Tietomurtojen havaitseminen ja pysäyttäminen hallitun tunnistus- ja reagointipalvelun avulla
Suomen suurin kaupallinen tv-yhtiö MTV torjuu tietomurtoja F-Securen Rapid Detection & Response -palvelun avulla.
MTV lähettää uutisia, urheilua ja viihdettä useilla ilmais- ja maksukanavilla. Kyberturvallisuus on etusijalla erityisesti nykyisessä toimintaympäristössä, jota leimaavat valeuutiset, kohdennettu verkkourkinta ja paljon julkisuutta saavat tietomurrot.
F-Securen ainutlaatuinen, Gartnerin kehuma lähestymistapa hallittuun tunnistus- ja reagointipalveluun tuo MTV:lle useita etuja:
- IT-ympäristön täysi näkyvyys ulkoiset palveluntarjoajat mukaan luettuina
- Tarkat ja esisuodatetut murtohavainnot, joihin kokeneet ihmisanalyytikot osallistuvat
- Ympärivuorokautinen tuki ja murtoihin liittyvä opastus kaikkina viikonpäivinä
Mikä parasta, yritys sai tämän kaiken aikaan sisäisellä IT-osastolla, johon kuuluu tusinan verran työntekijöitä ilman erityistä kokemusta kyberturvallisuudesta.
Luotettava tietomurtojen tunnistus
MTV:n ICT-johtaja Juha Allosen mukaan kehityssuuntausten seuraaminen on erityisen tärkeää, kun on kyse kyberturvallisuudesta.
”Uhkatilanne on tosiaan muuttunut. Edistyneet hyökkäykset, kohdennettu verkkourkinta ja tietomurrot ovat nykyään enemmän sääntö kuin poikkeus. Meidän on puututtava näihin ongelmiin uusilla tekniikoilla sekä investoimalla entistä enemmän osaaviin työntekijöihin.”
Valitettavasti kumpiakin on vain niukasti tarjolla.
On ennustettu, että kyberturvallisuuden alalla on vuoteen 2021 mennessä 3,5 miljoonaa avointa työpaikkaa. Samalla yli 67 % kansainvälisistä yrityksistä on joutunut tietomurron kohteeksi. Monissa hyökkäyksissä käytetään edistyneitä hyökkäystekniikoita, joita on mahdotonta havaita tavallisilla haittaohjelmien torjunnan ja päätelaitteiden ratkaisuilla.
Seurauksiakaan ei voi sivuuttaa. Tietomurron keskimääräiset kustannukset ovat 3,62 miljoonaa Yhdysvaltain dollaria.
Juha ymmärsi, mihin suuntaan ala oli menossa. MTV:n oli ryhdyttävä toimeen.
Ainoana ongelmana olivat resurssit – ei raha vaan aika ja asiantuntemus. Murtojen havaitseminen ei ole yksinkertaista.
”Olemme tietoturvan osalta pitkälti ulkoisten kumppanien varassa”, Juha kertoo. ”Tiimini ja minä pysymme kyllä ajan tasalla uusimmista tekniikoista, mutta meillä on paljon muitakin vastuita.”
F-Secure on yksi MTV:n tärkeimmistä kyberturvallisuuskumppaneista. Suomalainen tietoturvayhtiö on osoittanut kykynsä riskinarvioinneissa, tietoturvakäytäntöjen luomisessa sekä murtotestauksessa, joten Juha osasi odottaa, että sillä olisi ässä hihassaan.
”F-Secure on ollut erittäin aloitteellinen kumppani esitellessään aina uusia ratkaisuja ja parhaita käytäntöjä. Kävimme läpi huolenaiheitamme, ja F-Securelta ehdotettiin, että kokeilisimme heidän hallittua tunnistus- ja reagointiratkaisuaan.”
Juhan yhteyshenkilö F-Securella lupasi, että yritys pystyy tarjoamaan suojausta kehittyneiltä uhilta ilman, että sisäiseltä tiimiltä vaadittaisiin merkittävää panosta. Lisäksi F-Securen ratkaisu oli mahdollista integroida MTV:n ulkoisen tietoturvakeskuksen tarjoajan järjestelmiin.
Näiden vakuuttelujen myötä Juha päätti, että palvelu otetaan testattavaksi.
Hallittu tunnistus ja reagointi
Idea hallitun tunnistus- ja reagointipalvelun eli MDR-palvelun taustalla on yksinkertainen.
Termiin sisältyvä ”hallinta” tarkoittaa juuri sitä, miltä kuulostaakin: palvelusta huolehtii kokonaisuudessaan ulkoinen kumppani, joten organisaation sisäiseltä IT-tiimiltä vaaditaan hyvin vähän.
