Tietoturvapoikkeamien hallinnan peruskäsitteistö

Turvatoimet ja tietoturvapoikkeamien hallinta on prosessi, joka soveltaa kyberturvallisuuteen ja automatisoi abstraktimpaa palautesilmukkaa (MAPE-K), jossa on vaiheet seuraa-analysoi-suunnittele-toteuta-jaa tieto. Tavoitteena on ymmärtää vaikutukset järjestelmään ja minimoida ne, kehittää ja toteuttaa suunnitelma vahinkojen korjaamiseksi ja käyttää tätä ymmärrystä parantamaan puolustusta tulevia hyökkäyksiä vastaan. Silmukka on läheisessä yhteydessä riskienhallintaan ja se muistuttaa riskienhallintaprosessien palautesilmukkaa.

Tietoturvapoikkeamien hallinnan yhteydessä silmukalla pyritään sopeuttamaan ICT-järjestelmät muuttuviin operointiolosuhteisiin. Silmukkaa ohjaavat tapahtumat, jotka antavat tietoa nykyisestä järjestelmän käyttäytymisestä. Silmukan peräkkäiset vaiheet analysoivat tapahtumavirtaa ja antavat palautetta järjestelmälle muuttaen sen käyttäytymistä havaintojen ja politiikkojen mukaan. Tämä mahdollistaa automaattisen mukautumisen ja parhaan palvelun tarjoamisen käyttäjille.

Työnkulku ja sanasto

Tähän on koottu jatkossa käytettäviä lyhenteitä.

• SOIM = security operations and incident management. Huom. Lyhennettä SOIM käytetään vain tässä luvussa, sen sijaan että kirjoitettaisiin Turvatoimet ja tietoturvapoikkeamien hallinta.
• MAPE-K = monitor-analyze-plan-execute-knowledge, ja tarkemmin ...-over a shared knowledge. Toisin kuin SOIM, tämä on vakiintunut malli. Se esiintyy kuitenkin vain materiaalin tässä luvussa.
• SIEM = security information and event management = turvatiedon ja tapahtuminen hallinta. Lyhenne jäsentyy siis näin: SIEM = "M of SI + M of SE", kun taas SOIM = "SO + IM".
• SOC = security operations center
• SOAR = security orchestration, analytics and reporting = turvaorkestrointi, analytiikka ja raportointi (SOAR="SO+SA+SR")
• IDS | IPS = intrusion detection | prevention system = tunkeutumisen havaitsemisen | estämisen järjestelmä, yhdistettynä IDPS.

Kuvassa alla on esitetty SOIM-yhteyteen sovellettu MAPE-K-silmukka. Sen lisäksi, että ICT-järjestelmää suojataan ja valvotaan hyökkäysten havaitsemiseksi, silmukkaan vaikuttaa kaksi merkittävää toimijaa: Internet kokonaisuutena ja sääntely-ympäristö, jossa ICT-järjestelmä tarjoaa palveluja. Internet on lähteenä sekä palvelupyynnöille että uhkille, mutta toisaalta se on myös uhkia koskeva tietolähde. Sääntelyelimet, kuten kansalliset virastot ja teollisuus, tarjoavat lisää tietoa uhista ja havainnoista ja pyytävät tietojen jakamista.

Kuva havainnollistaa SOIM-työnkulkuja suorittavien komponenttien sijainnit käyttämällä kolmea osittaista silmukkaa. Sisin on IDS, IPS ja kattaa siis seurannan ja havaitsemisen. Toinen, SIEM, laajentaa tunnistusta ja kattaa reagoinnin suunnittelua ja toteutusta. IDS/IPS- ja SIEM -alustat yhdistetään nykyisin turvaoperointikeskuksissa (SOC), jotka tarjoavat sekä teknisiä että henkilöresursseja. Viime aikoina SOAR-alustat (kolmas kehä) ovat lisänneet analytiikkaa ja mahdollistaneet edistyneemmän ja globaalimman vastaamisen kyberuhkiin. SOIM:ssa käytetty tietopohja on vähitellen laajentunut vuosien aikana, kun suurempi määrä erilaista tietoa on tullut tarpeelliseksi hyökkäysten havaitsemiseksi ja lieventämiseksi. Keskeinen ero tiedon ja tapahtumien välillä on aika. Tapahtumia tuotetaan ja kulutetaan, kun taas tieto on pysyvämpää.

