Ennemmin tai myöhemmin parhaitenkin suojattu yritysverkko joutuu hyökkäyksen kohteeksi. Hyvällä valmistautumisella hyökkäys voidaan huomata nopeammin ja siihen pystytään reagoimaan ketterämmin.
Sen piti olla vain harmiton pikku välikohtaus.
Piti.
Yrityksen verkkoon oli luikahtanut cryptolocker. Se vaati lunnaita salaamiensa tiedostojen purkuavaimen vastineeksi.
No big deal. Saastuneet koneet sileäksi. Uudet tilalle, niihin backupit varmistusnauhoilta. Yritys kutsui Nixun puolueettomana tietoturva-asiantuntijana paikalle toteamaan, että siivous on onnistunut.
Ja olihan se, tavallaan. Nixulaiset kuitenkin huomasivat samalla lokitiedoista, että samaisesta turva-aukosta jo oli aiemmin puikahtanut sisään toinen murtokopla. Se oli kopioinut itselleen koko toimialueen aktiivihakemiston, muun muassa.
”Vähän niin kuin valtakunnan avaimista olisi otettu kopio”, murtoa selvitellyt Nixun MSS PS Manager Jussi Perälampi kuvailee.
Kyberpuolustusta tarvittiin
Kun tilanteen todellinen vakavuus alkoi selvitä, Nixu perusti asiakkaan ympäristöön Cyber Defense Center (CDC) -tietoturvapalvelunsa. Sen avulla verkkoon saatiin nopeasti laajempi näkyvyys kuin kevyemmillä perustutkinnan välineillä. CDC:ssä automatisoitu, kattava tietoturvaseuranta yhdistyy aina hereillä olevan operaatiokeskuksen ammattilaisten työpanokseen.
”Teknologia kehittyy jatkuvasti. Ihmisen kyky analysoida lokidataa, erottaa väärä hälytys oikeasta ja valita oikeat toimenpiteet aktiivisessa puolustautumisessa on kuitenkin toistaiseksi vertaansa vailla”, Nixun Suomen markkina-alueen johtaja Valtteri Peltomäki sanoo.
Ja toden totta. CDC:n käyttöönoton myötä vihamielisen toiminnan laajuus verkossa paljastui.
”Hyökkääjä oli selvästi aktiivinen. Se oli takaovittanut ympäristön varsin huolellisesti”, Perälampi kuvailee. Verkkoon pesiytyneen hämyporukan lisäksi Nixu bongasi sieltä muita, ”normaaleja” haittaohjelmia, vaikka koneilla oli käytössä ajantasainen viruksentorjuntatuote.
Puhdistusoperaation suunnittelu pystyi alkamaan, kun tilannekuva selkeni. Nixu suunnitteli ja toteutti organisaation tuhansien salasanojen vaihto-operaation, joka vietiin vuorokaudessa läpi. Samalla takaovet ja muut haitakkeet poistettiin.
”Operaation jälkeen asiakas totesi, että taitaisi olla parempi, että ammattilainen hoitaa homman jatkossakin”, Perälampi toteaa. CDC jäi valvomaan puhdistettua verkkoa, johon ei ole sen jälkeen murtauduttu.
Rahahan se mielessä
Tietomurroissa on Peltomäen mukaan yleensä kyse taloudellisen edun hakemisesta. ”Halutaan tyypillisesti nuuskia kilpailijan tuotekehitystä tai kiristetään tuotantoprosessin pysäyttämisellä”, hän kuvailee.
Ilman järeää kyberpuolustusta verkon puhtaana pitäminen on raskasta. Proaktiiviset toimet, kuten käytössä olevien teknologioiden haavoittuvuuksien seuranta ja nopea paikkaaminen luonnollisesti ovat eduksi. Riittää kuitenkin, että hyökkääjä löytää yhden aukon – joka voi olla hyökkäyshetkellä vielä yleisesti tuntematon – ja homma on siinä.
”On hyväksyttävä, että jossain vaiheessa hyökkäys kuitenkin tapahtuu. Puolustustoimenpiteillä voi vaikuttaa siihen, miten nopeasti hyökkäys huomataan ja miten siihen reagoidaan”, Valtteri Peltomäki sanoo. ”Käytännössä jokaisesta verkosta, jota olemme tutkineet, on löytynyt jotain sinne kuulumatonta.”
Oman mausteensa puolustuspelin haasteellisuuteen tuovat nopeasti yleistyvät IoT-ympäristöt. Niiden tietoturvakäytännöt kun ovat vasta muovautumassa.
”Antureita ja älykkäitä pienlaitteita on tyypillisesti hajautettuna ympäriinsä – myös oman verkon ulkopuolella, jossa ne ovat vielä astetta tavallista suojattomampia”, Peltomäki kuvailee.
Lue myös yleistä tietoa yritysverkon suojaamisesta DNA:n uudesta käytännön oppaasta.
