Hyppää sisältöön
Blogi IT-infrastruktuuri Tietoturva

Siilipuolustus ja aktiivinen tietoturva – miksi pelkkä reagointi ei enää riitä?

Aktiivinen tietoturva auttaa organisaatioita tunnistamaan, hidastamaan ja harhauttamaan hyökkääjiä jo ennen varsinaista vahinkoa.

Lukuaika noin 6 minuuttia

Artikkeli perustuu webinaariin, jossa käsiteltiin aktiivisen tietoturvan ja niin sanotun siilipuolustuksen merkitystä muuttuvassa uhkaympäristössä sekä sitä, miten organisaatiot voivat tunnistaa, hidastaa ja harhauttaa hyökkääjiä entistä tehokkaammin.

Webinaarin juontajana toimi Jaakko Tuuli, Director, ICT & Digi, Professio Group. Asiantuntijana mukana oli aktiivisen tietoturvan ja kyberturvallisuuden asiantuntija, valkohattuhakkeri Benjamin Särkkä.

Miksi perinteinen tietoturva ei enää riitä?

Tietoturva elää murrosta. Perinteinen ajattelu, jossa organisaatio rakentaa mahdollisimman korkean muurin hyökkääjiä vastaan ja reagoi vasta poikkeamiin, ei enää yksin riitä. Hyökkäykset ovat ammattimaisia, pitkäjänteisiä ja usein automatisoituja. Samalla hyökkääjien toimintatavat muistuttavat yhä enemmän liiketoimintaa: tavoitteet määritellään, työkalut hankitaan, kohteet tutkitaan ja hyökkäyksiä kehitetään iteratiivisesti.

Tämän vuoksi modernissa tietoturvassa korostuu aktiivinen puolustaminen – ajattelutapa, jossa organisaatio ei pelkästään suojaudu, vaan myös ohjaa, häiritsee ja hidastaa hyökkääjän toimintaa.

Webinaarissa Siilipuolustus – aktiivinen tietoturva hyökkääjää vastaan käsiteltiin juuri tätä muutosta. Keskiössä olivat hyökkääjän toimintamallit, aktiivisen puolustuksen menetelmät sekä se, miten organisaatiot voivat rakentaa aidosti resilienssiä jatkuvasti muuttuvassa uhkaympäristössä.

Tietoturva ei ole enää vain pelkkää suojaamista

Perinteinen tietoturva-ajattelu perustuu usein ajatukseen, että hyökkäykset voidaan estää ennalta esimerkiksi palomuurien, virustorjunnan, käyttöoikeushallinnan, verkkosegmentoinnin sekä valvonnan avulla. Nämä ovat edelleen kriittisiä perusasioita. Ongelmana kuitenkin on, että modernit hyökkäykset eivät yleensä perustu yksittäiseen tekniseen haavoittuvuuteen, vaan pitkään ketjutettuun prosessiin.

Hyökkääjä voi esimerkiksi kartoittaa organisaatiota viikkojen ajan, kerätä tietoa henkilöstöstä ja järjestelmistä, hankkia tunnuksia tietojenkalastelulla sekä liikkua sisäverkossa pitkään huomaamattomasti ennen varsinaista vahingontekoa. Monissa tapauksissa tietojen varastaminen tai kiristyshaittaohjelman käynnistäminen tapahtuu vasta hyökkäyksen viimeisessä vaiheessa.

Kun hyökkäystä tarkastellaan prosessina eikä yksittäisenä tapahtumana, myös puolustuksen on muututtava.

Aktiivinen puolustus muuttaa asetelman

Webinaarin keskeinen viesti oli, että puolustuksen ei tarvitse olla passiivista.

Aktiivinen tietoturva tarkoittaa käytännössä sitä, että organisaatio pyrkii tunnistamaan hyökkääjän toiminnan mahdollisimman aikaisin, vaikeuttamaan etenemistä, johtamaan hyökkääjää harhaan sekä lisäämään näkyvyyttä hyökkäysketjun eri vaiheisiin. Samalla tavoitteena on kuluttaa hyökkääjän aikaa ja resursseja niin, että hyökkäyksen toteuttaminen muuttuu vaikeammaksi ja riskialttiimmaksi.

Kyse ei siis ole “vastahyökkäyksestä”, vaan kontrolloidusta puolustuksesta, jossa hyökkääjän toimintaympäristöä manipuloidaan puolustajan eduksi.

Moni organisaatio tunnistaa hyökkäyksen vasta siinä vaiheessa, kun vahinko on jo tapahtunut. Aktiivisen puolustuksen tavoitteena on havaita hyökkäys huomattavasti aikaisemmin – mieluiten jo tiedustelu- tai valmisteluvaiheessa.

Hyökkäykset etenevät vaiheittain

Webinaarissa käytiin läpi myös hyökkäysketjun ajattelua. Hyökkäykset eivät synny sattumalta, vaan ne etenevät yleensä vaiheittain tiedustelusta ja työkalujen valmistelusta aina kohdeympäristössä toimimiseen asti. Jokainen vaihe jättää jälkiä, joita puolustaja voi hyödyntää hyökkäyksen havaitsemiseen.

Tämä näkökulma on puolustajalle tärkeä, koska jokainen vaihe tarjoaa mahdollisuuden havaita poikkeamaa

Jos organisaation tietoturva perustuu vain loppuvaiheen havaitsemiseen – esimerkiksi kiristyshaittaohjelman käynnistymiseen – ollaan jo myöhässä.

Sen sijaan aktiivinen puolustus pyrkii tunnistamaan esimerkiksi epätavallisen verkkoliikenteen, poikkeavat kirjautumiset, ympäristöä kartoittavan toiminnan sekä epäilyttävän sivuttaisliikkeen jo ennen varsinaista vahinkoa.

