Kybertoimintaympäristön muutokset vaativat organisaatioilta nopeaa reagointikykyä. Riittävä näkyvyyden puute muodostaa riskin toiminnan jatkuvuudelle. Uhkien laaja-alaisten vaikutusten ymmärtäminen on entistä tärkeämpää palautumisen näkökulmasta. Samaan aikaan kyberuhkat ovat kehittyneet monimutkaisemmiksi ja hienostuneemmiksi.
17 305, 18 323, 20 153, 25 082. Cloud, AI & ML, IoT, Edge Computing, 5G. GDPR, NIS2, CER, CRA, CSA… Lukuja, teknologioita ja sääntelyä, jotka ovat aiheuttaneet unettomia öitä organisaatioiden tietoturvapäälliköille sekä muille tietoturvasta vastaaville.
Tietoturvaan liittyvän sääntelyn määrä on kasvamassa ja se sisältää yhä useammin konkreettisia seurauksia organisaatiolle ja sen johdolle velvoitteiden laiminlyönnistä. Uusien teknologioiden murros on siirtänyt organisaatioiden tietoa omasta IT-ympäristöstä kohti monikansallisten yritysten hallinnoimia pilvipalveluita.
Raportoitujen ohjelmistohaavoittuvuuksien määrä on kasvanut vuosittain usealla tuhannella ja vuoden 2023 osalta kehitys jatkuu samanlaisena. Raportoitujen haavoittuvuuksien määrä on noussut yli 7000 haavoittuvuudella vuosien 2021–2023 aikana. Vuonna 2021 raportoitiin 20 153 haavoittuvuutta ja vuonna 2023 joulukuuhun mennessä jo 28 242 haavoittuvuutta.
Toimintaympäristön muuttuessa on syytä arvioida kriittisesti sitä, miten aikaisemmat kyvykkyydet ja toimintatavat soveltuvat torjumaan uudenlaisia kyberuhkia.
Vanhat toimintatavat eivät enää riitä
Kyberturvallisuuden yhteydessä uhkienhallinnalla tarkoitetaan tyypillisesti toimintoa, jolla suojaudutaan, havaitaan ja reagoidaan organisaatioon kohdistuviin kyberuhkiin. Sen tavoitteena on pienentää kyberhyökkäyksistä aiheutuvaa vaikutusta organisaation eri toiminnoille, ja mahdollistaa liiketoiminnan jatkuvuus ennalta määritetyllä tasolla.
Perinteinen kyberuhkienhallinta on toiminut usein eristyksissä ja ollut vahvasti teknologiavetoista. Sen tarkoituksena on ollut varmistaa vaatimustenmukaisuus organisaation ulkopuolelta tulevien vaatimusten kanssa. Vaatimustenmukaisuuden varmistamisen työkaluja ovat olleet haavoittuvuusskannerit -ja tiedotteet sekä palomuurit.
Haavoittuvuuksien priorisointi ja korjaaminen on perustunut esimerkiksi Common Vulnerability Scoring System (CVSS):n vakavuuden luokitteluun. Haavoittuvuudet ovat olleet IT-ongelma ja riskin on omistanut näennäisesti IT-osasto tai tietoturvapäällikkö.
Toimintatapa kohtaa kuitenkin entistä enemmän haasteita liiketoiminnan digitalisaation yleistyessä ja IT-ympäristön hajaantuessa ja laajentuessa esimerkiksi pilveen sekä fyysiseen maailmaan ja haavoittuvuuksien määrän kasvaessa, samalla kun organisaatiot pystyvät keskimäärin korjaamaan kuukausitasolla 5 % uusista haavoittuvuuksista.1
Toisaalta jos valtaosaa julkaistuista haavoittuvuuksista ei käytetä vahingollisesti hyväksi2, voi ehkä aiheellisesti kysyä, kohdistuuko nykymallissa tekeminen toimintaan, jolla on todellista vaikutusta organisaatioon kohdistuvaan uhkatasoon.
