Ympyrä sulkeutuu.

Kyberturvan neljä askelta: ennusta, estä, havaitse, vastaa.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: maaliskuu 30, 2016
Lukuaika: 6 Minuuttia

Kyberturvallisuutta ei enää haudata lehtien ja nettisivustojen tekniikkaosastoihin.  Kyberturva on etusivun uutinen ja yksi monien julkaisujen ja uutistoimistojen pääaiheista kaikkialla maailmassa. Kyberturvallisuus koskettaa kaikkia toimialoja, maita ja väestöryhmiä.

Kyberturvallisuuden merkitys levittäytyy laajemmalle ja entistä perinpohjaisemmin myös yritysten sisälle.  Se koskettaa IT-osastojen ja asiakkaiden rakenteita.  Kyberturvallisuus koskee muutakin kuin vain tietokoneita. Tämä käy tuskallisen selväksi viimeistään silloin, kun tietoturvaa asiakkailleen luvannut yritys hakkeroidaan.  Ashley Madison ja sen asiakkaat oppivat tämän kantapään kautta.

Myös poliitikot oppivat.

Tietomurtojen määrä kasvaa, ja murrot saavat enenevästi huomiota. Viranomaiset kautta maailman tiukentavat vaatimuksia noudattaa sääntöjä. Tosin joitakin vaatimuksia ei ole loppuun asti harkittu, kuten vaaditut salausten takaportit. Tulevaisuudessa kyberturvallisuus teettää yrityksillä paljon nykyistä enemmän töitä.  Yritykset joutuvat myös vastuuseen mahdollisista laiminlyönneistä.

Kyberturvallisuus on monimerkityksinen termi. Jos kyberturvallisuus kuvaa yrityksen operatiivista aluetta, miten sitä pitäisi lähestyä. Ja miten kyberturvallisuus oikeastaan eroaa perinteisestä tietoturvasta? IT:n turvallisuudesta?

Pitäisikö aloittaa puhtaalta pöydältä?

Joidenkin mielestä kyberturvallisuus merkitsee perinpohjaista muutosta yritysten suojautumistavassa. Heidän mielestään perinteiset IT-turvallisuuden käsitteet joutavat romukoppaan. Äskettäin otsikko julisti antiviruksen kuolleeksi.

Mutta eipä tämä ele ensimmäinen kerta, kun antivirus -tekniikalle (AV) on laadittu ennenaikaisesti muistokirjoituksia.  Toisin kuin jotkut luulevat – antivirus säilyy osana kokonaisvaltaista turvastrategiaa kuin vinyyli yhtenä musiikin mediana.

Uhkat ja vastatoimet kehittyvät – antivirus ei ole vain kokoelma ”allekirjoituksia”

20 vuotta sitten kehitetyt turvatoimet eivät riitä nykypäivän maailmassa. Eivät uhkat silti yhdessä yössä muutu. Ne ovat kyllä vähitellen muuttuneet vuosien saatossa. Ja niin ovat myös turvaratkaisut. Perinteiset AV- eli antivirusskannerit perustuivat ”allekirjoituksiin”, joiden perusteella haittaohjelmat tunnistettiin. Nykyiset turvaohjelmat sisältävät lisäksi pinon muita suojakomponentteja.

AV-skannaus on edelleen tehokas osa tätä pinoa. Lisäksi AV-skannaus kuluttaa vähemmän resursseja kuin hienostunut heuristinen analyysi.  Miksi haaskata suorittimen kapasiteettia kohteisiin, jotka voidaan havaita helpommilla menetelmillä? Todellisten turva-asiantuntijoiden mielestä väitteet AV:n kuolemasta ovat siksi silkkaa hölynpölyä.

