Cybersecurity
BLOG
KYBERTURVA

Tietoturvapoikkeamiin varautuminen – pelkästä suojautumisesta kohti resilienssiä

Vuoden 2020 aikana on käyty laajaa yhteiskunnallista keskustelua siitä, miten kriiseihin pitäisi varautua etukäteen.

Tietoturvassa joudutaan jatkuvasti kohtaamaan asioita, joihin ei pystytä varautumaan pelkästään suunnittelemalla ja asentamalla tietoturvaratkaisuja kuten palomuureja tai virustorjuntaa. Kehittyneet organisaatiot ovatkin siirtyneet kehittämään suojauksien lisäksi myös ketteryyttä. Tässä blogikirjoituksessa kerron kuinka kehittää organisaation valmiuksia pärjätä yllättävien tietoturvatapahtumien yhteydessä.

Resilienssi tietoturvassa

Sana resilienssi tarkoittaa kykyä toipua vastoinkäymisistä. Koska kaikkia vastoinkäymisiä ei voida ennakoida, resilienssin lähtökohtana on ketteryys. Toimimalla ketterästi ja tehokkaasti voidaan säilyttää organisaation toimintakyky yllättävissä tilanteissa. Tietoturvan näkökulmasta tämä tarkoittaa mm. kykyä havainnoida yllättäviä tapahtumia ja reagoida niistä olennaisiin tapahtumiin, oli sitten kyse mistä tahansa uhasta tai haavoittuvuudesta. Sekä havainnointi, että reagointi vaatii yhdistelmää ihmisistä, prosesseista ja työkaluista.

Tietoturvauhkien määrä on lisääntynyt jatkuvasti ja useimpiin organisaatioihin kohdistuu yhä enemmän tietoturvatapahtumia. Uuden tyyppisiä haittaohjelmia, haavoittuvaisia sovelluskirjastoja ja entistä kehittyneempiä uhkia ilmaantuu niin nopealla tahdilla, että kaikelta ei voi suojautua pelkästään varautumalla. Juuri tällaisiin tilanteisiin tarvitaan resilienssiä.

Oman tietoturvatilan tunteminen lähtökohtana

Organisaation suojaamisen keskeisenä lähtökohtana on tunnistaa mitkä ovat organisaation keskeiset suojattavat kohteet ja olennaisimmat organisaatiota koskevat uhat. Kun suojattavat kohteet ovat tiedossa, on järkevintä aloittaa arvioimalla suojattavien kohteiden tietoturvatila ja korjata keskeisimmät puutteet. Tämä tapahtuu esimerkiksi testaamalla järjestelmiä, prosesseja ja ihmisten osaamista tietoturvanäkökulmasta. On hankalaa käsitellä tietoturvapoikkeamia, jos organisaation haavoittuvuudet ja omat tietoturvapoikkeamien käsittelykyvykkyydet eivät ole tiedossa.

Seuraavaksi on hyvä jatkaa määrittelemällä tietoturvapoikkeamien hallinnasta vastaavan tiimin rooli ja vastuut. Usein tietoturvatiimien lisäksi poikkeustilanteiden aikana tarvitaan myös esimerkiksi eri järjestelmien omistajia ja ylläpitäjiä, joilta löytyy paras tieto järjestelmien toiminnasta ja toisaalta kriittisyydestä. On tärkeää kommunikoida myös heidän vastuunsa ja roolit poikkeamien käsittelyssä.

Sopivan herkkä havainnointikyvykkyys keskiössä

Useimmat organisaatiot tukeutuvat havainnoinnissa SIEM/SOC -ratkaisuihin, jotka perustuvat lokien keräämiseen eri järjestelmistä (esimerkiksi palvelimet, sovellukset ja verkkolaitteet). Kun lokitiedot on kerätty ja keskitetty, voidaan niitä korreloida säännöstöjen avulla. Säännöstöt pyrkivät tunnistamaan tapahtumaketjuja ja erottamaan haitalliset tapahtumat vaarattomista. Suuri määrä erilaisia lokitietoa voi aiheuttaa haasteita, koska niissä on suuri määrä tietoa, jota ihmisen on käytännössä mahdotonta käydä läpi.

Organisaatioiden tietoturvakyvykkyyksien tulee kehittyä enemmän siihen suuntaan, että havainnointi toimii herkästi, mutta on myös tärkeää suodattaa olennaiset tapahtumat suuresta määrästä tapahtumia. Liian herkkä havainnointi voi ylikuormittaa jo muutenkin kroonisesti ylityöllistetyt tietoturva-asiantuntijat. Tämä korostuu erityisesti uudenlaisten uhkien kohdalla. Tietoturvatapahtumien määrä voi olla merkittävä, mutta suuri osa tunnistetuista tapahtumista ei ole niin vakavia, että niihin pitäisi reagoida.

Nykypäivinä on puhuttu paljon tekoälyn ja koneoppimisen hyödyntämisestä myös tietoturvassa. Havainnointiratkaisussa se voi olla hyödyllinen apu, sillä erilaista loki- ja muuta tietoa on huomattava määrä, jolloin ihmisen ei ole mahdollista käydä kaikkia tapahtumia läpi. Koneoppiminen tukeutuu silti pelkästään siihen dataan millä sitä on koulutettu, joten siitä ei välttämättä ole hyötyä täysin uudenlaisten uhkien havaitsemisessa. Ihmisellä taas on luontainen kyky havaita poikkeamia normaalista, jolloin ihminen on korvaamaton havaitsemaan uudenlaisia haitallisia tapahtumia.