Vuonna 2022 tietomurroista 32 % alkoi haavoittuvuuden hyväksikäytöstä.3 Tiedetään myös, että hyökkääjät hyväksikäyttävät vielä edelleenkin onnistuneesti tunnettuja haavoittuvuuksia useiden vuosien (2017) takaa.4
Moderni uhkienhallinta luo tilanneymmärrystä ja tehostaa resilienssiä
Modernissa uhkienhallinnassa hyödynnetään riski- ja liiketoimintalähtöistä lähestymistapaa ja laajennetaan näkökulmaa ennakoivaksi ja realistisemmaksi. Hyökkäyspinta-alaa hallitaan kokonaisuutena. Organisaatiota suojaavia kyvykkyyksiä valikoidaan liiketoiminnan tarpeet ja riskit huomioiden, jotta ne kattavat niin on-premises-palvelut, OT-ympäristöt kuin myös eri pilvipalvelutkin.
Tämä edellyttää ajantasaista tietoa siitä, mikä on organisaation toimintojen altistus erilaisille kyberuhkille ja miten uhkat kehittyvät ajan kuluessa. Tyypillisiä vaikuttavia tekijöitä ovat julkisesti saatavilla olevien palveluiden määrä ja sijainti, näiden suojaustaso sekä puuttuvat tietoturvapäivitykset.
Kyberuhkatiedon hallinta (Cyber Threat Intelligence), jonka tarkoituksena on kerätä havaintoja kyberuhista ja niihin liittyvistä ilmiöistä, on keskeisenä mahdollistajana modernissa uhkienhallinnassa. Havainnoista ja ilmiöistä jalostetaan tietoa päätöksenteon tueksi eri organisaation tasoille.
Organisaatio voi tiedon perusteella kohdistaa kontrolleja sinne, missä niillä on eniten vaikutusta liiketoiminnan suojaamisessa. Tieto voi olla esimerkiksi uhkatoimijoiden käyttämiä tunnistettuja taktiikoita, tekniikoita ja menetelmiä (TTPs), joilla kehitetään organisaation havainnointikykyä ja joiden pohjalta voidaan harjoitella erilaisiin uhkiin reagoimista. Maturiteettitasoltaan kehittyneellä organisaatiolla on eettinen velvollisuus osallistua kaikille yhteisen kyberympäristön turvaamiseen, jakamalla analysoitua uhkatietoa myös muille toimijoille kuten yrityksille, yhteisöille ja viranomaisille.
Hyökkäyspinta-alan hallinta on jatkuvaa prosessia
Hyökkäyspinta-alalla (Attack Surface) tarkoitetaan kaikkia organisaation palveluita, tunnettuja ja ei-tunnettuja järjestelmiä ja näissä olevia haavoittuvuuksia sekä palveluntoimittajia, joita hyväksikäyttämällä pahantahtoinen hyökkääjä voi päästä käsiksi organisaation järjestelmiin, verkkoihin tai tietoon.
Mitä suurempi määrä organisaatiolla on toimittajia, järjestelmiä, palveluita ja haavoittuvuuksia, sitä suurempi sen suojattava hyökkäyspinta-ala on käytännössä.
Hyökkäyspinta-alan hallinnalla (Attack Surface Management) tarkoitetaan jatkuvaa prosessia, jolla tunnistetaan ja hallinnoidaan organisaation hyökkäyspinta-alassa olevia potentiaalisia heikkouksia ja haavoittuvuuksia.
Tämän lisäksi voidaan puhua myös ulkoisesta hyökkäyspinta-alan hallinnasta (External Attack Surface Management), joka keskittyy järjestelmiin ja palveluihin, jotka ovat rajattomasti näkyvillä julkiseen verkkoon. Näiden molempien tarkoituksena on ollut lisätä kokonaisvaltaista näkyvyyttä olemassa olevaan hyökkäyspinta-alaan sekä hallita siitä aiheutuvaa riskiä organisaatiolle.
