Kevään edetessä meistä moni on veneilykauden alussa, ja rampit täyttyvät veneiden vesillelaskijoista. Osa meistä on huoltanut veneensä jo syksyllä ennaltaehkäisevästi, osa ryhtyy toimeen, kun ongelmia ilmenee. Vanhan puuveneen tapauksessa ei niinkään jännitä, vuotaako se, vaan kuinka monesta kohdasta. Tyypillisesti vuotokohtia on kymmeniä ja tukkeeksi sopivia tulppia vain muutama. Mistä tiedän, mitkä reiät ovat ne, jotka upottavat veneen, ja millä vuodoilla taas ei ole mitään merkitystä lopputulokseen, eli veneen pinnalla pysymiseen?
Samojen kysymysten äärellä on myös yrityksen kippari: mikä haavoittuvuus upottaa tietojärjestelmäni?
Tietoturvassa kyky ennakoida tulevaa ja tukkia kriittisimmät hyökkäysreitit ennen kuin rikolliset pääsevät niitä hyödyntämään, ovat tärkeimpiä keinoja ennaltaehkäistä kyberrikoksia. Pitkään käytössä ollut keino skannata organisaation infraa ulkoa ja sisältä haavoittuvuuksien varalta paljastaa ainoastaan yksittäisten laitteiden, järjestelmien ja sovellusten haavoittuvuudet.
Löydetyn haavoittuvuuden kriittisyys on yleensä määritetty CVSS (Common Vulnerability Scoring System) -järjestelmällä, jossa yksittäinen löydetty haavoittuvuus saa arvon 1 ja 10 väliltä vakavuutensa mukaan. Mitä isompi luku, sen vakavammasta haavoittuvuudesta on kyse.
Veneilyssä CVSS-metodi kertoisi yksittäisen vuotavan reiän suuruuden, muttei huomioisi reiän vaikuttavuutta veneen uppoamiseen kokonaisuutena.
Voihan olla, että reikä on eristetyssä paikassa, jonka täyttyminen ei vaikuta veneen kykyyn pysyä pinnalla.
Yksittäinen haavoittuvuus on todennäköinen kohde, josta rikolliset pääsevät sisään. Mutta harva rikollinen tyytyy murtautumaan pelkästään yhteen järjestelmään. Mitä rikolliset tekevät seuraavaksi? Mihin heillä on mahdollisesti pääsy, ja mitä keinoja he voivat hyödyntää? Siksi puolustautumisessa haavoittuvuuksien tunnistaminen on hyvä alku, mutta ei millään riittävä keino suojautua rikoksilta. Havainnoimalla asioita pidemmälle, rikollisten näkökulmasta, alkaa muodostumaan erilaisia uhkapolkuja, joita rikolliset voivat hyödyntää.
Veneilyssä kokonaisuuden hahmottaminen on ehkä yksinkertaisempaa. Arkhimedeen lain mukaisesti vene pysyy pinnalla, kun sen syrjäyttämän vesimassan määrä on suurempi kuin itse veneen paino. Yleisesti siis veden pitäminen veneen ulkopuolella auttaa tähän kokonaisuuteen. Yksittäisistä rei’istä ei ole haittaa, niin kauan kuin veneen painoa pystytään kokonaisuutena hallitsemaan. Vuotava vene on riski, mutta sitä pystyy hallitsemaan vaikkapa osastoimalla rungon tai asentamalla antureita ja pumppuja.
Yksittäisen järjestelmän vaarantuminen ei välttämättä upota venettä, mutta isomman ketjun vaarantuminen tekee sen hyvin todennäköisesti.
Hyvä kyberpuolustus vaatii siis ajattelutavan muutosta yksittäisistä uhista suurempien kokonaisuuksien suuntaan ja heikkousketjujen tunnistamista. Modernista teknologiasta on tässä iso apu. Vanhoille kunnon haavoittuvuusskannereille on edelleen paikkansa, mutta suurempia kokonaisuuksia varten tarvitaan teknologiaa, joka käyttäytyy kuten hyökkääjä, simuloi hyökkäysketjuja ja visualisoi mahdolliset hyökkääjien käyttämät reitit jatkuvana prosessina. Lisäksi teknologia kykenee tuottamaan organisaation tietoturvavastaaville priorisoidun näkymän uhkapoluista, joita hyökkääjät kaikkein todennäköisimmin käyttävät.
Yksittäisten haavoittuvuuksien paikkaamisen sijaan moderni tapa ennaltaehkäistä tietomurtoja on poistaa hyökkääjien käytöstä kokonaisia hyökkäys- tai uhkapolkuja ja koventaa tietoturvaa proaktiivisesti. Rikolliset hyödyntävät aktiivisesti kyberhyökkäyksissä uusinta teknologiaa, joten on hyvin todennäköistä, että he tuntevat organisaatiosi uhkapolut jo paremmin kuin sinä.
Älä siis lamaannu, vaikka veneesi lähes varmasti vuotaa jostain, vaan keskity tukkimaan oikeat reiät ja tarkkailemaan kokonaiskuvaa.
Pysytään pinnalla!
Pienet ja keskisuuret yritykset ovat yhä useammin kyberrikollisten kohteena – miten huolehtia, että yrityksen tietoturva on riittävällä tasolla? Vastauksia saat DNA:n Tietoturva pk-yrityksille: riskit, regulaatiot ja ratkaisut -webinaarista. Lataa tallenne!