F-Secure täydensi perinteistä AV-ohjelmaansa DeepGuard-tekniikalla vuonna 2008. Jo silloinen DeepGuard oli edistyksellinen heuristinen moottori, joka kykeni havaitsemaan myös nollapäivähyökkäykset. (Nollapäivä- eli zero-day hyökkäys tarkoittaa haittakoodia, jota ei ole ennen havaittu.) F-Securen Object Reputation Service Platform (ORSP) lisättiin F-Securen tuotteisiin vuonna 2009. Se lyhentää viivettä uuden uhkan havaitsemisesta suojaukseen tunneista minuutteihin. Toiminto on nykyisin olennainen osa F-Securen tietoturvapilveä.  Samaan aikaan perinteinen allekirjoituksiin perustuvat AV-skannaus optimoi suorittimen kuormituksen. Näytteen luokittelu allekirjoituksen avulla kuluttaa noin 10 millisekuntia prosessoriaikaa.  Perinpohjainen analyysi voi viedä jopa 5 minuuttia.

Jarno Niemelä – vanhempi tutkija – F-Securen tutkimusyksikkö

Mutta paradigmoissa on meneillään muutos

Vaikka tekniikka on edistynyt, yritysten täytyy hoitaa tietoturvansa olennaisesti eri tavalla kuin viisi vuotta sitten. Tähän on monia syitä. Erityisesti kaksi trendiä luo uusia käsityksiä yritysten kyberturvallisuuteen.

Ensiksikin, yritysten ja prosessien digitalisaatio kehittyy ennenäkemättömään tahtiin. Kyberturvan häiriöistä ei enää selvitä parin tunnin lisätyöllä IT-osastolla. Nykyisin IT on usein tärkeä liiketoiminnan moottori ja olennainen osa arvoketjua. Yksi ainoa ongelma voi pysäyttää rattaat ja jopa vaarantaa yrityksen olemassaolon.

Toiseksi, uhkien määrä kasvaa ja uhkat kehittyvät yhä hienostuneemmiksi. Vuodesta 2006 vuoteen 2014 havaittujen haittaohjelmien määrä kaksinkertaistui joka vuosi.  Vuonna 2014 havaittiin 81 hyökkäystä minuutissa. Haittaohjelmien määrän odotetaan taas kaksinkertaistuvan vuonna 2015. Samaan aikaan haittaohjelman ovat muuttuneet jatkuvasti etevämmiksi. Yksi syy tähän on se, että kansallisvaltiot ovat alkaneet tehdä hyökkäyksiä. Valtiot käyttävät suunnattomasti resursseja löytääkseen yksilöiden ja yritysten kyberpuolustuksesta heikkouksia ja hyödyntääkseen niitä. Haittaohjelmalla Dugu 2.0 hyökättiin erästä turvatuotteiden toimittajaa ja joitakin muita kohteita vastaan. Yksin tämä ohjelman kehitystyön arvioidaan maksaneen jopa 10 miljoonaa dollaria. Yritysten on otettavaa trendi vakavasti, sillä rikolliset usein ”kierrättävät” kansallisvaltioiden kehittämiä hyökkäyksiä.  (Vähintään yhtä vakava ilmiö on se, että jotkut hallitukset pyrkivät heikentämään salauksen tyyppisiä mekanismeja  helpottaakseen tiedustelua.)

Kyberturvan häiriöt tulevat kalliiksi. Uhkien määrä kasvaa ja uhkat kehittyvät yhä hienostuneemmiksi. On päivän selvää, että kaikki tämä edellyttää muitakin toimenpiteitä kuin vuosittainen työasemien tietoturvaohjelmien jatkotilaus. Kyberturvallisuuden pitää olla yrityksen hallituksen esityslistalla.

Kyberturvallisuus ja 360 asteen lähestymistapa tietoturvaan

Olemme F-Securessa omaksuneet kyberturvallisuuteen lähestymistavan, joka perustuu Gartnerin adaptiivisen turva-arkkitehtuurin käsitteisiin. Ajatusmallimme keskiössä on seuraava oivallus. Jos liiketoimintasi on riippuvainen informaatioteknologiasta ja häiriö kyberturvallisuudessa voi rampauttaa toiminnan, kyberturvallisuus on nähtävä koko johtotiimin huomion arvoisena osana riskien hallintaa. Tämä tekee kyberturvasta yhtä lailla prosessin kuin teknisen kysymyksen.  Nojaudumme Gartnerin kehikkoon, ja kutsumme tätä 360 asteen lähestymistavaksi tietoturvaan. Prosessissa on neljä askelta, joista jokaista voidaan ja pitääkin tukea tekniikalla.

