DFIR on tietoturvan Batman

Tuomas Peltola, palvelun omistaja
IT-mies, joka on vaihtanut asiakkaasta palvelun kehittäjäksi. Yritän olla hurmaantumatta yksistään teknologioista, vaan siitä miten teknologioista saa nivottua toimivan palvelun asiakkaan tarpeisiin.
Blogi Kyberturva

DFIR eli “Digital Forensics & Incident Response” on vähän kuin tietoturvan Batman tai jokin muu hätätilanteita ratkova supersankari. Se astuu esiin ja ottaa homman haltuun, jos tietoturva syystä tai toisesta pettää. Tällaisia tilanteita voivat käytännössä olla esimerkiksi sellaiset, joissa tietoturvahyökkäys pääsee aktivoitumaan tai on vahva epäilys, että niin on päässyt käymään.

Tietoturvahyökkäyksen kohteeksi joutumisesta ei monesti haluta puhua ja sitä ehkä hävetäänkin. Kainosteluun ei kuitenkaan ole syytä, sillä niin saattaa käydä varotoimista huolimatta ja toisekseen, mahdollinen peittely vain pahentaa ongelmaa. Tärkeää on myös muistaa GDPR:n asettamat velvoitteet, jotka edellyttävät toimimaan.

Monesti hyökkäys ei edes onnistu täysin tai sen vaikutukset jäävät niin pieneksi, että kukaan ei oikeastaan edes huomaa käynyttä vahinkoa. Valitettavasti hyökkäykset joskus myös onnistuvat ja voivat olla hyvinkin laajoja, jolloin siivoaminen tulee kestämään pitkään. Joistain tilanteista voi selvitä pienellä vaivalla ja säikähdyksellä, kun taas toiset aiheuttavat valtavasti harmia, vahinkoa ja työtä. Tietoturvauhkia ja altistumista hyökkäyksille ei voi koskaan täysin poistaa, mutta niitä voi kyllä hallita.

Kun tietoturvauhka realisoituu

Miten vakava tietoturvauhka sitten aktivoituu ja miten se muuttuu hyökkäykseksi? Usein ajatellaan, ettei tietoturvahyökkäys iske juuri meihin. Ikävät asiat tapahtuvat yleensä jollekin toiselle ja jossain muualla:

”Murehditaan sitten, jos niin ikävästi tapahtuu. Onhan meillä backupit. Kaiketi tietoturvarikolliset hakevat ja saalistavat vain isoja ja tunnettuja firmoja. Eihän meitä voi huomata miljoonien yritysten joukosta?” Väärin!

Tähän löytyy osuva vertauskuva eläinmaailmasta. Saaliseläimet saavat suojaa petoja vastaan laumasta, josta voisi ajatella olevan vaikea valita yksittäistä kohdetta. Pedot kuitenkin etsivät ja huomaavat laumassa yksilön, joka nilkuttaa tai muuten vaikuttaa heikommalta kuin muut. Ne tietävät, että vaikka isosta saaliseläimestä saa enemmän syötävää koko petolaumalle, niin sen kaatamiseen vaaditaan paljon enemmän vaivaa ja taktikointia kuin pienemmän ja heikomman saaliseläimen nappaamisessa. Myös tietoturvarikolliset usein etsivät joukosta jollain tavalla heikkoja yksilöitä eivätkä vain isoja kohteita. Petoeläimiin verrattuna heillä on valjastettuna monenlaiset tekniikan ihmeet kaikkein haavoittuvimpien saaliiden löytämiseksi.

Tietoturvarikolliset skannaavat internettiä jatkuvasti ja etsivät internettiin auki olevista järjestelmistä haavoittuvuuksia tai kalastelevat uhreja lähettelemällä miljoonittain viestejä organisaatioiden sähköpostiosoitteisiin hyödyntäen rikollisten hallinnassa olevia bottiverkkoja. Jos jokin tärppää, peto on löytänyt uhrin eli kohdeorganisaation, jota kannattaa lähteä saalistamaan. Seuraavat tapahtumat riippuvat sitten siitä, miten hyvin tietoturvauhkien hallinta on organisaatiossa hoidettu ja miten kehittynyt hyökkäys on kyseessä.

Varautuminen on tietoturvan ydintä

Osana hyvää tietoturvan hallintaa on varautua siihenkin, että jokin voi pettää ja ”peto” pääsee hyökkäämään ja yllättämään. Kuten sanottua, tietoturvauhkilta ei voi koskaan 100 prosentin varmuudella suojautua. Mutta kun pahimpaankin osataan varautua ja prosessit on mietitty valmiiksi, voidaan vahingot minimoida. Saaliseläimellä voikin olla apunaan sarvet tai napakka potku, jolla pedon hyökkäys saadaan estettyä. Digitaalinen forensiikka auttaa, kun tietoturvahyökkäys on tapahtunut ja selvitetään hyökkäyksen laajuutta ja mitä tuhoja se on saanut aikaan. Tällöin kerätään todistusaineistoa rikostutkintaa varten ja pyritään selvittämään syyllinen. Digitaalinen forensiikka on tärkeää myös, jotta voidaan täyttää GDPR:n 72 tunnin ilmoitusvaatimus.

DFIR-palvelun toinen osa eli Incident response tarvitaan, kun hallitaan tietoturvahyökkäyksestä toipumista ja liiketoiminnan palauttamista normaaliin. Tämä voi olla kivulias ja yllättävän paljon aikaa vievä prosessi. Backuppeja ei ehkä voidakaan palauttaa palvelimille heti. Mistä tiedetään, että uhka on poistunut? Mitä jos se aktivoituukin kohta uudelleen ja taas menetetään työtä ja tietoa? Palvelinverkkoja joudutaan eristämään työasemaverkoista ja tilanne on hyvin stressaava. Töitä ei voida tehdä ja tuotantoa ei saada käyntiin. Menetetty työ turhauttaa työntekijöitä ja johtajat laskevat katkoksen aiheuttamia kustannuksia. Tässä tilanteessa täytyy vain pitää pää kylmänä eli minimoida vahingot ja palauttaa normaalitila vaiheittain.

Harvassa yrityksessä on riittävästi resursseja DFIR-tason toimintaan omasta takaa. Tällöin luotettava kumppani on erityisen tärkeä osa tietoturvaa. Lue lisää Loihde Trustin kotimaisesta CSOC-palvelusta. Tietoturva-analyytikkomme auttavat ja selvittävät yhdessä organisaation asiantuntijoiden kanssa, mitä on tapahtunut ja edesauttavat liiketoiminnan palautumista normaaliin.

Mitä tehdä, jos kosahtaa? Klikkaa lukemaan tietoturva-asiantuntijoille suunnatut askel askeleelta -ohjeet! Lisäksi saat kahdeksan kohdan tarkistuslistan tietoturvauhkiin varautumiseen.