Viimeisten 25 vuoden ajan olen seurannut kyberturvatrendien kehittymistä, ja yrittänyt torjua, tietoturvauhkia, haittaohjelmia ja muita tietoturvaan liittyviä ongelmia. Hyökkääjien taktiikat ja tekniikat kehittyvät jatkuvasti, koska kaikki uudet innovaatiot tasoittavat ja helpottavat myös kyberrikollisten tietä, ja tunnetusti he ovat erittäin ketteriä ja nopeita adaptoimaan uusia ja entistä parempia hyökkäysmenetelmiä työkalupakkiinsa.
Kyberturvatrendien ja -uhkien kehittyminen vuosien varrella
Muistan oikein hyvin sen ajan, kun uusia haittaohjelmia ja haittakoodia ilmestyi harvakseltaan per päivä, ja ne olivat vielä täysin käsityötä. Silloin niitä vastaan pärjättiin staattisilla signature-tietokannoilla, ja niitä ehti vielä manuaalisesti hyvin tutkimaan ja torjumaan. Näin ei ole asiat nyt, eivätkä ne ole olleet tuollaisia enää viimeiseen 5–10 vuoteen. Nykypäivänä kyberrikollisten, olivat he sitten kaupallisia, tai valtiollisia, käyttämät taktiikat, tekniikat ja proseduurit ovat aivan eri tasolla, joten on myös luonnollista, että myös nykypäivän uhkakuvat ovat myös muuttuneet todella paljon. Tekoälyä hyödyntävät kaikki, myös kyberrikolliset. Tämä, ja sen mahdolliset lopputulokset, tuovat aivan uuden haasteen meille kaikille.
Jo usean vuoden ajan erilaiset kirityshaittaohjelmat ovat olleet suurin uhka, ihan kaikille yrityksille. Kyberrikollisten omat ekosysteemit ovat myös kehittyneet siihen suuntaan, että nykyisin valtaosa kiristyshaittaohjelmien hyökkäyksistä toteutetaan palveluna, Crimeware-as-a-Service, CRaaS. Siinä eri rikollistoimijoilla on omat tehtävänsä, yksi myy toimivaksi todettua pääsyä uhrin infrastruktuuriin, toinen myy toimivia identiteettejä, kolmas myy tarvittavaa haittakoodia jne. Nämä komponentit yhdistämällä saadaan toimiva kombinaatio, jolla sitten itse hyökkäys toteutetaan. Yhä pidemmälle on menty myös siinä, että perinteistä tietokoneiden ja servereiden kryptaamista ei välttämättä tehdä enään lainkaan, vaan kiristetään viedyllä datalla, ja sen mahdollisella julkaisemisella. Tätä tekstiä kirjoitettaessa, ei julkisuudessa ole ollut tietoa siitä, mikä tulee olemaan Helsingin Kaupungin massiivisen tietovuodon seuraava vaihe, onko se kiristys, vai joku muu.
Vaikka CRaaS ja kehittyvät kiristysohjelmatrendit esittävätkin haasteita ihan jokaiselle organisaatiolle, on myös aina otettava huomioon se, että valtiolliset toimijat ovat tarvittaessa vieläkin pidemmällä, ja he voivat tehdä hyvin pitkälle suunniteltuja hyökkäystoimenpiteitä jopa hyvin turvallisuustietoiseen organisaatioon. Erittäin hyvä esimerkki tästä on taannoinen hyökkäys itse Microsoftia kohtaan. Hyökkäyksen alkujuuri oli puutteellisesti konfiguroitu Microsoft Entra-ID testiympäristö, jonka venäläinen valtiollinen toimija nimeltään Midnight Blizzard (tunnetaan myös nimillä CozyBear, APT29, tai Nobelium) löysi, ja jonka kautta se pääsi kiinni Microsoftin työntekijöiden, jopa johtajatason, sähköposteihin, joka sitten taas mahdollisti useita eri jatkovariaatioita. Koska hyökkäys oli hienosti suunniteltu, ja toteutettu, niin vaikka se alkoi jo marraskuussa 2023, niin se havaittiin vasta tammikuussa 2024. Vahingon määrää voi vain arvuutella.
Mihin sitten yrityksen tietohallintojohtajan kannattaisi keskittyä tänä vuonna?
On olemassa neljä selvää kyberturvatrendiä, joihin yritysten johdon kannattaisi keskittyä ja jotka vaativat heidän huomioita, ei ainoastaan kehittyvien uhkien torjumista vastaan, vaan myös organisaationsa aseman parantamiseksi, ja hyödyntämään näiden tietoturvatrendien ja ratkaisujen mahdollistamaa kasvupotentiaalia.
1. Tekoälysovellukset (Generative AI)
Olipa kyse sitten sen vaikutuksesta kyberturvallisuuteen, liiketoimintaan, laajemmin teknologiaan tai yhteiskuntaan yleensä, tekoäly ja siihen liittyvät ratkaisut, tulee tänä ja seuraavina vuosina olemaan yleistä keskustelua hallitsevia asioita. Jokaisen tietoturvajohtajan pitää miettiä tasapainoa tämän uuden teknologian omaksumisen, käytön, ja mahdollisesti sen aiheuttamien riskien välillä. Tätä tasapainoajattelua ei kannata unohtaa, vaikka tekoälyratkaisut muuttaisivat merkittävästi muotoaan ja kykyjään.
