Siitä yli mistä aita on matalin

Tutkittaessa verkkohyökkäyksiä ja niistä kertovaa uhkadataa, tulee esille muutama perustavanlaatuinen syy jatkuville ongelmille. Monet yritykset ja ihmiset eivät päivitä laitteidensa käyttöjärjestelmiä eikä ohjelmistoja riittävän usein eikä kattavasti. Toinen ongelma on, että järjestelmien looginen tietoturvasuojaus pettää eri käyttötilanteissa.

Internetistä saatavissa olevilla haavoittuvuustiedoilla voidaan identifioida käyttäjän tarkkuudella tiettyjen organisaatioiden avoimeksi jääneitä työasemia. Nämä tiedot ovat hyökkääjien käytössä ilman omia aktiivisia toimenpiteitä, jolloin hyökkäyksen suorittaminen on suoraviivaisempaa. Lisäksi haasteet näkyvät siinä, että useita vuosia vanhoilla hyökkäysmetodeilla ja haittaohjelmilla päästään edelleenkin liian monen tietojärjestelmän sisään. Näitä aukkoja hyödyntävät niin valtiolliset toimijat, koulupojat kuin myös automaattisesti leviävät haittaohjelmat. Miksi käyttää aikaa ja vaivaa kun sisään pääsee helpommallakin eikä tarvitse ottaa riskiä esim. 0-päivä haavoittuvuuksien paljastumisesta.

KPMG Threat Intelligence Service tiedon mukaan haittaohjelma-, botnet-, phishing-, skannaus- ja muu haittaliikenne on hieman vähentynyt Suomessa kuukauden aikana. Aineistosta voidaan todeta, että mm. 2014 aikana löydetyt haavoittuvuudet ovat edelleen hyödynnettävissä. Suomen tietoverkoista löytyy avoinna internetiin olevia teollisuusautomaatiojärjestelmiä, erilaisia muita laitteita ja tietokoneita sekä tietokantoja. Tietoturva-ammattilaiset sekä viranomaiset ovat vuosia varoittaneet yrityksiä ja yhteisöjä näistä vaaroista, mutta varotukset ovat menneet osin kuuroille korville.

Kun haavoittuvuutta hyväksikäytetään verkkohyökkäyksessä ja jos uhriorganisaatio sen sattumalta havaitsee, monella menee sormi suuhun. Tähän hetkeen olisi syytä etukäteen valmistautua, sillä asian oikeaoppinen tutkiminen ja jatkuvuuden varmistaminen yöunia menettämättä on vaikeaa. Ideaalitilanteessa tietokone on hyvä saada tutkijan näppeihin, mutta eritysesti ”koronaetäilyn” aikana se ei tapahdu useinkaan helposti eikä nopeasti.

Mökillä saaristossa olevan etätyöntekijän koneen tutkinta Helsingissä toimivan helpdeskin toimesta edellyttää ohjelmistoa, osaamista sen käyttämiseen sekä yleisempää ymmärrystä forensiikasta ja todisteiden käsittelystä. Nämä EDR/RDR-työkalut (endpoint detection and response, rapid detection and response) ovat erittäin tärkeä osa yrityksen työkalupakkia verkkohyökkäysten ja ongelmien selvittämisessä. EDR-työkalut tarjoavat nopeutta sekä joustavuutta ja mahdollistavat menneiden tapahtumien selvittämisen lisäksi myös vielä pimennossa olevien uhkien paljastamista. Poikkeaman sattuessa, esimerkiksi työasema analysoidaan etäältä tarkemmin kuin normaali haittaohjelmatorjunta kykenee. Laite voidaan sulkea verkosta analyysin ajaksi ja tehdä tarkempaa toiminta-analyysiä, vaikka varsinaista haittaohjelmatunnistusta ei tapahtuisikaan.

Tutustu tarkemmin Cyber Defense Service -palveluun, jonka yhtenä osana on Cyber Forensics -palvelu.