Vaiheet seuraa, analysoi, ja suunnittele on nykyisin automatisoitu. Se on välttämätöntä, jotta voidaan käsitellä valtavia määriä tapahtumatietoa, joita nykyaikaiset ICT-järjestelmät tuottavat. Automaatiota tarvitaan myös käsittelemään valtavaa tietomäärää kyberhyökkäyksistä. Kaikki kolme vaihetta pohjaavat tietoon, joka kattaa esimerkiksi valvotun järjestelmän konfiguraation tai monen tyyppisten ja muotoisten hyökkäysten allekirjoitukset. Toteuta-vaihetta toteutettiin SIEM-alustoilla enimmäkseen manuaalisin prosessein. Turvaorkestrointi tai omistetut komponentit mahdollistavat nykyisin palautteen osittaisen automatisoinnin ICT-infrastruktuuriin, vaikka tämä toiminta ei olekaan yhtä kypsää kuin muut.

Arkkitehtuuriset periaatteet

Kyberturvallisuus ei toimi tyhjiössä. SOIM-käyttöönotto edellyttää turvattavalta järjestelmältä muutamia yleisiä arkkitehtuurin periaatteita, jotka toimivat perustana työkalujen ja prosessien käytölle. Näitä on kuvattu alla.

Tietojärjestelmä, joka on (mahdollisesti) kytketty Internetiin, on altis hyökkäyksille. Kaikkia hyökkäyksiä ei voida estää suojamekanismeilla, kuten palomuureilla. Parhaat käytännöt suosittelevat eri (verkko)alueiden (zones) määrittämistä arkaluonteisten tietojen tiedonvaihdon ohjaamiseksi. Tämä toteutetaan usein demilitarisoidulla vyöhykkeellä (demilitarised zone, DMZ), joka sijaitsee sisäisen yksityisen verkon ja ulkopuolisen internetin välissä toimien viestinnän päätepisteenä, vaihtopisteenä ja lisätyn valvonnan alueena. Havaitakseen uhkia, jotka saattavat livahtaa ohi muilta turvamekanismeilta, järjestelmäoperaattorit käyttävät IDS- ja IPS-järjestelmiä. IDPS-sensori on laite/laitteisto, joka tekee havaintoja järjestelmän ja verkon tapahtumista. Se voi käyttää tietolähteenä esim. järjestelmän tai sovelluksen lokitiedostoja (kuvassa tiedosto-kuvake). Ne voidaan ottaa käyttöön myös verkkotasolla (kuvan kaksi palvelinta, joissa on suurennuslasi).

SOIM-infrastruktuuri on esitetty kuvan alaosassa sinisellä pohjalla. IDPS-sensoreilla on usein vähintään kaksi verkkoliitäntää, yksi näkymättömissä valvottavan tietojärjestelmän verkossa tietojen keräämiseksi ja analysoimiseksi, ja toinen tavallinen verkkoliitäntä suojatussa SOIM-verkkoinfrastruktuurissa, jossa toimii myös hälytykset vastaanottava SIEM. Analyytikot (ihmiset) ottavat vastaan hälytyksiä, arvioivat niiden vaikutuksia ja ottavat käyttöön asianmukaisia lieventäviä toimia. IDPS-sensorien hallinta voi joko käyttää tätä toissijaista verkkoliitäntää ylläpitokanavana ohjelmisto- ja allekirjoituspäivityksiin tai käyttää jotain muuta mekanismia, kuten virtuaalista yksityisverkkoa (virtual private network, VPN) sensorin huoltoon ja ylläpitoon.

SOIM-alue sisältää myös prosesseja, jotka tietoturvapäällikkö määrittelee ja joita analyytikot seuraavat. Ensimmäinen prosessi liittyy hälytysten käsittelyyn, jossa operaattori päättää SIEM:n tarjoamien päätöksentukitekniikoiden avulla: 1) jättääkö hälytyksen huomioimatta, 2) reagoiko siihen joillakin toimenpiteillä, vai 3) välittääkö hälytyksen analyytikoille lisäanalyysiä, diagnoosia ja päätöksiä varten. Toinen prosessi on IDPS-sensorien käyttöönotto ja ylläpito, jossa päätetään, mihin sensorit sijoitetaan, mitä niillä tallennetaan ja miten jatkuvaa seurantaa ylläpidetään. Kolmas prosessi on raportointi, joka on erityisen tärkeä hallintopalveluille, joissa SIEM:n ja SOC:n toimintaa analysoidaan parantamista varten.

