Miksi tietomurtojen määrä kasvaa ja miten IT-palvelutuotanto voi auttaa?

Read here in English

Digitalisaatio muuttaa maailmaamme huikeaa vauhtia, palvelut siirtyvät pilveen ja komponenttien määrä verkoissa kasvaa eksponentiaalisesti. Siinä samalla hakkerointi on vauhdilla kasvavaa rikollista liiketoimintaa ja jopa 90% tietoturvaloukkauksista pitääkin sisällään rahallisen tai vakoiluun liittyvän vaikuttimen. Valitettava tosiasia on myös se, että jopa 70% tietoturvaloukkauksista jää tarkistamatta.

Yritykset ovat investoineet turvallisuuden hallintaan ja siihen liittyviin työkaluihin. Tämän lisäksi liiketoimintajärjestelmiä siirretään korkean turvaluokan pilvipalveluihin, jossa palvelutuottajat ovat vastuussa turvallisuuden hallinnasta ja uhkien tunnistamisesta. Tietoturvahäiriöiden (Security Incident) hallinta ei kuitenkaan ole täysin varmistettu, koska palveluntuottajilla ei ole näkyvyttä palveluihin tai ymmärrystä liiketoiminnasta, jota kyseisissä palveluissa tuotetaan kullekin yritykselle, eivätkä he siten pysty analysoimaan vaarantuuko luottamuksellisien tietojen turvallisuus.

Jos koitamme verrata hivenen yritysten kyberturvallisuutta henkilökohtaiseen turvallisuuteen, niin voidaan todeta, että lukot ja hälytysjärjestelmät ovat molemmissa paikallaan ja hälytyskin lähtee automaattisesti, mutta entä sitten? Vartiointiyhtiö tai viranomainen tulee turvaamaaan murtautumisen kotiin, mutta entä yrityksessä? Kyberhyökkäyksestä ilmoittaminen viranomaisille harvemmin tuottaa tuloksia ja valitettavan harvoin yritysturvallisuus aktivoi tehokkaan tietoturvahäiriönhallintaprosessin (SIR/security incidet response) varmistamaan, että “murtovaras” ei ehdi varastaa tai tuhota liiketoimintakriittistä informaatiota.

 

Varmista kotipesä! Turvaaminen ja palautuminen

 

Ykköspesä. Määrittele tietoturvahäiriönhallintaprosessi

Kuten ITIL:ssä, myös turvallisuushäiriöihin on määritelty de-facto hallintaprosessi NIST:n toimesta. Prosessiin kuuluvat seuraavat vaiheet: 1) valmistautuminen, 2) havaitseminen ja analysointi, rajaaminen, 3) tuhoaminen ja palautuminen, 4) jälkikäsittely. Varmista että prosssin syötteet, aktiviteetit ja tuotokset on määritelty vastaamaan organisaatiosi tarpeita sisältäen selkeän vastuunjaon, jotta prosessi toimii mahdollisimman tehokkaasti.Palvelutuotantojärjestelmät tarjoavat erinomaisen alustan vastaanottamaan syötteitä ja määrittelemään työnkulkuja, joilla mahdollistetaan prosessin mukainen toiminta, luodaan läpinäkyvyys turvallisuustilanteeseen sekä mahdollistetaan automaatiota häiriöiden priorisoinnin ja automaattikorjauksien toteuttamiseen.

 

Kakkospesä. Tunne ympäristösi.

Nykyiset tietoturvatuotteet (kuten SIEM-tuotteet) tuottavat valtavasti hälyytyksiä poikkeavasta toiminnasta. Hälyytyksien tehokas priorisointi on edellytys tehokkaalle hallintaprosessille. Jotta priorisointi onnistuu mahdollisimman hyvin tulee turvattava ympäristö olla kuvattuna selkeästi. Tähän CMDB tarjoaa erinomaisen työkalun, jonka avulla voidaan nopeasti selvittää liittyykö häiriön kohteena oleva komponentti kuten palvelin tai reititin esimerkiksi liiketoimintakriittiseen palveluun ja mitä luottamuksellista tietoa palveluun kuuluu.