Mitä aikaisemmin hyökkäys havaitaan, sitä pienemmiksi myös liiketoimintavaikutukset jäävät.

Harhauttaminen on tehokas puolustuskeino

Yksi kiinnostavimmista webinaarin teemoista oli deception-ajattelu eli harhauttaminen.

Harhauttavan tietoturvan ideana on rakentaa ympäristöön elementtejä, jotka näyttävät hyökkääjän silmissä kiinnostavilta, mutta ovat todellisuudessa valvottuja ansoja.

Näitä voivat olla esimerkiksi valetunnukset, valejärjestelmät, honeypot-palvelut, houkuttelevat tiedostot tai muut tekaistut verkkoresurssit, jotka näyttävät hyökkääjän silmissä aidosti kiinnostavilta.

Kun hyökkääjä koskee näihin kohteisiin, puolustaja saa välittömästi erittäin arvokkaan signaalin.

Harhauttamisen vahvuus on siinä, että normaalikäyttäjällä ei yleensä ole mitään syytä käyttää kyseisiä resursseja. Tämän vuoksi hälytykset ovat usein erittäin laadukkaita ja väärien positiivisten määrä pieni.

Samalla hyökkääjän tilanne vaikeutuu merkittävästi:

  • mikä ympäristössä on aitoa?
  • mitä voidaan käyttää turvallisesti?
  • mitä valvotaan?

Epävarmuus hidastaa hyökkäystä ja kasvattaa hyökkääjän virheiden todennäköisyyttä.

Resilienssi on uusi kilpailuetu

Yksi webinaarin tärkeimmistä havainnoista liittyi resilienssiin.

Täydellistä suojaa ei ole olemassa. Siksi organisaation kyvykkyyttä ei enää mitata vain sillä, pystyykö se estämään hyökkäyksen, vaan sillä:

  • kuinka nopeasti hyökkäys havaitaan
  • kuinka tehokkaasti vaikutuksia rajataan
  • kuinka hyvin liiketoiminta jatkuu häiriötilanteessa
  • kuinka nopeasti palautuminen tapahtuu

Tietoturvasta on tullut jatkuvaa kyvykkyyden kehittämistä.

Käytännössä tämä tarkoittaa jatkuvaa näkyvyyttä ympäristöön, uhkien simulointia, hyökkäysharjoituksia, automaatiota sekä henkilöstön koulutusta ja reagointikyvykkyyden testaamista.

Organisaatiot, jotka harjoittelevat poikkeustilanteita etukäteen, selviävät todellisista tilanteista merkittävästi paremmin.

Teknologia yksin ei ratkaise ongelmaa

Vaikka moderni tietoturva hyödyntää vahvasti teknologiaa, webinaarissa korostettiin myös ihmisten ja toimintatapojen merkitystä.

Hyökkäykset kohdistuvat usein ihmisiin esimerkiksi tietojenkalastelun, identiteettihuijausten, sosiaalisen manipuloinnin ja väärinkäytettyjen tunnusten kautta.

Siksi tietoturvan kehittäminen ei voi olla vain IT-osaston vastuulla.

Tarvitaan:

  • tietoturvatietoista kulttuuria
  • selkeitä toimintamalleja
  • johdon sitoutumista
  • jatkuvaa koulutusta
  • matalan kynnyksen raportointia

Parhaimmillaan aktiivinen tietoturva yhdistää teknologian, prosessit ja ihmiset yhdeksi kokonaisuudeksi.

Mitä organisaatioiden kannattaa tehdä nyt?

Webinaarin pohjalta voidaan nostaa esiin muutama konkreettinen askel, joilla organisaatiot voivat kehittää omaa puolustuskykyään:

  1. Siirry pelkästä estämisestä jatkuvaan havainnointiin
    • Ajattele tietoturvaa jatkuvana tilannekuvana, ei staattisena suojamuurina.
  2. Kehitä näkyvyyttä hyökkäysketjuun
    • Pelkkä loppuvaiheen reagointi ei riitä. Pyri tunnistamaan hyökkäykset jo valmisteluvaiheessa.
  3. Hyödynnä deception-ratkaisuja
    • Harhauttaminen tarjoaa tehokkaan tavan havaita hyökkääjiä aikaisessa vaiheessa.
  4. Harjoittele poikkeustilanteita
    • Kyvykkyys syntyy harjoittelusta, ei dokumenteista.
  5. Tee tietoturvasta liiketoiminnan asia
    • Tietoturva ei ole vain tekninen ongelma. Se liittyy suoraan liiketoiminnan jatkuvuuteen, maineeseen ja kilpailukykyyn.

Yhteenveto

Tietoturvan toimintaympäristö muuttuu nopeasti. Hyökkääjät ovat ammattimaisia, pitkäjänteisiä ja yhä paremmin organisoituja. Tämä pakottaa myös puolustuksen kehittymään.

Aktiivinen tietoturva ei tarkoita aggressiivisuutta, vaan parempaa näkyvyyttä, nopeampaa reagointia ja kykyä vaikuttaa hyökkääjän toimintaan jo ennen varsinaista vahinkoa.

Organisaatiot, jotka kykenevät yhdistämään teknologian, ihmiset ja aktiivisen puolustuksen menetelmät, rakentavat samalla myös vahvempaa resilienssiä tulevaisuuden uhkia vastaan.

Tietoturvan tulevaisuus ei ole vain muurien rakentamista. Se on kykyä ymmärtää hyökkääjää – ja toimia yhtä ketterästi kuin hyökkääjä itse.