Kirjoitimme keväällä Threat Intelligence -palvelumme tekemistä havainnoista Suomen verkoissa kasvaneesta haittaliikenteestä, kun koronakriisi tuli osaksi arkipäiväämme. Etätyöskentelyn jatkuessa uutena normaalina on aika ottaa uusi katsaus siitä, miten tilanne on kehittynyt. Emme seuraa tai raportoi kaikkia mahdollisia haavoittuvuuksia, mutta olemme kuitenkin tehneet havaintoja keräämiemme tietojen perusteella.

On havaittavissa, että Suomessa ja muissakin maissa organisaatiot ovat ryhtyneet toimenpiteisiin, ja tilanne on saatu osaksi haltuun. Organisaatioista osa on saanut vähennettyä tekniset uhkahavainnot verkoissaan lähes nollaan, mutta valitettavasti suurin osa ei.

Näyttää siltä, että pilveen sijoitetuista palvelimista jätetään osa valvomatta, sillä tilastomme osoittavat pitkäaikaisia haittaohjelmatartuntoja pilviympäristöissä. Oletamme näiden kohteiden olevan pääasiassa IaaS-koneita.

Uhkat eivät myöskään ole staattisia vaan niitä ilmenee uusia, kuten esimerkiksi Emotet-haittaohjelma. Koronakriisin aiheuttamat muutokset työskentelykäytännöissä jäävät osin pysyviksi. Tietoturvakontrollien mukautuessa työympäristöjen muutokseen hyökkääjätkin hakevat uusia menetelmiä ja pääsyjä kohteidensa ympäristöihin.

Esille nousee myös syys-lokakuussa kasvanut x.509-varmenteiden vanheneminen, mikä osoittaa, että organisaatiot eivät seuraa varmenteidensa elinikää, ja reagoivat vasta vanhentumisen jälkeen, jos silloinkaan. Esimerkiksi Equifax-tietomurrossa yksi pääsyistä havaintojen puutteellisuuteen oli valvonnan rampautuminen huomaamatta vanhentuneen varmenteen vuoksi.

Myös avointen tietokantojen määrä verkossa kasvaa. Näistä osa voi olla auki syystä, mutta osa unohtunut auki ja jäänyt päivittämättä. Rajoitusten ei tarvitse aina olla mustavalkoisia, vaan pääsyä voi rajata esim. tiettyihin verkkoihin. Vähimpien oikeuksien periaate (least privilege) on kuitenkin paras sääntö.

Puolustautuakseen IT-ympäristöjään uhkatoimijoilta organisaatioiden tulee kehittää tietoturvakyvykkyyksiään sekä ketterästi että pitkäjännitteisesti. Tämä on ymmärrettävästi haastavaa, koska budjetit ja resurssit ovat rajallisia, osin jo pelkästään taloudellisen ilmaston myötä. Organisaatioiden tulee kiinnittää huomiota seuraaviin tekijöihin, jotka mahdollistavat skaalautuvan puolustuksen.

On vaikea puolustautua vihollista vastaan, jota ei havaitse tai jonka olemassaolosta ei ole tietoa. Organisaation tulee varmistautua siitä, että sillä ja palveluntarjoajillaan on kyky havainnoida tietoturvapoikkeamia jatkuvasti ja systemaattisesti. Vain suurimpien toimijoiden voi odottaa rakentavan ja operoivan omaa SOC-toimintoaan (Security Operation Center), useimmat ostavat tätä palveluna.

Valintaa tehdessään on hyvä varmistua siitä, että palvelulla on näkyvyys sekä on-premise, että pilviympäristöihin, kattaen myöskin mahdolliset ulkomaiset yksiköt. Threat Intelligence -palvelut tukevat SOC:in toimintaa tarjoamalla ulkomaailman havaitsemaa tietoa uhkatoimijoista asiakkaan sektorilla ja myöskin asiakkaan omissa verkoissa.

On myös tunnettava oma ympäristönsä, sen mahdolliset haavoittuvuudet ja miltä oma hyökkäyspinta-ala näyttää ulkoisten toimijoiden silmissä. Tämä vaatii säännöllisiä haavoittuvuusskannauksia, murtotestauksia sekä oman ympäristön seuraamista Threat Intelligence -feedien avulla.

Monen organisaation haaste ei ole se, etteivät ympäristön tietoturvakontrollit ja -palvelut tuottaisi tarpeeksi hälytyksiä ja lokitietoa. Vastuuhenkilöt joutuvatkin useasti toteamamaan, etteivät resurssit ja aika riitä läheskään kaikkien poikkeamien tutkimiseen. Tällöin on hyvä todeta, mitä osaamista ja kapasiteettia tietoturvapoikkeamien tutkimiseen ja näihin vastaamiseen on mielekästä kehittää tai ylläpitää talon sisällä ja mitä voidaan kustannustehokkaasti ostaa ulkoisena palveluna.

Havaittujen poikkeamien tutkiminen on usein aikakriittistä toimintaa ja valmiiksi solmitut puitesopimukset Incident Response ja cyber-forensiikkapalveluista varmistavat, ettei aikaa huku toimijoiden etsimiseen tai neuvotteluihin. Nopea reagointikyvykkyys minimoi sekä rahalliset vahingot, että vaikutukset liiketoimintaan tai yrityksen maineelle.

Asiantuntijaosaamisen hyödyntäminen ei aina ole huokeaa, olivat resurssit sitten talon sisäisiä tai ulkoisia. Ulkoisia tietoturvapalveluita, kuten SOC:ia ostettaessa on hyvä pohtia yhdessä palveluntarjoajan kanssa, mihin rajallinen budjetti kannattaa kohdistaa.

Automatisoinnin, orkestroinnin ja koneoppimisen tarjoamat mahdollisuudet voivat karsia loki- ja hälytysmassan analysointiin kuluvan ajan murto-osaan. Näin ne vapauttavat asiantuntijoiden arvokkaan ajan varsinaisten kriittisten uhkien analysointiin ja näiden leviämisen ja aiheuttamien vahinkojen minimoimiseen.

Tietoturvapalvelut kuuluvat myös KPMG:n valikoimaan. 

Automatisoidut tietoturvakontrollit, pilvipalvelut tai asiantuntijaorganisaatiot eivät yksinään ylläpidä yhdenkään organisaation puolustusta tietoturvauhkia vastaan. Teknologian kehittyessä hyökkäysten kohteena on edelleen useimmiten ihminen. Henkilökunnan tietoisuutta tietoturvauhkista ja omasta roolistaan näitä vastaan puolustautumisessa tulee ylläpitää systemaattisesti ja toistuvasti. Tässä voidaan hyödyntää erimuotoisia välineitä ja viestintää, interaktiivisista koulutussessioista itseoppimiseen ja kriisiharjoituksiin.