Maailmaa äskettäin piinannut WannaCry-haittaohjelma osoitti sen taas: kyberturvallisuus ei voi perustua pelkkiin virustorjuntaohjelmiin ja palomuureihin. Koska kaikki on korkattavissa tai kyykytettävissä, miten turvata toiminta? Vastaus piilee kokonaisvaltaisuudessa ja riittävän kyberturvallisuustason määrittämisessä. Mitä niillä tarkoitan?
Mitä jos virustorjunta ja palomuurit pettävät?
Joskus kyberhyökkääjät saattavat löytää ohjelmasta haavoittuvuuden, jota valmistaja ei ole itse huomannut tai ehtinyt korjaamaan. Tätä haavoittuvuutta hyödyntäen hyökkääjä pystyy esimerkiksi kiristämään käyttäjiä tai varastamaan tietoja kenenkään huomaamatta.
Niin kutsutut sovellustietoiset palomuurit (Next Generation Firewall) ja sovelluspalomuurit (Web Application Firewall) antavat kattavamman suojan kuin tavalliset, perinteiset palomuurit, mutta pelkkään palomuuriin luottaminen ei estä tämän kaltaisia hyökkäyksiä. Palomuurin keräämä tieto mahdollisista uhkista ei kerro turvallisuuden tilasta tarpeeksi, jos saatua tietoa ei yhdistetä muista lähteistä kerättyyn informaatioon.
Otetaan esimerkiksi tilanne, jossa sovellustietoinen palomuuri havaitsee Windows-käyttöjärjestelmän haavoittuvuuteen liittyvää epäilyttävää liikennettä. Palomuuri tekee havaitsemastaan uhasta lukuisia kriittisen tason hälytyksiä, mutta mitä jos liikenne päättyykin ainoastaan Linux-palvelimille? Silloin tuhannet hälytykset ovat käytännössä aika turhia, sillä linux palvelin ei ole haavoittuva kyseiselle Windows haavoittuvuudelle. Miten näiden tuhansien väärien hälytyksien joukosta voidaan sitten löytää se yksi todellinen uhka?
Automatiikka, asiantuntija ja forensiikka tietoturvan toimintaketjussa
Kun puhutaan riittävästä kyberturvallisuudesta, tarvitaan verkkoon ja tietojärjestelmiin kattava kyberturvallisuusjärjestelmä, joka yhdistää jokaisen yksittäisen turvallisuusjärjestelmän (kuten Active Directoryn, virustorjunnan, proxyn ja palomuurien) tuottaman informaation yhteen paikkaan tarkasteltavaksi. Pelkkä turvallisuusjärjestelmä on vasta yksi askel kohti kokonaisvaltaisempaa tietoturvaa, sillä kyberuhan havaitsemiseen tarvitaan aina myös kyberturvallisuusammattilainen.
Jossittelu on turhaa, sillä kyberhyökkäyksien määrä on vain nousussa – on pelkkä ajan kysymys, milloin hyökkäys sattuu omalle kohdalle.
Kyberturvallisuusjärjestelmän automatiikka puolestaan auttaa niputtamaan tietoa uhista niin, että analyytikko voi tarkastaa tehokkaasti samaan ilmiöön liittyvät hälytykset yhtenä joukkiona. Analyytiikko varmistaa uhan todenperäisyyden, ja vasta sen jälkeen ryhdytään tarpeen vaativiin toimenpiteisiin.
Joskus kuitenkin hyökkäykset onnistuvat. Silloin hyvinkin pienestä tietoturvauhan havainnosta voi kasvaa mittava operaatio, jossa turvaudutaan digitaaliseen forensiikkaan. Hyökkääjiä jäljitetään vastaavilla tekniikoilla, joita viranomaisetkin, kuten poliisi, käyttävät tietoverkkorikoksia selvittäessään. Forensiikka auttaa selvittämään esimerkiksi mitä kautta haittaohjelma on levinnyt laitteeseen, mikä on ollut hyökkäyksen kohteena ja onko esimerkiksi yrityssalaista tietoa tai käyttäjien tunnuksia sekä salasanoja viety.
Miten takaat, että yrityksesi säästyy liiketoimintaa vahingoittavilta iskuilta? Kuinka nopeasti yrityksesi pystyy reagoimaan kriisitilanteessa? Jossittelu on turhaa, sillä kyberhyökkäyksien määrä on vain nousussa – on pelkkä ajan kysymys, milloin hyökkäys sattuu omalle kohdalle.
Wannacry-kiristyshaittaohjelman kaltaiset hyökkäykset ovat meille CGI:n kyberturvallisuuskeskuksessa (SOC:ssa) arkipäivää. Käsittelemme päivittäin lukuisia vastaavia tapauksia.
Kirjoittaja työskentelee johtajana CGI:n kyberturvallisuuskeskuksessa. Mikan tavoitat osoitteesta mika.heino@cgi.com.