SOAR-komponentit tulevat mukaan kyberuhkatiedon (cyber-threat intelligence, CTI, kuvassa punainen levy) ja tiedonjako- ja analyysikeskuksen (information sharing and analysis center, ISAC, kuvassa vihreä levy) kautta. Nämä hyödyttävät SOIM-infrastruktuuria hankkimalla tietoa ulkoisista, luotettavista lähteistä ja käyttävät hankittua tietoa lisäämään uhkien havaitsemisen tehokuutta ja vaikutusten arviointia. Molemmat rajapinnat tarjoavat SOC:lle erilaista tietoa. CERT ja ISAC ovat luotettavia organisaatioita, jotka voivat mahdollistaa alakohtaisen tiedonvaihdon ja joita usein säännellään. CTI on paljon sumeampi alue, sisältäen myös open source -lähteet sekä kaupallisten yritysten tarjoamat erityiset tietosyötteet.

Pankkitili

MAPE-K -silmukkaa voidaan soveltaa myös arkipäiväiseen tilanteeseen, kuten pankkitilillä tapahtuvaan epätavalliseen toimintaan. Tällä varmistetaan nopea reaktio ja turvallisuustason jatkuva parantaminen.

Saat sähköposti-ilmoituksen tai tekstiviestin pankiltasi, joka kertoo epätavallisista tapahtumista tililläsi, kuten suurista nostoista tai maksuista. Tämä vastaa MAPE-K -silmukan seuranta eli “Monitor” -vaihetta, jossa järjestelmäsi (pankki) tarkkailee aktiivisesti tilisi tapahtumia.

Kirjaudut sisään verkkopankkiisi ja tarkastelet tilisi tapahtumia. Huomaat, että on tehty useita nostoja eri paikoissa, joita et tunnista, ja ehkä jopa valuutoissa, joita et normaalisti käytä. Tämä vaihe vastaa analysointi eli “Analyze” -vaihetta MAPE-K -silmukassa, jossa selvität epätavallisten tapahtumien syitä.

Päätät välittömästi sulkea pankkikorttisi ja ottaa yhteyttä pankin asiakaspalveluun ilmoittaaksesi epäilyttävistä tapahtumista. Pankki voi myös suorittaa lisätarkastuksia ja mahdollisesti estää lisätoimia tililläsi. Tämä vaihe vastaa suunnittelu ja toteutus eli “Plan” ja “Execute” -vaiheita MAPE-K -silmukassa, jossa kehitetään suunnitelma ja toteutetaan toimenpiteitä vahinkojen korjaamiseksi.

Kun pankki on käsitellyt tilanteen ja suojausmekanismit on vahvistettu, saat ilmoituksen tilisi turvallisuudesta. Lisäksi pankki voi antaa suosituksia siitä, miten voit parantaa tilisi turvallisuutta tulevaisuudessa, kuten kaksivaiheisen tunnistautumisen käyttöönotto tai säännöllisten tilin tarkastusten tekeminen. Tämä vastaa MAPE-K -silmukan palautesilmukka eli “Feedback Loop” -vaihetta, jossa opit aiemmista tapahtumista ja parannat järjestelmäsi turvallisuutta tulevaisuudessa.

Vastaa kysymyksiin.

Kysymys 1

Tietoturvapoikkeamien hallinta tarkoittaa

seuraa-analysoi-suunnittele-toteuta silmukan ja riskienhallinnan automatisoimista ICT ympäristöön.

ICT-järjestelmien automatisoinnin kehittämistä siten, että ne torjuvat hyökkäykset ja toipuvat tietoturvapoikkeamista.

poikkeamien tunnistamista tapahtumavirrasta, niiden eristämistä ja vahinkojen estämistä.

ICT-järjestelmien tapahtumien seuraamista ja analysointia siten, että ongelmiin vastataan ja järjestelmä mukautuu uhkaympäristöön.

Kysymys 2

Tietoturvapoikkeamien hallinnan yhteydessä seuraa-analysoi-suunnittele-toteuta -silmukkaan vaikuttavat

IDPS-sensorit, internet, verkkojärjestely

järjestelmät, internet, hyökkäykset, sääntely, tietolähteet

hyökkäykset, tietolähteet, infrastruktuuri, verkkolaitteet

internet, hyökkäykset, sääntely, IDPS-sensorit, laitteisto

Kysymys 3

IDPS-sensorien tarkoitus on

estää hyökkäykset.

havainnoida verkon tapahtumia.

kyberuhkatietojen hankkiminen.

ylläpitää demilitarisoitua vyöhykettä.

Kysymys 4

Tietoturvapoikkeamien hallinnassa kyberuhkatietoa käytetään erityisesti

tiedonhankintaan.

uhkien torjuntaan.

uhkien havaitsemisen tehostamiseen.

raportointiin.

Palautusta lähetetään...