Perinteisillä suojaustavoilla paikkansa – rinnalle kehitettävä uusia tapoja suojata
Perinteisesti organisaatioiden fokus on ollut erityisesti ulkoisen hyökkäyspinta-alan hallinnassa siitä johtuvan korkeamman riskin takia. Modernit uhkat, pilvipalveluiden käytön lisääntyminen, etätyö sekä Zero trust -arkkitehtuuri ovat kuitenkin häivyttäneet rajaa ulkoisen ja sisäisen järjestelmän ja palvelun väliltä.
Kun otetaan huomioon se, että pilvipalveluissa tehtävät muutokset ovat nopeita, tietoturvakontrollien ja -tarkastusten automatisoinnin lisääminen on ainoa realistinen tapa lähestyä ongelmaa. Perinteisellä aika-ajoin tapahtuvalla haavoittuvuustestauksella ja murtotestauksella on edelleen paikkansa, mutta organisaatioiden on kehitettävä näiden rinnalle myös uusia automatisoituja ja reaaliaikaisia tapoja haavoittuvuuksien havaitsemiseksi ja liiketoiminnan suojaamiseksi.
Purple Team -harjoituksilla arvokasta tietoa heikkouksista
Organisaation kyvykkyyttä havaita kyberpuolustuksessa olevia heikkouksia ja torjua onnistuneesti hyökkäyksiä voidaan testata Purple Team -harjoituksilla, joissa yhdistetään simuloidut hyökkäykset (Red Team) ja aktiivinen puolustus (Blue Team). Harjoitukset tuottavat tietoa siitä, missä organisaation tietoturvakontrollien heikkoudet ovat sekä ehdotuksia, minkälaisin toimenpitein näiltä voidaan suojautua. Toiminta perustuu jatkuvaan kehitykseen, joka tapahtuu kyberpuolustuksen kehitykseen hyökkäyssimulaatioista saatavan tiedon perusteella.
Tietoturva kannattaa huomioida ajoissa
Ohjelmistokehityksenaikaisia uhkia ja niiden hallintaa ei myöskään pidä unohtaa. Mitä myöhemmässä vaiheessa palvelun elinkaarta tietoturva huomioidaan, sitä kalliimmaksi sen implementointi tulee. Organisaatioiden tulisi määritellä ohjelmistokehityksen elinkaaren (SDLC, Software Development Lifecycle) prosessi, jossa huomioidaan palvelun tietoturvaan ja sen odotuksiin liittyvät vaatimukset ja määrittelyt muiden vaiheiden ohella.
Modernit sovellukset koostuvat lukuisista eri ohjelmistokirjastoista, jotka voivat sisältää haavoittuvuuksia. Siksi on tärkeää ymmärtää, minkälaisia haavoittuvuuksia kirjastojen kautta voi päätyä lopputuotteeseen. Toimitusketjuihin liittyvät riskit ovat olleet myös viime vuosina pinnalla, ja niihin kohdistuu vihamielisten toimijoiden puolelta entistä enemmän huomiota.
Yhtenä ratkaisuna on ehdotettu “Software Bill of Materials” (SBOM) hyödyntämistä, jonka kautta palveluiden käyttäjillä on parempi näkyvyys eri sovelluskomponenttien haavoittuvuuksiin. Tätä voidaan täydentää erilaisilla staattisilla ja dynaamisilla tietoturvan sovellustestaustyökaluilla, jotka on integroitu osaksi jatkuvan integraation prosessia sekä muuta kehitykseen liittyvää tietoturvatestausta niin automatisoidusti kun mahdollista.
Pilvipalveluista haavoittuvuuksien priorisointiin
Pilvinatiivi palveluiden suojausalusta (CNAPP, Cloud Native Application Protection Platform) on yksi uusista ratkaisuista, jota voidaan hyödyntää pilvipalveluiden sekä niihin kehitettävien sovellusten suojaamisessa. Ne tarjoavat yhtenäisen näkyvyyden ja kontrollit käytössä oleviin eri pilvipalveluihin ja niissä ajettaviin pilvinaatiiveihin sovelluksiin, nostaen esiin haavoittuvuudet ja virheelliset konfiguraatiot, jotka voivat aiheuttaa uhkaa organisaatiolle.