Käytännössä yllä oleva tarkoittaa sitä, että organisaatioissa pitää olla vähintäänkin perustason säännöt siihen, miten AI-sovelluksia saa käyttää, ja kuinka niiden käyttöä voidaan kontrolloida. Teknisiä mahdollisuuksia kontrollointiin on jo nyt, ja yleensä AI-sovellusten täydellinen käyttökielto on huonoa politiikkaa. Loppukäyttäjät tarvitsevat ohjeistusta siihen, kuinka he voivat hyödyntää AI-sovelluksia omiin tarpeisiin, ja saada sitä tuottavuushyötyä, jota yleensä tavoitellaan. Tähän ohjeistamiseen on myös teknisiä ratkaisuja olemassa, ja se voi vaikka pohjautua loppukäyttäjille tuleviin ponnahdusikkunoihin, joissa käyttäjää ohjeistetaan toimimaan oikein.
2. Zero Trust Arkkitehtuuri ja sen implementointi
Zero Trust arkkitehtuuri (ZTA) on yksi lempiaiheistani, sitä ja sen vaatimia prinsiippejä on useissa eri organisaatiossa varmasti jo muutaman vuoden mietitty, osittain jo kokeiltu, tai jopa lähdetty matkaan sitä kohti. Kehittyneet uhkakuvat ja -trendit korostavat ZTA:n hyödyllisyyttä, esimerkiksi tyypillisen toimitusketjuhyökkäyksen, tai datavuotojen ehkäisemiseksi tarvittavien politiikkojen ja niitä toteuttavien teknologioiden kautta.
Zero Trust on kuitenkin aina matka kohti parempaa ja turvallisempaa arkkitehtuuria, ja se vaatii aina tyypillisten ajattelumallien muutosta. Ihan ensimmäisessä vaiheessa yritysten kannattaisi selvittää oma Zero Trust-maturiteettitasonsa (ZTMM), saada sen analyysin perusteella suuntaviivat ja roadmap sille, miten edetä, kuinka korkeaa maturiteettitasoa tavoitellaan, ja kuinka nopeasti haluttu taso on mahdollista saavuttaa. ZTMM-mallista voidaan esimerkkinä mainita identiteettien suojaaminen, jossa pelkkä MFA ei vielä riitä. Samoin verkkosegmentoinnissa pitäisi luopua VLAN-pohjaisesta ajattelusta, ja mennä kohti sovellus-kohtaista mikrosegmentointia.
Nämä kaikki kuitenkin vaativat aina kehittynyttä osaamista, omaa tai palveluna hankittua, ja tietysti myös investointeja. Kuitenkin jokaisen tietohallintojohtajan kannattaa pitää mielessä se iso kuva, jossa Zero Trust arkkitehtuuri on uusien liiketoimintaratkaisujen turvallinen mahdollistaja, ei pelkkä kulu.
3. Pilvitietoturva
Itsestäni tuntuu hieman oudolta, että tämä asia on vuonna 2024 edelleen tällä prioriteettilistalla, ja myös monen tietohallintojohtajan pöydällä. Tästä asiasta on kuitenkin puhuttu jo se 5–10 vuotta. Myönnetään kuitenkin se, että aihe on monisyinen ja vaikea. Toisille tietohallintojohtajille pilvitietoturva tarkoittaa vain SaaS-palveluita, toisille vain IaaS-palveluita, ja toisille ihan kaikkia pilvipalveluita.
Luonnollisesti pilvipalveluiden tietoturvahaasteet ja -ratkaisut riippuvat siitä, millaisia itse palvelut ovat. SaaS-palveluita, sinne ja siellä käsiteltävän datan ja identiteettien osalta kontrollimenetelmät ovat jo vakiintuneita, siihen tarvitaan ominaisuuksiltaan monipuolinen CASB- tai SASE SSE-ratkaisu. Ihan toisenlainen uhkakuva nousee uudemmasta ongelmasta, nimittäin eri SaaS-palveluiden välisistä yhteyksistä, ja niiden ekosysteemeistä. Ihan lähitulevaisuudessa tähänkin kasvavaan ongelmaan pitää kyetä reagoimaan.
IaaS-pohjaiset julkipilvipalvelut ja niiden suojaaminen ovat sitten aivan toinen juttu. Ympäristöt voivat aina olla hyvin asiakaskohtaisia, joten kaikille sopivaa geneeristä toimintamallia voi olla vaikea löytää ja toteuttaa. Samoin julkipilvikokonaisuuden hahmottaminen on tässä toimintaympäristössä ensisijaisen tärkeää.