 

f-secure predict prevent detect respond

1. ENNUSTA: tunne riskisi, ymmärrä hyökkäyspinta, löydä heikot kohdat

 

On ymmärrettävä mihin kiinnittää huomio, jotta voi ryhtyä oikeisiin toimenpiteisiin.  Aloita arvioimalla ketkä ja mitkä tahot ovat vastustajiasi (kyberrikolliset, kilpailijat, haktivistit, terroristit jne), ja mitä vahinkoja murto voi aiheuttaa. Voit tehdä riskianalyysin.

Kattavan kuvan kokoaminen hyökkäyspinnasta on olennainen osa tarkastelua, mutta helppoa se ei ole. Monet yritykset eivät edes tunne digitaalista jalanjälkeään, mikä jättää ne täysin tietämättömiksi hyökkääjien potentiaalisista sisääntuloreiteistä. Lisäksi monien yritysten IT-järjestelmä on kehittynyt orgaanisesti. Tämä tarkoittaa toisiinsa kietoutuneita järjestelmiä, ulkoistettua infrastruktuuria, ja kolmannen osapuolen edustajia, jotka ovat kytkeytyneet ja integroituneet liiketoiminnan prosesseihin.

Kaiken tämän pitäminen tiukasti hallinnassa on lähestulkoon mahdotonta. Tarvittavan näkyvyyden tarjoavia teknisiä ratkaisuja on olemassa, mutta pelkän digitaalisen jalanjäljen kartoitus ei riitä. Heikkojen kohtien löytämiseksi on välttämätöntä skannata järjestelmän haavoittuvuudet. Näin saadaan kyberturvaprosessin seuraavissa vaiheissa tarvittavaa näkemystä ja tietoa.

2. ESTÄ: Minimoi hyökkäyspinta, estä häiriöt

Tiedot riskeistä ja heikoista kohdista auttavat tekemään kaiken mahdollisen hyökkäyspinnan pienentämiseksi. Voit tehdä yhtä ja toista, mutta joudut myös hyväksymään rajoitukset, kuten rajalliset resurssit ja budjetin. Järjestelmän koventaminen (hardening), palomuurin konfigurointi ja haavoittuvuuksien kohdennettu eliminointi ovat yleisimpiä toimenpiteitä, joilla heikkoja kohtia paikataan. Tässä prosessin vaiheessa päätetään päätepisteiden turvaratkaisuista. Ratkaisut estävät mahdollisia uhreja joutumasta tekemisiin haittaohjelmien kanssa. Vaikka hyökkäys etenisi kohteen järjestelmään asti, pätevä turvaohjelma suodattaa suurimman osan maailmalla liikkuvista miljoonista haittaohjelmien biteistä. Nämä turvan kerrokset perustuvat nykyaikaisiin menetelmiin, kuten maineanalyysiin ja hallintamekanismeihin kuten sovellusten ja verkkoon pääsyn valvontaan. Myös perinteisellä AV-skannauksella on suuri merkitys.

Automaattinen päivitysten hallinta vähentää altistusta.  Näin havaitut haavoittuvuudet paikataan heti kun mahdollista. Tämä kaventaa ratkaisevasti hyökkäysten mahdollisia aika-ikkunoita. Loppujen lopuksihan ihminen on tyypillisesti turvastrategioiden heikoin lenkki.  Tuoreiden tutkimusten mukaan tämä poloinen heikoin lenkki on tavallisin kyberturvahäiriöiden aiheuttaja.

