Onko yritykselläsi riittävä kyky havaita kyberhyökkäyksiä?

Kyberhyökkäykset ovat tämän päivän todellisuutta. Muutamien viimeisten kuukausien aikana mediassa on ollut useita uutisia suomalaisista yrityksistä ja organisaatioista, jotka ovat joutuneet hyökkäysten kohteeksi. Tietomurron tai muun hyökkäyksen kohteeksi joutuminen ei aiheuta pelkästään palvelujen toimimattomuutta tai imagotappioita, vaan se maksaa merkittäviä summia rahaa. Erään tutkimuksen mukaan keskimääräinen hinta kyberhyökkäyksen kohteeksi joutuneelle yritykselle on noin 2,4 miljoonaa euroa.

Hyökkäyspinta kasvaa jatkuvasti

ICT-infrastruktuurin jatkuvasti kasvaessa hyökkäyspinta ja hyväksikäyttömahdollisuudet kasvavat räjähdysmäisesti. Saman aikaisesti kuin uusia digitaalisia palveluja otetaan käyttöön, pitäisi myös miettiä, miten ympäristö suojataan kyberuhkalta. Perusratkaisut, kuten antivirus-ohjelmisto tai palomuuri, eivät välttämättä riitä. Erään tilaston mukaan 69 % yrityksistä eivät usko, että uhkat, joita he näkevät, voitaisiin torjua antivirus-sovelluksilla.

Tehokas kyberuhkien torjunta vaatii näkyvyyttä kaikkiin ICT-infrastruktuurin osiin. Ei siis riitä, että tehdään havainnointia pelkästään ulkoverkon reunalla. Havainnointia pitäisi pystyä tekemään kaikilla ICT-ympäristön kerroksilla ja vieläpä reaaliajassa, jotta voidaan varmistua siitä, että ympäristöön ole tunkeutunut ulkopuolisia toimijoita.

Kehitä havainnointikykyä ja valmiuksia

Oman organisaation havainnointikykyä voi arvioida kahdella tavalla. Ensimmäinen on kyky nähdä ICT-infran eri nurkkiin. Eli kyky ja mahdollisuus kerätä loki- ja tapahtumadataa kattavasti eri kerroksilta; päätelaitteet, verkkolaitteet, palvelimet, sovellukset, palomuurit, muut tietoturvakomponentit jne. Kattava datankerääminen vaatii riittävän tallennusjärjestelmän sekä varmistetun keräysmekanismin siten, että lokitietoa tallentuu, vaikka siirtoyhteyksillä olisikin häiriöitä.

Toinen arvioitava kokonaisuus on kyky käsitellä sekä ymmärtää kerättyä loki- ja tapahtumadataa mahdollisten poikkeamien havaitsemiseksi. Perinteisesti poikkeamien havainnointi on perustunut korrelaatioon ja ennalta määrättyihin sääntöihin tai tapahtumaketjuihin, joiden pohjalta järjestelmä (usein SIEM) on luonut tietyn vakavuustason hälytyksen. Poikkeavuuksien havainnointiin on viime vuosina pyritty kehittämään uusia menetelmiä kuten koneoppimisella koulutettu keinoäly sekä hyökkäysmallinnusta soveltavia ratkaisuja. Näissä pohjana on usein pilvessä sijaitseva tietämysvarasto, johon vertaamalla voidaan saada erilaisia todennäköisyyksiä havaitulle tapahtuman aiheuttajalle.

Teknologia on hyvä renki – mutta isäntä myös tarvitaan

Havaintojen ymmärtämisessä ja jatkoanalysoinnissa osaavalla ihmisellä on edelleen vahva rooli. Järjestelmä usein toimii kuten se on koodattu toimimaan, mutta ihminen voi tarkastella asiaa myös tunnepohjalta sekä pohtia vaihtoehtoja, joihin kone ei kykene. Ihminen on myös huomattavasti parempi tekemään proaktiivista kyberuhkan metsästystä organisaation ICT-ympäristössä. Tavoitteena on näin havaita kyberhyökkäys ennen kuin havainnointijärjestelmä hälyttää.

Kun pohtii otsikon kysymystä, on hyvä muistaa, että asia ei ole pelkästään teknologinen. Laitteita ja sovelluksia hankkimalla mahdollistetaan havainnointi, mutta työkalu tarvitsee myös osaavan käyttäjän. Ja mielellään käyttäjän, joka pystyy analysoimaan koneen tuottamia havaintoja ympärivuorokautisesti. 24/7-kyvykkyys on usein myös merkittävä syy, kun organisaatio ulkoistaa kyberturvallisuuden reaaliaikaisen valvonnan ja havainnoinnin, koska omaa resurssia ei ole välttämättä järkevää hankkia.