Kyberpuolustus - SecMeter

Sisältöön

Kyberpuolustus

Yritysturvallisuus > Kyberturvallisuus
Kybertoimintaympäristön suojaaminen koostuu tiedustelu-, puolustus- ja vaikuttamisfunktioista. Vaikuttamisfunktio sisältää yrityksen ja sen sidosryhmien tietoturvallisuuskulttuurin muodostamiseen ja ylläpitoon liittyvät toimenpiteet.

  • Tiedustelufunktio sisältää kyberuhkíin liittyvän tilannekuvan muodostamiseen tarvittavat toimenpiteet.
  • Puolustusfunktio sisältää tilannekuvaan perustuvat hallinnolliset ja tekniset turvallisuusratkaisut.

Hallinnolliset kontrollit

Kyberuhkien vaikutusten arviointi
Arvioi kyberriskejä ja niiden vaikutuksia yrityksen ICT-palvelutoiminnalle. Sisällytä kyberturvallisuuden arviointi normaalin riskienhallintaprosessin osaksi.

  • arvioi mitkä järjestelmät altistuvat kyberhyökkäyksille
  • kuvaa riskit (riskikuvaus) ja arvioi niiden todennäköisyydet ja vaikutusten laajuus
  • suunnittele ehkäisevät, ilmaisevat ja lieventävät kontrollit
  • seuraa kontrollien vaikuttavuutta
  • raportoi tapahtumat johdolle.

Kyberturvallisuuden vaikutukset ja kustannukset
Toteuta suunniteltujen investointien elinkaarikustannusten arviointi kustannushyötyanalyysin periaatteella ja raportoi tuloksista. Laadi myös vaihtoehtoisiin skenaarioihin pohjautuvia vertailulaskelmia.

Ehkäisevät kontrollit

Käyttövaltuuksien hallinta

  • Toteuta ja kouluta keskitetty toimintatapa tietojärjestelmien käyttöön oikeuttavien valtuuksien ja niiden laajuuksien ajantasaiseen hallinnointiin (valtuuksien myöntäminen, ylläpito ja raportointi).
  • Käytä tunnistamiseen vahvoja tunnistamismenettelyjä.
  • Käyttövaltuuksien käytön aktiivisella raportoinnilla, seurannalla ja valvonnalla voit estää hyökkääjiä käyttämästä laittomasti perustettuja käyttäjätilejä.
  • Poista järjestelmästä viivytyksettä kaikki tuntemattomat käyttäjätilit, jotka eivät liity liiketoimintaprosesseihin tai niiden laillisiin käyttäjiin.
  • Varmista, että käyttövaltuushallinto reagoi ajantasaisesti työtehtäviä vaihtavien henkilöiden käyttövaltuuksiin ja poistaa oikea-aikaisesti lähtevien työntekijöiden käyttövaltuudet.

Ohjelmistoturvallisuus

  • Päivitä turvattomat ohjelmistoversiot uusiin ajantasaisiin versioihin ilman tarpeetonta viivytystä. Erityisen tärkeätä on päivittää toimisto-ohjelmistot, selaimet, palomuuriohjelmistot ja muut verkko-ohjelmistot. Poista Java käytöstä, mikäli mahdollista.
  • Estä luvattomien ohjelmien asentaminen järjestelmiin, erityisesti päätelaitteisiin.
  • Poista viivytyksettä kaikki luvattomat ohjelmistot ja niiden versiot.
  • Käytä asianmukaisia työkaluja järjestelmään asennettujen ohjelmistojen ja niiden versioiden luvallisuuden toteamiseksi.

Tietoverkkoarkkitehtuuri

  • Ota käyttöön aktiivinen toimistoverkon konfiguraation hallinta ja seuranta.
  • Estä hyökkääjiä hyödyntämästä palveluita ja asetuksia, joiden avulla voi helposti läpäistä kyberpuolustuksen.
  • Varmista säännöllisin väliajoin, että voimassa olevat asetukset ovat turvallisia, eikä niitä ole luvattomasti muutettu.

Langattomat tietoliikenneyhteydet ja päätelaitteet

  • Salli langattoman päätelaitteen muodostaa yhteys verkkoon vain, jos laite on tunnistettu luvalliseksi ja sen konfiguraatio on turvallinen.
  • Salli langattomien verkkojen tukiasemien hallinta ainoastaan yrityksen omilla hallintaohjelmistoilla ja estä tukiasemien näkyvyys skannereille.

