Vastatoimet kyberhyökkäykseen

Vastatoimet kyberhyökkäykselle 10 vinkkiä

Viime viikkoina kyberhyökkäykset ovat lisääntyneet merkittävästi ja luonnollisesti myös Suomi saa lisääntyneestä rikollisesta toiminnasta oman osansa. Syitä tähän ei tarvitse kovin kauan miettiä. Lue tietoturva-asiantuntijan Mikko Tammiruusun 10 vinkkiä: vastatoimet kyberhyökkäykseen.

Hyökkääjistä aktiivisimmat näyttävät olevan Venäjän tiedustelupalveluun läheisesti liitettävät APT-ryhmät 28 (Fancy Bear), 29 (Cozy Bear, UNC2452), ja Primitive Bear/Gamaredon. Lisäksi myös tavalliset venäläiset kyberrikollisjärjestöt, kuten esimerkiksi Conti, ovat huomanneet oivallisen tilaisuuden hyökkäämiseen eri länsikohteita vastaan, ja he toimivat juuri nyt hyvin aktiivisesti. Conti:n, joka on yksi suurimmista RaaS (Ransomware as a Service) toimijoista, päämetodi on tietysti modernien kiristysohjelmien levittäminen ja lunnaiden vaatiminen.

Organisaatioiden monipuolisesta ja kattavasta kyberturvasta huolehtiminen ei koskaan ole ollut tärkeämpää kuin nyt. Vaikka valtiolliset toimijat, kuten vaikkapa jo mainitut APT-ryhmät, yrittävät hyökätä vain sellaisia kohteita vastaan, joihin heillä on omista syistään johtuvaa mielenkiintoa, niin kiristysohjelmia hyödyntäville kyberrikollisille kelpaavat kaikki kohteet. Luonnollisesti kriittiseen infrastruktuuriin ja siihen liittyviin toimialoihin kohdistuvat kyberhyökkäykset ovat nyt kaikkien eri hyökkäysryhmien ykkösprioriteetti.

Miten kyberhyökkäyksiä voidaan sitten havainnoida, torjua ja estää?

On tietysti selvää, että APT-ryhmillä voi olla tietoa sellaisista haavoittuvuuksista, tai ohjelmistojen ja protokollien väärinkäyttömahdollisuuksista, joista me muut emme vielä tiedä, ja niillä voi myös olla sellaisia työkaluja ja menetelmiä, joiden havaitseminen ei oikeasti ole helppoa tai mahdollista. Kuitenkin myös ne tarvitsevat aina jonkun ratkaisun tai tekniikan, jolla ne lopulta pääsevät organisaatioiden sisäverkkoon, tai julkipilviympäristöön. Tämän selvittämiseksi nekin aloittavat hyökkäyksensä kohteeseen tapahtuvalla tiedustelulla.

Tässäkin tilanteessa tulee suojautumisessa lähteä liikkeelle kyberturvallisuuden perushygieniasta, eli tärkeimpien asioiden kuntoon laittamisesta. Vastatoimet kyberhyökkäykseen:

1) Määritä kaikki organisaation liiketoiminnalle kriittiset prosessit, digitaaliset palvelut ja sovellukset. Huolehdi että vaste- ja toipumisprosessit näitä toimintoja vastaan tehdyille hyökkäyksille ovat päivitettyjä ja toimintakuntoisia.

2) Tiedä kaikki organisaatiosta ulospäin Internettiin näkyvät assetit, eli järjestelmät, sovellukset ja kriittiset digitaaliset palvelut. Huolehdi näiden kattavasta tietoturvasta, tee niihin jatkuvaa haavoittuvuusskannausta ja huolehdi myös haavoittuvuuksien aktiivisesta ja nopeasta paikkaamisesta.

3) Ota kaikissa digitaalisissa palveluissa käyttöön monivaiheinen ja vahva käyttäjätunnistus (MFA). Tämä koskee niin organisaation omia kuin ulkoistenkin kumppanien vastuulla olevia palveluita.

4) Suojaa organisaation päätelaitteet (työasemat ja serverit) modernilla, EDR-tason, päätelaitesuojauksella. Tällä niitä suojataan tehokkaasti haittaohjelmilta, esimerkiksi kiristysohjelmat, kuten myös prosessitason manipuloinneilta. Varmista haavoittuvuus- ja ohjelmistotietoisuus myös näiden laitteiden osalta, kuten myös löydösten perusteella tapahtuvat aktiiviset toimenpiteet.

