Cisco Suomi
Share

Keskity uhkiin – havainnoi ja hallitse


10.11.2015


Digiajan tietoturvan tärkein ominaisuus on yhä kyky havaita ja torjua yrityksen toimintaympäristöön kohdistuvat uhkat ja hyökkäykset. Pelikenttä ja säännöt ovat kuitenkin muuttuneet oleellisesti aiemmin totutusta. Siksi meidän pitää päivittää tietoturvan pelivälineet ja pelitaktiikka.

Perinteisessä ns. kontrollikeskeisessä tietoturvassa luotetaan siihen, että ennalta määriteltyjen kontrollien ja tunnistamismenetelmien avulla voidaan havaita ja torjua kaikki hyökkäysyritykset verkon rajalla. Suomesta ja maailmalta löytyy kuitenkin lukuisia esimerkkejä tietomurroista, joissa hyökkäystä ei havaittu kuukausiin, jopa vuosiin. Silloinkin tieto tuli monesti ulkopuoliselta osapuolelta – organisaatio ei itse havainnut mitään ongelmaa verkossaan.

Näin on käynyt, vaikka tietoturvaratkaisut olisivat olleet ajan tasalla ja jopa viimeisintä huutoa. Ne tekevät mitä niiden pitääkin, mutta silti ne eivät pysty saamaan kiinni kaikkia hyökkäyksiä.

Mikä siis avuksi kun jotain vaarallista on hiipinyt verkkoon? Keskity uhkiin.

1: Tarkka tilannekuva

On vaikeaa puolustautua joltain, mitä ei näe kunnolla. Oleellista on nähdä reaaliaikaisesti ympäristö ja sen muutokset. Kun järjestelmän, päätelaitteen, palvelun ja niihin liittyvät haavoittuvuudet tuntee, niiden suojaaminen ja uhkien torjuminen helpottuu ja tehostuu. Tämä onnistuu parhaiten ns. uhkakeskeisellä tietoturvalla. Se nojaa tarkkaan tilannekuvanäkyvyyteen, kykyyn ymmärtää erilaisia hyökkäysvektoreita ja -signaaleja ja kykyyn toimia kaikkialla modernissa yritysverkossa.

2: Muutoksen havainnointi

Kehittyneet hyökkäykset tulevat sisään varkain. Käyttäjä on esim. avannut sähköpostissa huijausviestin tai saanut vierailustaan saastuneella tai kaapatulla nettisivulla koneelleen haittaohjelman. Tällöin on tärkeä huomata nopeasti, mikä muuttuu ympäristössä: päätelaite tai palvelin alkaa esimerkiksi lähettää dataa uuteen tai jopa vaaralliseksi tiedettyyn ulkoiseen osoitteeseen, liikennemäärä muuttuu, sitä liikkuu outoon aikaan tai sovellus alkaa käyttää uusia portteja. Oleellista on helposti saatava ja luotettava tieto siitä, mitä, missä, miten ja milloin tapahtuu ja on tapahtunut.

3: Kaikkialle ulottuva torjunta

Moderni yritysverkko koostuu perinteisen peruslähiverkon lisäksi monista eri ulokkeista niin pilviin kuin alati kasvavalle joukolle langattomia päätelaitteita ja -verkkoja. Tietoturvan ”sensorien” ja kontrollien onkin toimittava joustavasti monilla eri alustoilla, samalla kuitenkin osana keskitettyä tapahtumien analysointia ja hallintajärjestelmää.

4: Datan hyödyntäminen

Parhaimmillaan ympäristön signaalien ja poikkeamien reaaliaikaiseen havainnointiin yhdistetään ulkoinen data siitä, mikä tiedetään vaaralliseksi. Näin saadaan kokonaisvaltainen näkymä siihen, mitä yrityksen ympäristössä oikeasti tapahtuu. Kun käsillä on tarkka tieto siitä, mistä, milloin ja miten kyseinen hyökkäys tuli, tilanteen korjaaminen helpottuu ja nopeutuu oleellisesti. Ollaan parhaimmillaan jälleen toimintakunnossa minuuteissa tai tunneissa sen sijaan, että siihen kuluisi pahimmillaan päiviä tai viikkoja.

Suosittelen lämpimästi tätä ns. “havainnoi ja hallitse” -strategiaa digiajan tietoturvan pohjaksi ja sen hallintaan.

Leave a comment