Nopea ja tehokas reagointi vaatii osaamista

Havainnoinnin lisäksi tärkeää on myös pystyä reagoimaan havaintoihin oikealla tavalla. Koska kaikkia hyökkäyksiä ei voida estää, pitää pyrkiä vähintäänkin rajoittamaan aiheutunutta vahinkoa ja pyrkiä palauttamaan palvelut normaaliin tilaan mahdollisimman nopeasti. Usein tapahtumat etenevät hyökkäyksen aikana nopeasti, jolloin oikea tapa reagoida pitäisi tulla selkäytimestä. Väärät toimintatavat voivat pahentaa liiketoiminnalle aiheutunutta vahinkoa. On myös tärkeää olla poistamatta mahdollisia jälkiä tapahtuneesta, joita vaaditaan jälkipuintia ja viranomaisia varten.

Tietoturvaosaajista on ollut viime vuosina kova pula ja mikäli organisaatiot eivät ole saaneet riittävästi osaajia, vaihtoehtona on ollut usein hankkia ulkopuolista osaamista tai ulkoistaa koko palvelu. Reagointikyvykkyyden kehittäminen tapahtuu jatkuvalla kouluttamisella ja harjoittelemisella. Monesti tietoturva ei ole organisaation omaa erikoisalaa, joten on järkevää ulkoistaa tiettyjä palveluita. Havainnointi ja reagointikyvykkyyksien ulkoistaminen on järkevää, koska siinä vaaditaan erityistä osaamista, prosessinäkemystä sekä jatkuvaa kehittämistä. Ulkoiset palveluntarjoajat pystyvät panostamaan enemmän koulutukseen ja harjoitteluun. Palveluntarjoajat ylläpitävät useita asiakasympäristöjä, jolloin tapahtumamäärät ovat suurempia ja osaamisen ylläpitäminen ja kehittäminen tapahtuu luonnostaan.

Viime vuosina myös tietoturvassa automaatio on yleistynyt, ja nykyään osaan tapahtumista voidaan reagoida automaattisesti hyödyntäen SOAR (Security Orchestration & Automated Response) -ratkaisuja. Automaatiolla saadaan merkittävästi vähennettyä työkuormaa, mutta se auttaa vain toistuviin tapahtumiin. Koska suurin osa tapahtumista on jatkuvasti uudelleen toistuvia, automaatio voi merkittävästi vähentää tietoturva-ammattilaisten työkuormaa.

Esimerkiksi useimpiin tietomurtoihin liittyy kalasteluviestit, joten niihin liittyvä automatisointi on järkevää. Automatisointi voi hoitaa esimerkiksi epäilyttävien lähettäjien, liitetiedostojen ja linkkien kokoamisen, jolloin niiden tutkiminen on tietoturva-asiantuntijalle helpompaa. Ihminen voi silloin käydä tehokkaasti läpi automaatioratkaisun keskittämät tiedot ja päättää miten reagoida tilanteessa.

Uhkien metsästys

Olennaisena osana ihmisten suorittamaa työtä on uhkien metsästys, joka tarkoittaa erilaisten piilevien uhkien etsimistä proaktiivisesti järjestelmistä. Kun automaation avulla on saatu vähennettyä manuaalista työtä, voivat ammattilaiset siirtyä esimerkiksi uhkien metsästykseen ja muihin tehtäviin, joita koneet eivät voi suorittaa. Uhkien metsästys vaatii aina ihmisosaamista, mutta apuna voidaan käyttää SOC/SIEM -järjestelmiä, uhkatietoa sekä esimerkiksi käyttäytymistä analysoivia tietoturva-analytiikkaratkaisuja.

Esimerkiksi monet kehittyneet uhka-agentit kuten valtiot voivat soluttautua järjestelmiin etukäteen ja odottaa sopivaa hetkeä hyökätä. Uhkien metsästämiseen voidaan käyttää esimerkiksi MITRE ATT&CK -viitekehystä, joka kuvaa erilaisia hyökkääjien käyttämiä taktikoita, tekniikoita ja menettelytavat. Tuntemalla hyökkääjien käyttäytymismallit voidaan käydä järjestelmällisesti läpi erilaisia mahdollisia tapahtumasarjoja ja etsiä merkkejä tällaisista tapahtumista.

Sogetin havainnointi- ja reagointipalvelu

Sogeti tarjoaa palveluita kehittämään organisaation kykyjä varautua yllättäviin tietoturvatapahtumiin sekä vastaamaan nopeasti erilaisiin tietoturvakriiseihin kuten tietomurtoihin. SWAT (Security Worldwide Assistance) -tiimimme ammattilaiset saapuvat tarvittaessa paikalle kriisitilanteissa, minne tahansa maailmassa. Osana palvelua on myös vahvasti proaktiivinen valmistautuminen tilanteisiin, ja järjestämme asiakkaillemme testausta, koulutusta ja harjoituksia, joiden avulla valmistaudutaan kriisitilanteissa toimimisen.

Lopuksi

Resilienssi vaatii sekä tehokasta havainnointia ja reagointia. Ne vaativat tiedottamista, ihmisten kouluttamista, erilaisia harjoituksia sekä teknisten kyvykkyyksien rakentamista. Vaikka uusilta uhilta ei voida suojautua, voidaan organisaation kyvykkyyksiä kehittää niin, että uhkiin pystytään reagoimaan tehokkaasti ja nopeasti. Näihin kyvykkyyksiin panostaminen on siis panostamista tulevaisuuden uhkiin. Ota yhteyttä, mikäli haluat kuulla lisää, miten sinun organisaatiostasi kehitetään tietoturva-resilientti

CONTACT
  • Ilkka Hyvönen
    Ilkka Hyvönen
    Head of Cyber Security, Sogeti Finland Oy
    +358 40 801 8812