Tietomurto tapahtuu — varaudu siihen

Tagit: Tietoturva, IBM, Konsultointi, Ohjelmisto, kyberturvallisuus

post_image

Nykyisessä tietoturvamallissa ei voi enää luottaa puhtaaseen sisäverkkoon, vaan tulee enemmänkin ajatella, että tietomurto tulee tapahtumaan ennemmin tai myöhemmin.


Hyökkääjät voivat yrittää loputtomiin ja heidän tarvitsee onnistua vain kerran, kun taas puolustajana sinun pitäisi onnistua joka kerta estämään hyökkäys. Henkilöstön ei tarvitse avata kuin yksi haitallinen linkki sähköpostista tai surffata yhdellä saastuneella www-sivustolla, jonka seurauksena sisäverkkosi voi saastua täysin.

Ihmiset tulevat aina avaamaan saastuneita linkkejä ja sivustoja, vaikka heitä kuinka koulutetaan. Tietokoneet tulevat saastumaan erittäin suurella todennäköisyydellä. Nollapäivähaavoittuvuuksia, huonosti päivitettyjä ja konfiguroituja ohjelmistoja löytyy aina.

Tietomurtoon pitää siis varautua kahdella eri menetelmällä:

  • Sisäverkkoon pitää rakentaa erittäin monta tietoturvan eri kerrosta eikä luottaa vain antivirukseen ja tietoturvapäivityksien asentamiseen.
  • Lisäksi tilannetta pitää monitoroida jatkuvasti, koska muuten murtoa on lähes mahdotonta huomata. Tarvitaan siis SIEM-järjestelmä, kuten IBM QRadar.
Luomalla tarpeeksi monta kerrosta tietoturvaa, voidaan iso osa murroista estää ja onnistuneissa tapauksissa hyökkääjä pakottaa olemaan aktiivisempi. Lisääntynyt aktiivisuus johtaa tehokkaan monitoroinnin avulla murron havaitsemiseen heti alkuvaiheessa, ennen kuin koko verkko murretaan ja yrityksen tiedostot kopioidaan hyökkääjälle.

Vaikka murto huomataan lopulta, ilman SIEM-tuotetta yrityksellä kuluu noin 70 päivää ennen kuin murrosta toivutaan. Näin pitkä aika kuluu koska ilman SIEM-järjestelmää on erittäin hankalaa selvittää mitä kautta hyökkäys on tapahtunut ja mihin asti se on päässyt.

Jos ei tiedetä mitä kautta hyökkäys tapahtui, se tulee tapahtumaan uudestaan.
Hyökkäyksestä toipuminen on kallista ja hetken kuluttua ollaan taas samassa tilanteessa. SIEMin avulla kyetään havaitsemaan tietomurrolle tyypillisiä tapahtumia: yhdellä käyttäjätunnuksella kirjaudutaan erittäin moneen eri järjestelmään lyhyen ajan sisällä, suoritetaan erilaisia skannauksia jne. Ilman SIEMiä näiden asioiden havaitseminen eri laitteiden lokimassoista ja tärkeiden tapahtumien yhdistäminen on erittäin vaikeaa. Tässä tulee esille SIEMin vahvuus ja sen välttämättömyys!

Jouni Hämäläinen
Tietoturva-asiantuntija
Combitech Oy

Pinterest

Muita julkaisuja Combitech Oy:lta