 

Kolmospesä. Hallitse proaktiivisesti yritykseesi kohdistuvia haavoittuvuuksia ja uhkia

Haavoittuvuudet (kuten ovi ilman takalukkoa) ja uhat (kuten murtovarkaus oven kautta) tulisi yhdistää yhtenäiseen näkymään, jotta pystytään näyttämään holistinen näkymä turvallisuustilanteesta. Tällä hetkellä yritykset joutuvat usein tutkimaan CSV ja Excel tiedostoja joita on ladattu eri tietoturvatuotteista ja yhdistelemään näistä tietoa, jonka avulla saadaan näkyvyys yritykseen kohdistuvista haavoittuvuuksista ja uhista (lähteinä käytetään muun muassa palomuureja, IPS ja IDS järjestelmiä, sekä TAXII-palvelua). Datan yhdistäminen tällä tavalla ei luo reaaliaikasta näkymää ja on tehotonta. Palvelutuotantoalustojen avulla datan yhdistäminen voidaan automatisoida. Tämän lisäksi päästään eroon siiloutuneesta toiminnasta ja voidaan hallita kokonaisprosessia jossa turvallisuustiimi havaitsee haavoittuvuuden ja IT-tiimi poistaa haavoittuvuuden (muutoshallinnan avulla) laitteesta, mikä tehostaa kummankin organisaation tekemistä.

 

Kunnari. Automaattinen korjaus

Kaikilla yrityksillä on nykyään käytössä useita turvallisuustuotteita (kuten antivirus-, palomuuri, ja SIEM- tuotteita), mutta kuinka moni yritys korjaa tietoturvahäiriöitä tai haavoittuvuuksia automaattisesti? Keskimääräinen korjausaika tietoturvahäiriölle on yli 200 päivää ilman automaatiota.

Automaatiota voidaan toteuttaa kahdella tavalla – vakioidulla työnkululla ja automaattisella järjestelmähallinnalla. Vakioidulla työnkululla tarkoitetaan sitä että tietoturvapoikkeamaprosessi käynnistää automaattisesti ennalta määrityt tehtävät häiriön luokittelun mukaan. Esimerkkejä tehtävistä ovat viranomaisilmoitus, yrityksen julkinen viestintä häiriöstä, haittaohjelman poisto, lakiosaston katselmonti lainsäädäntöön (henkilötietosuoja) ja sopimuksien velvoitteisiin tietomurtoihin liittyen. Automaattisella järjestelmähallinnalla viitataan tietojärjestelmien automaattiseen päivitykseen häiriönluokittelun mukaan. Esimerkiksi jos todetaan että tietomurto johtuu puuttuvasta tietoturvapäivityksestä, voidaan tämä ajaa automaattisesti kyseiseen laitteeseen.

 

Esimerkki tietoturvahäiriön työnkulusta ServiceNowssa

 

Yhteenvetona voidaan todeta että monella yrityksellä on turvallisuudenhallinta kokonaisuudessa on paljon kehitettävää ja palveluhallintakäytäntöjä ja -työkaluja voidaan hyödyntää turvallisuudenhallintaprosesseissa. Suosittelemme lämpimästi kehittämään iteratiivisesti ja aloittamaan ykköspesältä.

 

Lähteet:

Service Now http://www.servicenow.com/products/security-operations.html
Ponemon Institute http://www.ponemon.org/
Cybersecurity Predictions for 2017: The Experts Speak
A panel of industry insiders and experts share their cybersecurity predictions for 2017 By Joseph Steinberg CEO, SecureMySocial http://www.inc.com/joseph-steinberg/cybersecurity-predictions-for-2017-the-experts-speak.html
Verizon 2016 Data Breach Investigations Report

 

Ota yhteyttä!

Mikäli haluat kuulla lisää, niin ota yhteyttä alla olevalla lomakkeella!

We store your name and email address in our communication systems in order to reply to your contact request. If you have any requests or questions related to the information stored about you, please let us know in the contact request you submit.

Your Name

Your Email

Subject

Your Message