Kirjoitimme keväällä Threat Intelligence -palvelumme tekemistä havainnoista Suomen verkoissa kasvaneesta haittaliikenteestä, kun koronakriisi tuli osaksi arkipäiväämme. Etätyöskentelyn jatkuessa uutena normaalina on aika ottaa uusi katsaus siitä, miten tilanne on kehittynyt. Emme seuraa tai raportoi kaikkia mahdollisia haavoittuvuuksia, mutta olemme kuitenkin tehneet havaintoja keräämiemme tietojen perusteella.
On havaittavissa, että Suomessa ja muissakin maissa organisaatiot ovat ryhtyneet toimenpiteisiin, ja tilanne on saatu osaksi haltuun. Organisaatioista osa on saanut vähennettyä tekniset uhkahavainnot verkoissaan lähes nollaan, mutta valitettavasti suurin osa ei.
Näyttää siltä, että pilveen sijoitetuista palvelimista jätetään osa valvomatta, sillä tilastomme osoittavat pitkäaikaisia haittaohjelmatartuntoja pilviympäristöissä. Oletamme näiden kohteiden olevan pääasiassa IaaS-koneita.
Uhkat eivät myöskään ole staattisia vaan niitä ilmenee uusia, kuten esimerkiksi Emotet-haittaohjelma. Koronakriisin aiheuttamat muutokset työskentelykäytännöissä jäävät osin pysyviksi. Tietoturvakontrollien mukautuessa työympäristöjen muutokseen hyökkääjätkin hakevat uusia menetelmiä ja pääsyjä kohteidensa ympäristöihin.
Esille nousee myös syys-lokakuussa kasvanut x.509-varmenteiden vanheneminen, mikä osoittaa, että organisaatiot eivät seuraa varmenteidensa elinikää, ja reagoivat vasta vanhentumisen jälkeen, jos silloinkaan. Esimerkiksi Equifax-tietomurrossa yksi pääsyistä havaintojen puutteellisuuteen oli valvonnan rampautuminen huomaamatta vanhentuneen varmenteen vuoksi.
Myös avointen tietokantojen määrä verkossa kasvaa. Näistä osa voi olla auki syystä, mutta osa unohtunut auki ja jäänyt päivittämättä. Rajoitusten ei tarvitse aina olla mustavalkoisia, vaan pääsyä voi rajata esim. tiettyihin verkkoihin. Vähimpien oikeuksien periaate (least privilege) on kuitenkin paras sääntö.
Puolustautuakseen IT-ympäristöjään uhkatoimijoilta organisaatioiden tulee kehittää tietoturvakyvykkyyksiään sekä ketterästi että pitkäjännitteisesti. Tämä on ymmärrettävästi haastavaa, koska budjetit ja resurssit ovat rajallisia, osin jo pelkästään taloudellisen ilmaston myötä. Organisaatioiden tulee kiinnittää huomiota seuraaviin tekijöihin, jotka mahdollistavat skaalautuvan puolustuksen.