märkab seda ja blokeerib sekundites, mitte pärast seda, kui midagi juba juhtunud on. Kuidas see praktikas välja näeb ja miks oleme sellesse investeerinud tuhandeid eurosid!

Sel suvel käis Latvijas IT-sektoris midagi sellist, mida on raske unustada - rünnak Latvijas Riigimetsa IT-infrastruktuurile. Rünnak avastati 22. juunil 2026, kuid hiljem selgus, et hacker oli süsteemi sisse pääsenud juba 11. juunil ja oli mitme päeva jooksul töötanud märkamata, aktiivselt tegutsema hakates alles öösel 22.-23. juunil. Rünnaku eest võttis vastutuse ransomware ehk kiirpaiga-viirus-grupp - samasugune rünnakuliik, mis on viimastel aastatel üha rohkem tabinud ka teiste riikide ja era-sektori organisatsioone. Mõned allikad mainivad isegi konkreetset hüvitise summat, mida ründaja nõudis, kuid LVM sellest ametlikult keeldub, seega keskendume siinkohal sellele, mis on kinnitatud: ettevõte pidi olema sundu sulgema kogu IT-infrastruktuuri, mitmed avalikud süsteemid (LVM GEO, jahisüsteem Mednis) ja sisemised teenused olid mitme päeva jooksul kättesaamatud.

See meenutas kõigile, kes selles valdkonnas töötavad, ühte lihtsat, kuid ebameeldivat tõde: kui turvalisusega tegeletakse alles siis, kui midagi on juba juhtunud, siis on juba liiga hilja. LVM juhtumi puhul sai ründaja mitme päeva jooksul süsteemis tegutseda, sest puudusid vahendid, mis tuvastaksid anomaaliaid õigeaegselt - seda olukorda hiljem ka iseloomustas peaminister. Konfiguratsiooni puuded ja avastamata augud süsteemis võivad jääda kaua märkamata, kuni keegi need leiab - ja kahjuks sageli pole selleks inimeseks see, kes peaks.

Kui me EvoEx'is oma infrastruktuuri planeerimisel ette võtsime, otsustasime vastupidise tee kasuks. Mitte ootama ja reageerima, vaid proovima ennetada probleeme üldse.

Turvalisus algab enne, kui kood serverisse jõuab

Meie arendusprotsessis ei jõua ükski muudatus tootmisserverisse ilma täieliku automaatse kontrollita. Iga uus koodijupp analüüsitakse reaalajas spetsiaalsete turvalisuse tööriistadega, mis on põhinevad maailmapidi tunnustatud OWASP Top 10 põhimõtetele - see on standard, mida kasutatakse levinuimate ja ohtlikumate haavatavuste avastamiseks.

Kui tööristad märkavad isegi väikest riski, muudatust ei jätkuvoolu anda. Süsteem proovib problemaalset koodiosa ise parandada, kontrollib seda uuesti, ja protsess jätkub, kuni riskide arv on täpselt null. Ainult siis võivad muudatused klientideni jõuda.

LVM juhtum näitas, et süsteem võib paista normaalse tööga, kuigi ründaja on juba päevadeks sees - ja ilma õigete tööriistadeta võib seda lihtsalt märkamata jätta.

Meie lähenemises pole see juhuslik juhtum, vaid peamine stsenaarium, mille vastu kavandame juba esimesest päevast: minimaalne juurdepääs, eraldatud süsteemid ja pideva automaatse auditeerimisega, mitte tuginedes sellele, et keegi inimene kord aastas kõike üle vaatab.

Selline teade jõuab meie meeskonda iga kord, kui muudatused läbivad täieliku turvalisusauditi ja automaatse parandamise tsükli enne juurutamist.

Serverid, millel pole välispoolelt midagi karta

Üks lihtsaimaid, kuid sageli unustatud turvapõhimõtteid - kui uksed pole lahti, siis neisse ei saa murda. Meie serverid töötavad Hetzner infrastruktuuri peal, ja me oleme täielikult sulgenud välisjuurdepääsu pordid, mida traditsiooniline se kasutatakse kaugserverile juurdepääsuks.

Selle asemel kontrollib server ise, seestpoolt, autoriseeritud koodi hoidlat ja kui kõik on kontrollitud ja turvaline, tõmbab uuendused sisse. Keegi ei saa "koputada" väljast, sest uksid lihtsalt seal ei ole.

Lisaks on veebisaitidele rakendatud ranged turvalisuse päised (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy), mis kaitsevad kasutajaid andmete pealtkuulamisest, veebisaitide kloonimisest ja muudest levinud rünnakutüüpidest.

Kui keegi siiski proovib...