”Tunnistus ja reagointi” viittaa tapaan, jolla palvelu toimii. Yrityksen päätelaitteisiin ja verkkoihin lisätään edistyneitä tunnistimia, joten ratkaisu tarjoaa täyden näkyvyyden laajempaan IT-ympäristöön.
Lopputuloksena on ratkaisu, joka voi havaita murtoja käyttäytymisen perusteella ilmiselvien haitallisesta toiminnasta kertovien merkkien sijaan. MDR mahdollistaa lisäksi nopeat ja tehokkaat reagointitoimet, joita tuetaan automaatiolla tai ihmisten tekemillä päätöksillä.
Skenaario: ulkoinen palveluntarjoaja, joka on työskennellyt yritykselle puoli vuotta, kirjautuu järjestelmään normaalina työaikana.
Aluksi hän tekee tavallisia työtehtäviä tavanomaisten järjestelmien kautta. Hetken päästä alkaa kuitenkin tapahtua jotain outoa.
Palveluntarjoaja avaa kansioita, joita hänen ei pitäisi avata, ja käyttää sovelluksia, joihin hänellä ei ole asiaa. Hän yrittää siirtää tietoa yrityksen palvelimelta ilman hyvää syytä.
Käy selväksi, että jotain on pielessä. Joko palveluntarjoajalla on pahat aikeet tai hänen tilitietonsa on hakkeroitu.
Oli miten oli – käynnissä on tietomurto.
Ei ole kuitenkaan syytä huoleen. MDR-palvelu on nimittäin jo tiedottanut asiasta ja poistanut hyökkääjän verkosta. Nyt palvelu opastaa IT-tiimiäsi tapahtuneen tutkinnassa ja vahinkojen korjaamisessa.
Ongelma ratkaistu.
Ihminen ja Kone
Jutun juju on, että yksikään ihminen ei olisi yksin voinut havaita edellä kuvattua uhkaa.
Ei ollut selviä merkkejä siitä, että jotain olisi vialla. Päätelaiteohjelmistojen hälytykset eivät lauenneet, eikä sähköpostisuojaus havainnut urkintaviestejä yhdyskäytävässä.
Palveluntarjoajan käyttäytyminen oli epäilyttävää. Sen tunnistaminen miljoonien, enimmäkseen täysin normaalien tapahtumien joukosta on kuitenkin käytännössä mahdotonta. Tämänkaltaiset skenaariot ovat yleisempiä kuin haluaisit uskoa.
Tällaiset hyökkäykset voidaan estää vain ihmisen ja koneen yhteistyöllä. Lyhyesti:
- Tunnistimet keräävät merkityksellisiä tietoja
- Tekoäly käsittelee kerättyjä tietoja
- Asiantuntevat ihmisanalyytikot käyvät läpi epäilyttäviä murtohavaintoja
Hyvä kyberuhkien sietokyky
Sen jälkeen, kun Rapid Detection & Response -palvelu otettiin käyttöön, Juha on havainnut merkittävän parannuksen MTV:n kyvyssä tunnistaa uhkia.
”Edistyneisyyden taso on valtava etu. Olemme parantaneet SIEM- ja SOC-ratkaisujemme näkyvyyttä tehokkaasti”, Juha kertoo.
MTV:n kyberturvallisuudesta vastaava Juha nukkuu nyt yönsä rauhallisemmin. Hän tietää, että yrityksen tietoturvaa valvoo aina joku, jolla on siihen oikeat taidot ja koulutus.
”Olen jatkossakin huolissani tietoturvastamme. Mutta huolta on paljon helpompi kestää, kun taustalla on vakavasti otettava toimija koko ajan.”
Juha arvostaa myös tiivistä tapaa, jolla palvelu koostaa tietoja.
”Kaikki Rapid Detection & Response -palvelusta saamamme tiedot ja huomiot käsitellään siten, että ne on helppo lukea tai selata läpi”, Juha sanoo. ”Vaikka osaankin alan erikoiskieltä aika hyvin, en välitä lukea massiivisia raportteja, jotka ovat täynnä teknisiä määritelmiä, monimutkaista kieltä ja lyhenteitä.”
Ei tule yllätyksenä, että Juha on päättänyt jatkossakin luottaa hallittuun tunnistukseen ja reagointiin. MTV:n kyberuhkien sietokyky – eli yrityksen valmius toipua haitallisista kybertapahtumista – ei ole koskaan ollut yhtä hyvä.
Suojaudu kyberhyökkäyksiltä
Jos haluat käydä keskustella lisää yrityksesi kyberturvallisuudesta, varaa tästä aika jollekin asiantuntijoistamme.
Ota yhteyttä
Kategoriat