Blogisarjan aikaisemmissa osissa käsittelimme viisivaiheista EVERprotect-palvelukokonaisuuttamme yleisellä tasolla, sekä prosessin ensimmäisen vaiheen, eli kyberuhkien tunnistamisen sisältöä yksityiskohtaisemmin. Tässä blogissa tutustumme riskeiltä suojautumiseen, uhkien havaitsemiseen, sekä vastatoimiin hyökkäyksen tapahtuessa. Jokaisen yrityksen kohdalla suojaus suunnitellaan ja toteutetaan aina yrityksen omat tarpeet huomioiden. Viisivaiheiseen malliimme ja sen sisältämiin palveluihin voi tutustua lisää täällä.
Palvelinten ja päätelaitteiden suojaaminen tunnettuja haittaohjelmia tai haavoittuvuuksia vastaan ei sellaisenaan yksin riitä. Siksi on tärkeää kyetä jatkuvasti havainnoimaan tietojärjestelmissä tapahtuvaa poikkeavaa toimintaa, esimerkiksi käyttäytymiseen, ajankohtaan, tapaan tai sijaintiin liittyen. Havainnointi perustuu eXtended Detection and Response (XDR) -teknologiaan, joka tutkii, havaitsee, ja reagoi tarvittaessa automaattisesti poikkeavuuksiin. Teknologia mahdollistaa myös siihen rakennettavan automaation, joka pyrkii itsenäisesti estämään havaitun epäilyttävän toiminnan. Palveluun voidaan liittää myös monipuolista lokitietojen keräystä ja analysointia syy-/seuraussuhteiden tutkimuksia varten.
Tietojärjestelmien ja laitteiden suojaamiseen on käytettävissä useita eri keinoja, joista yksi keskeisimmistä on monivaiheinen tunnistautuminen (MFA). Kyberturva-asiantuntijat ovat laajasti yksimielisiä siitä, että MFA on kustannustehokkain ja helpoin tapa parantaa yritysten tietojärjestelmien yleistä suojaustasoa. Yleisimmät syyt tietomurtojen taustalla ovat joko käyttäjätunnusten puutteellinen suojaus tai tietoturvapäivitysten laiminlyönti.
Käyttäjätunnuksiin hyökkääjä voi päästä käsiksi lukuisin eri tavoin, kuten esimerkiksi kalastelemalla, huijaamalla, arvaamalla tai löytämällä. MFA estää pelkkien käyttäjätunnusten hyödyntämisen kaikissa tapauksissa. Toinen tyypillinen kyberhyökkäysten toteutustapa on järjestelmässä olevien haavoittuvuuksien hyväksikäyttö. Tätä voidaan tehokkaasti torjua huolehtimalla säännöllisistä tietoturvapäivityksistä koko ICT-infrastruktuurin osalta. Tämä koskee kaikkia järjestelmään liitettyjä komponentteja laite- ja varusohjelmistoineen, pelkkien palvelinten tai työasemien käyttöjärjestelmäpäivitysten sijaan.
Yksi laajasti käytetty kyberhyökkäysmenetelmä on palvelunestohyökkäys (DDoS, Distributed Denial of Service), jossa verkkosivuille tai palveluihin ohjataan suuri määrä liikennettä. Tällä hyökkääjä pyrkii lamauttamaan palveluiden toiminnan, ja joko saavuttamaan taloudellista hyötyä tai aiheuttamaan merkittävää haittaa hyökkäyksen kohteelle. Hyökkäyksen toteuttaminen on helppoa, sillä sellaisen voi esimerkiksi ostaa palveluna. Palvelunestohyökkäyksiä voidaan torjua DDoS-suojauksella, joka tehokkaimmillaan on toteutettu sekä operaattorin tietoliikenneyhteydessä että palvelinkeskuksen palomuuriklusterissa.
Uhkiin vastaaminen edellyttää nykyaikana käytännössä automaation hyödyntämistä. Tämä johtuu siitä, että tietoliikenteen, transaktioiden ja tapahtumien volyymit ovat niin suuria, ettei ihmisen ole mahdollista erotella niiden seasta epäilyttävää toimintaa normaalin joukosta. Automaatiosta ja asiantuntijatyöstä koostuva Havainnointi- ja reagointipalvelumme on tehokas ratkaisu yritysten tietojärjestelmiin kohdistuvien epäilyttävien tapahtumien ja kyberuhkien havaitsemiseksi sekä niihin vastaamiseksi.
Blogisarjan seuraavassa ja viimeisessä osassa käsittelemme sitä, miten yritysten tulisi varautua suojaustoimenpiteistä huolimatta toteutuviin uhkiin ja tietomurroista toipumiseen.