3. HAVAITSE: Tunnista häiriöt ja uhkat, eristä ja motita ne

Aiemmin mainittu haittaohjelma Dugu 2.0 hyödynsi kolmea ennestään tuntematonta heikkoutta eli niin sanottua nollapäivän haavoittuvuutta. Se sisälsi myös kehittyneitä häivetekniikoita, joiden ansiosta vakiintuneiden turvaratkaisujen oli lähes mahdotonta saada sitä kiinni. Tällaisia superhaittaohjelmia on siis liikkeillä ja uusia hyökkäystapoja ilmaantuu päivittäin. Parasta hyväksyä se tosiasia, että ennemmin tai myöhemmin joku tai jokin läpäisee puolustuksesi. Pahimmassa tapauksessa olet hyökkäyksen kohde tietämättäsi. Mitä kauemmin tilanne jatkuu tietämättäsi sitä suuremmat ovat vauriot. Hyökkääjillä on enemmän aikaa sivusuuntaisiin liikkeisiin ja enemmän mahdollisuuksia anastaa dataa. Karu totuus on, että yrityksiltä kuluu kuukausia (ei siis päiviä) murron havaitsemiseen sen alkamisesta.

”Oleskeluajan” lyhentämiseksi tarvitaan ratkaisuja ja prosesseja, joilla meneillään olevat uhkat havaitaan. Tähän tarvitaan monenlaisia konsteja. Päätepisteisiin ei missään tapauksessa riitä pelkästään allekirjoitusten perusteella haittaohjelmat tunnistava suojaus.  Tarvitaan myös heuristinen tunnistus, joka estää ja eristää epäilyttävä käytöksen järjestelmäsi päätepisteissä. Haluat myös monitorointiratkaisun, joka hälyttää, kun järjestelmässäsi tapahtuu jotakin mahdollisesti vahingollista. Pelkästään tekniset komponentin eivät vielä riitä. Tiimillesi on kehitettävä jatkuvan monitoroinnin ja turvallisuustilan arvioinnin rutiinit. Vasta kun kaikki edellä lueteltu on kunnossa, pystyt reagoimaan tapahtumiin vikkelästi. Tämä johdattaakin meidät seuraavaan vaiheeseen.

4. VASTAA: reagoi murtoihin, lievitä haitat, analysoi ja opi

Sonyn hakkeroinnin tapaiset huomiota herättävät tapaukset osoittavat, että yritykset ovat usein valmistautumattomia kohtaamaan kyberturvahäiriöitä.  Varmista että tällaisia tilanteita varten on selvä toiminnan jatkuvuussuunnitelma, kun tarkastelet kyberturvallisuutta riskien hallinnan kysymyksenä.  On paljon sellaisia tapahtumia ja tilanteita, joista yritykset eivät selviä omin voimin. Tarvitset osaavan kumppanin, joka on aina valmiudessa tulla hätiin katastrofin iskiessä. Aika on ratkaisevaa. Murron havaitsemisen jälkeen nousee epäilyksiä siitä, miten syvälle tunkeutuminen onnistui ja onko kaikki murron rippeet onnistuttu poistamaan. Täydellisen palautumisen jälkeen on tärkeätä ymmärtää yksityiskohtaisesti, mitä oikein tapahtui. Tämä auttaa paljastamaan heikot kohdat, mikä puolestaan auttaa linnoittamaan puolustuksen entistä vahvemmaksi. Ympyrä sulkeutuu.

Viimeinen rivi

Suoja ei koskaan ole sataprosenttinen. Nosta tietoturvasi tasoa, niin vähennät riskejä.  Lähde työssäsi aina siitä, että ennen pitkää joudut kaapatuksi.  Tämä ajattelutapa auttaa varmistamaan sen, että hallitset katastrofin ammattimaisesti.

On kahdenlaisia yrityksiä. Ne, joihin on murtauduttu ja ne, jotka eivät vielä sitä tiedä.

Jens Thonke, Executive VP Cyber Security Services, F-Secure


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s