Hyökkääjillä on käytössään erityisesti kaksi reittiä organisaatioiden järjestelmiin. Kalastelu on yksi ja toinen on verkon reunalaitteisiin suunnatut hyökkäykset. Jälkimmäisissä ei useinkaan ole tarkkaan määritelty tiettyä kohdeorganisaatiota, vaan hyökkääjä lähtee koputtelemaan heikkoa kohtaa ja odottaa, minne ovi avautuu.
Usein hyökkäykset perustuvat johonkin tiettyyn tiedossa olevaan haavoittuvuuteen. Loihteen Threat Intel Specialist Severi Muona sanoo, että hyökkääjä kohdistaa yleensä iskunsa laajalle ja katsoo sen jälkeen, mitä haaviin tarttuu ja päättää jatkotoimista. Kohdennettujakin hyökkäyksiä on, mutta usein asetelma on laaja ja kokeileva, mahdollisimman opportunistinen.
”Aina kun löydetään jokin uusi haavoittuvuus, on totta kai tärkeä tehdä päivitys. Se ei aina välttämättä kuitenkaan riitä, vaan kannattaa tehdä myös tietoturvatutkinta, onko haavoittuvuutta jo ehditty hyödyntämään. Tilanteet voivat olla todella nopeita ja yhdessä päivässäkin tapahtuu jo paljon”, Muona tietää.
Joskus organisaatioissa voidaan tuudittautua siihen, että jos päivitys tehdään, ongelma on poissa päiväjärjestyksestä. Hyökkääjä on kuitenkin saattanut jo hyödyntää haavoittuvuutta ja jättää itselleen takaportin, jota uusi päivitys ei enää suljekaan.
Tietoturva on aina valintoja
Muona korostaa, että tietoturva on aina laaja kokonaisuus, jossa harvoin yksittäinen napin painallus tai sen tekemättä jättäminen on erityisen ratkaisevaa.
”Esimerkiksi päivitysten osalta kyse on myös prosesseista, joilla niihin varaudutaan eli miten haavoittuvuuksia seurataan ja miten kriittiset päivitykset toteutetaan. Sekin on hyvä miettiä valmiiksi, miten toimitaan, jos päivitystä ei olekaan heti saatavilla.”
Tietoturvaa voi parantaa niin yksilön kuin koko organisaationkin tasolla. Oman toimintaympäristön ja tarpeiden tunteminen on oleellinen juttu ja pienikin tarkennus ja määrittely voi nostaa merkittävästi tietoturvan tasoa.
”Esimeriksi M365-ympäristöön kannattaa tehdä rajoitus, mistä maista kirjautuminen sallitaan. Jos organisaatio toimii vaikkapa ainoastaan Suomessa, rajoituksia voi ja on syytäkin tehdä.”
”Monesti me tietoturva-alan ammattilaiset haluaisimme asettaa paljonkin rajoituksia ja luoda mahdollisimman tietoturvallisia ja rajattuja ympäristöjä. Käytännössä on kuitenkin löydettävä tasapaino riittävän tietoturvan ja arjen sujuvuuden välille. Kannattaa miettiä myös sitä, mikä tieto on erityisen kriittistä ja miten se kannattaa suojata.”
Ennakointi antaa tärkeää etumatkaa
Muona korostaa sisäisen varautumisen merkitystä. Riskien läpikäynti ja hallinta ovat aivan keskeisiä tietoturvan kannalta.
”Tässä on hyvä olla todella konkreettinen. Suunnittelu ei saa jää sille tasolle, että varaudutaan vakaviin kyberpoikkeamiin, sillä se on liian ympäripyöreää. Paljon konkreettisempia kysymyksiä ovat, kuka vastaa mistäkin järjestelmästä ja kenelle soitetaan, jos jotain tapahtuu.”
Varautumisen tasoa on hyvä tarkastella säännöllisin väliajoin ja päättää konkreettisista askeleista tietoturvallisuuden parantamiseksi. Muona suosittelee myös luotettavan kumppanin kanssa tehtyä konsultointia ja poikkeamatilanteiden harjoittelua.
”Oman ympäristön tuntemus on tärkeää. On oltava tietoinen verkossa olevista laitteista ja niissä käytössä olevista järjestelmistä. Erityisesti kriittiset laitteet on tunnistettava. Jos sitten hyökkäys tapahtuukin, organisaatiossa ollaan siihen valmiimpia.”
Näkyvyyttä, osaamista ja reagointikykyä tarvitaan
Riskiarvio, MFA, vahvat salasanat, päätelaitesuojaus, identiteetin- ja pääsynhallinta, verkon kokonaisuuden ymmärrys ja tieto käytössä olevista laitteista sekä niiden järjestelmäversioista ovat kaikki tärkeitä asioita tietoturvan kannalta. CSOC eli kyberturvakeskus on myös oleellinen lenkki tietoturvan ketjussa. Mikäli käytössä on ulkopuolinen palveluntarjoaja, on syytä selvittää, mistä kukakin vastaa.
”Jos jotain poikkeavaa tapahtuu, CSOC:n analyytikko saa siitä hyvinkin nopeasti tiedon ja voi aloittaa reagoinnin. Tärkein viesti on se, että kun varautuminen ja valmistautuminen tehdään huolella, niin vaikka tulisi poikkeama, kyky reagoida on paljon parempi.”
Mikäli CSOC:ia ei ole käytössä, tietomurron laajuudesta on vaikea saada kiinni ja pahimmillaan tieto hyökkäyksestä tulee ensin organisaation ulkopuolelta. Jos lokeja ei ole, on vaikea edes spekuloida, mikä osa tietomassasta on päätynyt hyökkääjien käsiin.
”Jos on katveita, joihin ei ole näkyvyyttä, valvonta ei tietenkään sinne ulotu. Hyvä ja laaja näkyvyys on tärkeää. Lisäksi pitää olla reagointikykyä eli taito tarvittaessa pysäyttää verkon tapahtumia ja käynnistää toimet tietoturvapoikkeaman selvittämiseksi. Se vaatii paitsi näkyvyyttä, myös osaamista ja tarvittavia oikeuksia kohdejärjestelmässä.”
