- COMP.SEC.100
- 9. Turvatoimet ja tietoturvapoikkeamien hallinta
- 9.6 Tiedä: Tiedustelu ja analytiikka (syventävä)
Tiedä: Tiedustelu ja analytiikka (syventävä)¶
Älykkyys ja analytiikka keskittyvät CTI ja CERT komponentteihin SOIM-teknologiat kuvassa. CTI-alusta sisältää hunajapurkki-alustat, jotka antavat kuvan organisaatioon vaikuttavasta haitallisesta toiminnasta. CERT:t ja ISAC:t ovat sääntelyelimet, joilta organisaatio voi saada lisätietoja, kuten toimialakohtaisia indikaattoreita tai parhaita käytäntöjä tapahtumien havaitsemiseen ja käsittelyyn.
Kyberturvallisuustiedon hallinta (syventävä)¶
SIEM-alustat ovat tärkein tekninen työkalu, joka tukee analyytikoita puolustamaan tietojärjestelmiä ja verkkoja. Varhaisin yritys kyberturvallisuuteen liittyvän tiedon hallintaan on CERT:in virallistamien haavoittuvuustietojen jakaminen. Sitä hallitaan Common Vulnerabilities and Exposures (CVE) -sanakirjan, Common Vulnerability Scoring System (CVSS) -järjestelmän ja tietokantojen (esim. NIST National Vulnerability Database) kautta. Alustojen suorituskyky riippuu niistä tiedoista, jotka on annettu niiden analyytikoille.
CVE tarjoaa tavan viitata tiettyihin haavoittuvuuksiin tuotteiden tietyissä versioissa. Nämä tiedot ovat erittäin hyödyllisiä IDS-allekirjoituksille, koska ne tunnistavat selvästi kohteen. Ne eivät kuitenkaan riitä globaalimpaan käsittelyyn, joten korkeamman tason luokituksia on määritelty. Tähän tarkoitukseen Common Vulnerability Scoring System (CVSS) tarjoaa standardin tavan arvioida haavoittuvuuksien vaikutuksia numeerisilla pisteillä.
SIEM:n ja SOAR:n suorituskyky perustuu siihen, että tietokannassa on tarkat ja täydelliset tiedot. Tietoa pitää myös ylläpitää.
Hunajapurkit ja -verkot (syventävä)¶
Hunajapurkki (honeypot) on tietojärjestelmään toteutettu houkutin, johon hyökkääjän on tarkoitus tarttua. Yleensä se on verkkoon toteutettu kone (hunajaverkko on joukko koneita), johon on tarkoituksellisesti laitettu mahdollisia hyökkääjiä kiinnostavaa tietoa ja materiaalia. Tämän tarkoituksena on houkutella hyökkääjää kiinnostumaan juuri tästä kohteesta. Sellaisenaan hunajapurkki näyttää ulkopuolelle tietojärjestelmän tai verkon resurssilta ja tarjoaa realistisen näköisiä palveluita ulkomaailmalle. Normaalikäytössä lailliset käyttäjät eivät koskaan käytä näitä koneita, joten kaikenlaisen vuorovaikutuksen katsotaan liittyvän haitalliseen käyttöön. Seuraamalla kuinka hyökkääjät käyttävät hunajapurkkia, saadaan tietoa hyökkäysprosesseista ja uusista haittakoodeista. Näitä tietoja hyödynnetään hyökkäysten havaitsemiseen ja lieventämiseen. Hunajapurkkien keräämät tiedot tulevat kokonaan hyökkääjiltä. Toisaalta hyökkääjät kehittävät tekniikoita hunajapurkkien havaitsemiseksi. Jos hunajapurkki havaitaan, hyökkäys siihen yleensä lopetetaan.
Kyberuhkien tiedustelu (syventävä)¶
Hunajapurkit ovat osoittaneet, että on hyödyllistä tarkkailla haitallista toimintaa, siepata haittaohjelmia ja havaita uudet uhat ennen kuin ne voivat levitä laajalle. Hyökkäysmekanismeja ja -trendejä tutkitaan tarkastelemalla sekä Internetin laajuista haitallista toimintaa että tekemällä haittaohjelmaanalyysiä.
Kyberuhkien tiedustelu sisältää hunajapurkkien lisäksi myös tiedon jakamista, jota kansalliset viranomaiset yhä enemmän vaativat. Tiedon jakaminen on data-analytiikan tulos, ja se on erittäin hyödyllistä puolustajille, koska riskit, turvaamis- ja lieventämismahdollisuudet ymmärretään silloin paremmin.
Tilannetietoisuus (syventävä)¶
Tilannetietoisuus (situational awareness) määritellään kognitiiviseksi prosessiksi, jossa ympäristön elementit havaitaan tietyn ajan ja tilan sisällä, niiden merkitys ymmärretään ja niiden asema lähitulevaisuudessa voidaan projisoida. Määritelmä on lähtöisin lentäjiltä ja kyberturvallisuuteen sovellettuna se tarkoittaa tarkoittaa tietoisuutta kaikesta epäilyttävästä tai mielenkiintoisesta toiminnasta kyberavaruudessa. Teknologian lisäksi kybertilannetietoisuuden tutkimukseen vaikuttavat yhteiskuntatieteet. Sitä on myös laajalti tutkittu sotilaspiireissä.
SIEM-maailma on läpikäymässä perusteellisia muutoksia sääntelyn ja kyberhyökkäysten vaikutuksesta. Sääntelyn näkökulmasta kriittisen infrastruktuurin operaattoreiden on sisällettävä havaitsemis- ja lievennyskyvyt. Tätä edustaa Euroopan NIS direktiivin toteutuminen kansallisessa lainsäädännössä. ENISA tarjoaa säännöllisesti tietoa kyberturvapoikkeamista, erityisesti havaitsemis- ja hallintamenettelyistä. Yhteistyö tiedonjakamisessa lisääntyy jatkuvasti ja tiedon jakaminen on äärimmäisen tärkeää asianmukaiselle päätöksenteolle.