Turvallisen ympäristön rakentaminen alkaa siitä, että sinne tuotettava sovelluskoodi on jo syntyessään monella eri tavoin testattua ja turvallista. Hyvin usein tämä on kulttuurinen asia, joka pitää selväsanaisesti käydä DevOps-sovelluskoodaajien kanssa lävitse. Tähän liittyy voimakkaasti myös tehtävien automatisointi, ja konfiguraatiomäärittelyt (IaC) osana kokonaisuutta.
Samoin se, että onko IaaS-ympäristö rakennettu vaikkapa Best Practice-mallien mukaisesti, tai jotakin sopivaa viitekehystä noudattaen. Koska näiden pilviympäristön luonne on hyvin usein dynaaminen, niin myös tätä testaamista, jota kutsutaan CSPM:ksi (Cloud Security Posture Management), pitää ajaa jatkuvana prosessina, yksi kertaluonteinen ”Health Check” ei riitä.
Identiteetit ja niiden väärät, tai liian laveat, käyttöoikeudet eri IaaS-ympäristöjen resursseihin, on aivan valtava päänsärky ja ongelmakenttä. Yleensä tämä on ollut yksi juurisyistä siihen, miksi massiivisia datavuotoja julkipilvialustoista tapahtuu edelleen. Ongelmaa ja sen ymmärtämistä vaikeuttaa se tosiasia, että IaaS-ympäristöissä ihan kaikilla asioilla on identiteetit, ja suurin osa näistä identiteeteistä on koneidentiteettejä, kuten kontit ja palvelufunktiot, eivät suinkaan tavallisten käyttäjien identiteettejä. Tätä uutta ongelmaa kutsutaan termillä ”Shadow Access”, ja sitä vastaan, tai sen selvittämiseksi, tarvitaan teknologialla nimeltään CIEM (Cloud Infrastructure Entitlement Management).
CSPM- ja CIEM-ratkaisut ovat selvittely- ja monitorointiteknologioita, jotka ovat hyvin tärkeässä roolissa myös Zero Trust-arkkitehtuurin kannalta, mutta niillä ei suojata tai estetä yhtään mitään, sitä varten tarvitaan taas lisää uusia teknologoita. Tässä kohtaa julkipilvialustoissa astuu kuvaan suojausominaisuuksia sisältävät CWPP (Cloud Workload Protection Platform) ratkaisut, joita on sitten saatavilla hyvin monenlaisina toteutuksina, vaikkapa agenttipohjaisena, tai sitten API-pohjaisena ”agentless” ratkaisuna. Yleensä CWPP:tä täydennetään CDR:llä, eli Cloud Detection & Response ratkaisulla, joka taas on reaaliaikainen havaitsemis- ja analysointiratkaisu.
Kaikesta yllä olevasta voi helposti päätellä sen, että julkipilvialustojen kattava suojaaminen ei ole ihan helppoa, eikä ilmaistakaan, joten otetaan hieman sanoja takaisin, ja myönnetään että tämän asian kuuluminen vuoden 2024 prioriteettilistalle on edelleen ihan hyvin perusteltavissa.
4. Kyberturvallisuuden monimutkaisuus ja valmiuksien kehittäminen
Riskien monimutkaisuus ja määrä eivät ole koskaan olleet niin suuria kuin nyt, kun yritykset väistämättä kasvattavat teknologista jalanjälkeään ja kyberrikolliset jatkavat edelleen hyökkäysmenetelmiensä laajentamista. Toisaalta elämme myös ennennäkemättömien kyberpuolustusvalmiuksien aikaa, ja organisaatioilla voi olla käytössä uskomattoman hienoja tietoturvateknologoita ja hyvin paljon analyysidataa.
Itse asiassa, kun tarkastellaan organisaatioiden tietomurtoja syvemmin, ei ole harvinaista, että iso osa tietoturvatoiminnoista ja ominaisuuksista, joita heillä olisi lisenssimielessä käytettävissä, ei ollut hyödynnetty. Tästä tyypillisenä esimerkkinä voidaan mainita Microsoft 365 E5-paketin tietoturvaominaisuudet, ja niiden käyttämättä jättäminen. Tai ihan perushygienian, kuten kriittisten päivitysten tekemättä jättäminen.
Ei siis ole yllätys, että yksi tärkeimmistä teemoista, joihin organisaatioiden tietohallintojohtajien pitää ottaa kantaa vuonna 2024 on se, miten he kehittävät kybervalmiuksiaan ajan myötä. Esimerkiksi tehdäänkö kaikki mahdollinen vain yhden teknologiatoimittajan (esimerkiksi Microsoft) ratkaisuja hyödyntäen, vai käytetäänkö useita eri toimijoita, ja siten kerroksellista suojaamista. Samoin onko sillä merkitystä, kuinka paljon aikaa omalla henkilökunnalla menee näiden asioiden ylläpitämiseen ja analysointiin, ja onko siihen edes realistisia resursseja. Ja lopulta voidaan aina tulla siihen kysymykseen, että onko se edes oma henkilökunta, jolla tämä asia hoidetaan, vai hankintaanko moderni 24×7 MDR-palvelu.
Alkuperäinen teksti: SANS CISO Primer – 4 Cyber Trends That Will Move the Needle in 2024