Varsinkin julkiset sovellukset kannattaa liittää myös Bug Bounty -ohjelmaan, jonka kautta hyväntahtoiset valkohattuhakkerit voivat ilmoittaa korvausta vastaan sovelluksesta löytyvistä haavoittuvuuksista. Ohjelmaa ja sen kautta saatuja havaintoja voidaan hyödyntää myös sisäisen tietoturvatestauksen tehokkuuden arvioinnissa, sekä nostaa esiin siinä tai ohjelmistokehityksen elinkaaren (SDLC) prosessissa olevia tietoturvan kehitystarpeita.
Haavoittuvuuksien hyväksikäyttövaikutusten lieventämisessä ja korjausten priorisoinnissa voidaan käyttää esimerkiksi CISA:n julkaisemaa Known Exploited Vulnerabilities (CISA Known Exploited Vulnerabilities Catalog – KEV) -listaa sekä haavoittuvuuksien hyväksikäytön todennäköisyyttä arvioivaa Exploit Prediction Scoring System (EPSS) -luokittelua. Haavoittuvuuksien hallinnalla voidaan organisaation rajalliset resurssit ohjata ja keskittää sellaisiin haavoittuvuuksiin, joiden hyväksikäytöstä on jo olemassa havaintoja tai hyväksikäytön riski on korkea.
Yhdistämällä haavoittuvuuksien priorisointistrategia tehokkaaseen mitigaatioprosessiin, voidaan hyväksikäytön todennäköisyyttä pienentää moninkertaisesti pelkkään CVSS-pohjaiseen haavoittuvuuksien priorisointiin verrattuna.5 Vain 3,2 % kaikista julkaistuista haavoittuvuuksista (CVE, Common Vulnerability and Exposure) aiheuttaa organisaatiolle todellisen ja akuutin riskin, kun taas 60 % tiedetyistä haavoittuvuuksien hyväksikäytöistä (KEV, Known Exploited Vulnerabilty) edellyttää korkean prioriteetin korjaustoimenpiteitä.6
Miten lähteä liikkeelle?
Moderni uhkienhallinta on täydessä kattavuudessaan laaja kokonaisuus ja se kannattaakin vaiheistaa ja palastella osiin sekä ottaa kyvykkyyksiä käyttöön omaan toimintaa sovitettuna. Ohessa alla vinkkejä ja ohjeita, miten organisaatio voi hyödyntää modernia uhkienhallintaa ja mistä kannattaa aloittaa:
1. Tunnista kriittiset toimintosi, käytössä oleva teknologia, toimittajasi ja sidosryhmäsi.
2. Varmista edellytykset uhkatiedon vastaanotolle tunnistamalla oikeat uhkatietolähteet perustuen kohdan 1 analyysiin.
3. Automatisoi uhkatiedon hallinnan eri vaiheet alusta loppuun niin pitkälle kun mahdollista hyödyntäen modernia teknologiaa ml. uhkatiedon vastaanotto, analysointi, luokittelu, jalostaminen, vastatoimet ja jakaminen eteenpäin.
Tutkimuslähteet
1. Bitsight 2023 – Creating Trust in an Insecure World: Strategies for Cybersecurity Leaders in the Age of Increasing Vulnerabilities
2. Cyentia 2021 – Prioritization to Prediction Volume 8: Measuring and Minimizing Exploitability
3. Mandiant 2023 – M-Trends 2023: Mandiant Special Report
4. Tenable 2023 – 2022 Threat Landscape Report: A guide for security professionals to navigate the modern attack surface
5. Mandiant 2023 – M-Trends 2023: Mandiant Special Report
6. Cisco Secure 2023 – Prioritization to prediction, vol. 9 white paper
Linkkejä
Lue myös:
Elisan Kyberturvapalvelut digitaalisen liiketoimintasi turvaajana
Näin Wärtsilä varautuu kyberuhkiin
Cyber Security Outlook 2023 – katsaus kyberturvallisuuden ilmiöihin
Article in English: What Is Modern Cyber threat management?