Rünnakupüüdeid täielikult välistada pole võimalik - internet on täis automatiseeritud bottides, mis pidevalt skaneerivad veebisaite ja otsivad nõrku kohti. Seetõttu lõime me oma süsteemi, mis neid püüdeid märkab ja kohe reageerib.

Kui tuvastatakse näiteks jõhkra jõu rünnak või kahtlane skaneerimine, blokeeriakse ründaja IP-aadress viivitamatult tulemüüri tasemel. Kuid töö selle peale ei lõpe - meie väljatöötatud analüüsivahend hakkab kohe uurima juhtunud: mis olid taotlused, mis oli nende muster, mida püüdis ründaja saavutada.

Tulemus - lühike, arusaadav aruanne eesti keeles, mis saabub viivitamatult meie programmeerijate meeskonna Discord-kanaalile.

Lisaks sellele töötame parajasti välja ka nn "page-call" ehk päeval-öösel kutsutava häire süsteemi - lahendus, mis tõsisemate intsidentide korral kutsub automaatselt vastutavat arendajat telefoni, olenemata päevaajast, et reaktsioon ei jääks ainult sellele, kui keegi ise minema Discord-kanaalile vaatab. Nii et me mitte ainult ei seiska püüet, vaid teame ka, mis täpselt juhtus.

Päris näide meie süsteemist - kahtlane taotlus blokeeriakse kohe ja iga tund koostatakse automaatselt kokkuvõte kõigist püüdeist, nende päritolust ja võimalikust eesmärgist

Mida see tähendab kliendile

EvoEx'i valides saab klient mitte ainult veebilehe või süsteemi - ta saab infrastruktuuri, milles turvalisus pole järelsus, vaid alus.

Ransomware-rünnak on tänapäeval harva pelgalt tehniline probleem - see on äritegevuse katkestuse risk. LVM juhtumi puhul olid mitu päeva kättesaamatud nii avalikud kui sisemised teenused, mitme päeva seisak ja võimalik andmete leke võib ettevõttele maksta palju rohkem, kui investeerimine ennetavad meetmetesse.

Praktikas tähendab see mitut konkreetset asja, mida me teeme ja soovitame ka klientidele:

  • Regulaarsed varukoopiad tegelikult testitud taastamise protsessiga, mitte varukoopiad, mille toimivust ei ole kunagi kontrollitud.

  • Juurdepääsu ja õiguste haldamine minimaalse vajaduse põhimõttel, et üks kompromiteeritud juurdepääs ei avaks teed kõigele.

  • Pidev jälgimine ja anomaaliate tuvastamine, mitte tuginedes aastasele auditile.

  • Segmenteeritud infrastruktuur, et probleem ühe süsteemi osas ei leviks kogu ettevõttele.

  • Vigade parandamine enne juurutamist, mitte pärast seda, kui midagi on interneti peal juba juhtunud.

  • Uuendused taustaprogrammina, ilma katkestusteta, et veebisaidid ja portaalid jätkaksid pidevalt tööd.

Küberjulgeolek ei ole protsess, mida saab "korraks korda ajada ja unustada". See on pidev töö. Ja meile tundub - mida vähem peaks meie kliendid sellest muretsema, seda paremini me seda teeme.

Miks me seda jutustame

Me ei loonud seda kõike sellepärast, et keegi sellest nõudis. Viimasel aastal oleme investeerinud tuhandeid eurosid, et selle süsteemi üles ehitada ja jätkuvalt arendada - aega, vahendeid ja ise väljatöötatud tarkvara, mis tänapäeval töötab taustaprogrammina, ilma katkestusteta, iga päev.

See ei ole ühekordne investeering, mida saab märkida ja unustada - see on infrastruktuur, kuhu jätkuvalt investeerime, sest teame, et ründajate meetodid muutuvad kiiremini, kui enamik ettevõtteid suudavad reageerida.

LVM juhtum näitas, et isegi suurettevõtetele, millel on ressursse, võib puududa just see - süsteem, mis tuvastab probleemi, enne kui see muutub kriisiks.

See tähendab, et kliendil, kes valib EvoEx'i, ei pea muretsema, kas tema andmed ja süsteem on kaitstud jäägjuhuse alusel. Turvalisus ei ole lisateenuse, mida saab hiljem lisada - see on juba igasse projektisse, mida me ehitame, sisse ehitatud.

Kui sind huvitab, kuidas su veebisaidi või süsteemi turvalisus väljast välja näeb, võta meiega ühendust - hindame seda koos ja ütleme ausalt, kus on riskid ja mida nendega teha.

Registreeri oma audit - Evoex Audit alates 390 EURO

EvoEX
Artikli koostas
EvoEX
Drošības daļa

Valmis oma projekti alustama?

Räägi meile oma ideest — saadame sulle e-kirjaga pakutud aja videokõneks, kus arutame detaile ja koostame pakkumise.