5) Suojaa loppukäyttäjien sähköposti erityisen hyvin. Älä sokeasti luota palveluntarjoajan (Microsoft 365, Google Workspace) omiin suojauskyvykkyyksiin, vaan ota käyttöön lisäsuojaus kolmannelta osapuolelta.

6) Varmista julkipilvialustoilla, kuten esimerkiksi AWS, Azure tai GCP, toimivien omien infrastruktuuripalveluiden tietoturva. Sen toteuttaminen on aina asiakkaan vastuulla, ei koskaan pilven alustatoimittajan. Huolehdi vähintään siis vahvasta käyttäjätunnistamisesta, pääkäyttäjähallinnasta, virtuaaliympäristöjen haavoittuvuuksien havaitsemisesta ja hallinnasta, työkuormien suojaamisesta ja keskitetystä tapahtumien lokittamisesta.

7) Huolehdi etäkäyttöratkaisujen (VPN) ja -palveluiden (RDP, SSH) korkeasta tietoturvasta. Näiden osalta vahva ja monitasoinen käyttäjätunnistus (MFA) on aivan minimivaatimus. Noudata ”least privilege” tyyppistä käyttöoikeuspolitiikkaa, erityisesti pääkäyttäjien osalta. Lisää pääkäyttäjien tietoturvaa dedikoiduilla FiDo-avaimilla ja PAM-kontrollilla. Profiloi etäkäyttäjien päätelaitteet, ja salli kirjautuminen palveluihin vain hyväksytystä ja turvallisesta päätelaitteesta. Muista huolehtia myös etäkäyttöjärjestelmän tietoturvasta aktiivisesti sen ohjelmistoa päivittämällä.

8) Toteuta moderni varmuuskopiointiratkaisu, varmista ja testaa ratkaisun todellinen toimivuus kirjoitettujen DR-prosessien ja jatkuvien testiskenaarioiden kautta. Kiinnitä huomiota myös varmuuskopioiden suojaamiseen. Ympäristöön tunkeutunut taho ei saa päästä turmelemaan varmuuskopioita tai varastamaan tietoa salaamattomien varmuuskopioiden avulla.

9) Käyttöönota moderni ja keskitetty kirjautumis- ja tapahtumien lokitusratkaisu (SIEM). Ohjaa siihen lokit kaikista infrastruktuuripalveluista, kuten esimerkiksi AD, DHCP ja DNS, infrastruktuuri- ja tietoturvalaitteista, ja myös kaikentyyppisistä päätelaitteista. Ota huomioon myös erityyppiset pilvipalvelut, erityisesti IaaS-tyyppiset infrastruktuuripalvelut, ohjaa niiden tapahtumat ja lokit natiivien API-rajapintojen kautta yhteiseen SIEM-palveluun.

10) Älä yritä tehdä kaikkea itse. Tietoturvapoikkeamien havaitseminen, niiden analysointi ja niihin vastaaminen on kokopäivätyötä, ihan jokaisena päivänä. Tähän ei riitä pelkkä huipputeknologia, vaan tähän tarvitaan myös suunniteltuja prosesseja ja syvää osaamista. Harkitse modernin, kustannustehokkaan, 24×7 SOC– tai XDR-palvelun hankintaa, se voi maksaa itsensä moninkertaisesti takaisin jo ensimmäisen ajoissa havaitun ja torjutun tietoturvahyökkäyksen kautta.

Me Secure Cloudilla voimme monipuolisesti auttaa erikokoisten organisaatioiden haasteissa näitä uhkakuvia vastaan tietoturvan perushygieniaa kehittämällä. Aina ei ensimmäisenä pidä ostaa uutta teknologiaa jo olemassa olevan päälle, vaan lähtötilanteen analysointi, järkevät kehitystoimenpiteet ja modernien palveluiden käyttäminen tarjoaa useasti paljon paremman lopputuloksen.

Jos haluat tietää lisää, tai teknisesti syvemmän keskustelun tästä kuumasta aiheesta, niin ota reippaasti yhteyttä.

Mikko Tammiruusu

Mikolla on yli 30 vuoden kokemus verkkomaailmasta. Näistä yli 20 vuotta hän on käyttänyt tietoturvan parissa työskentelyyn, ja tähän matkaan on mahtunut hyvin paljon erilaisia toimenkuvia ja tietoturvateknologioita. Viimeiset kymmenisen vuotta Mikko on pyrkinyt ratkaisemaan pilvimaailman ja -palveluiden haasteita, ja myös hyödyntämään niiden mahdollisuuksia, erityisesti tietoturvan näkökulmasta. Nykyisin Mikon toimenkuvana on toimia SCF:ssä teknologiajohtajana ja Security Advisorina.