Kyberpuolustus

  • Estä tietojen eheyttä ja luottamuksellisuutta vaarantavien haittaohjelmien pääsy järjestelmään.
  • Käytä automaattisen anti-virus (AV) ohjelmien lisäksi myös muita haittaohjelmapuolustusta syventäviä ratkaisuja, kuten esimerkiksi IDS-järjestelmää, DMZ-vyöhykettä ja verkon segmentointia.
  • Sijoita yrityksen palvelimet DMZ-vyöhykkeen taakse, elleivät liiketoiminnan palvelutarpeet muuta edellytä.
  • Varmistu palomuurisäännösten ja muiden verkkoliikenteen suodatusjärjestelmien säännöstöjen asianmukaisuudesta sekä hallinnasta.
  • Tietoturvapoikkeamien havainnointi edellyttää, että ylläpitäjällä on riittävä näkyvyys sisä- ja ulkoverkkoon.
  • Huolehdi, että ylläpitäjillä on mahdollisuus havaita verkon epäilyttävä liikenne. On tiedettävä, mitä palvelimella tapahtuu.
  • Kontrolloi yrityksen verkosta lähtevää liikennettä DLP-ohjelmistojen (data loss prevention) avulla.
  • DLP-ohjelmistot kontrolloivat tiedon käyttöä, suodattavat verkossa liikkuvaa dataa ja suojaavat tallennettuja tietoja. Ohjelmiston käyttöönotto edellyttää huolellista ennakkosuunnittelua.
  • Nimipalvelimien määrän lisääminen ja maantieteellinen hajauttaminen eri alueille parantaa sähköisen asiointipalvelun käytettävyyttä merkittävästi. Suurempi määrä nimipalvelimia, jotka liittyvät eri ylätason verkkotunnukseen, vähentää todennäköisyyttä, että kyberrikollinen pystyy häiritsemään samanaikaisesti kaikkia nimipalvelimia.

Ilmaisevat kontrollit

Käyttölokien hallinta ja valvonta

  • Toteuta ja hyväksytä lokipolitiikka, jonka perusteella kaikkien järjestelmien käytöstä syntyy lokitiedot ja niistä on mahdollista tuottaa asianmukaisia raportteja (esimerkiksi SIEM-ratkaisu).
  • Lokitiedot tulee aina keskittää luotettuun paikkaan, ei missään nimessä jättää valvottavalle laitteelle. Näin varmistetaan, että tieto on eheää ja luotettavaa.

Laite- ja ohjelmistorekisterien ylläpito

  • Toteuta laite- ja ohjelmistorekisterit sekä niiden ajantasainen ylläpito.
  • Pidä ajan tasalla kytkettyjen asianmukaisten päätelaitteiden tiedot mukaan lukien palvelimet, työasemat, kannettavat tietokoneet, mobiili- ja etäkäyttöpäätelaitteet.

Toimistoverkko

  • Suorita järjestelmille säännöllisesti toistuvia haavoittuvuusskannauksia tietoturva-asiantuntijoiden toimesta (esimerkiksi ulkoinen skannauspalvelu).
  • Suorita aika ajoin sisäisiä ja ulkoisia simuloituja kyberhyökkäyksiä (penetraatiotestejä) mahdollisten haavoittuvuuksien havaitsemiseksi ja nykyisen kyberpuolustuskyvyn tehokkuuden arvioimiseksi.
  • Pyri korjaamaan kriittiset havainnot 48 tunnin kuluessa.

Lieventävät kontrollit

Kyberpuolustuksen tilannekuvan muodostaminen ja ylläpito

Toteuta menettelyt, joilla turvataan kyberhyökkäyksen hallintaan ja torjuntaan tarvittavan informaation ja ulkoisen asiantuntemuksen saanti.

  • kerää ja ylläpidä eri lähteistä ajantasaista tietoa kyberuhkista ja yrityksen kyberpuolustuksesta
  • analysoi kerättyä tietoa ja tunnista nykytilanne sekä kehityssuunta
  • kehitä kyberpuolustusta tilannetiedon pohjalta
  • ylläpidä johdon tilannekuvaa säännöllisin katsauksin esimerkiksi riskiraportoinnin yhteydessä.

Kyberturvallisuuden huomiointi palvelusopimuksissa

  • Toteuta menettelyt, joilla kyberturvallisuusvaatimukset tulevat varmuudella huomioiduiksi palvelu- ja ulkoistamissopimusten sopimusehtoina.

Kyberhyökkäykseen reagointi

  • Toteuta ja kouluta toimintatapa, jolla kyberyökkäyshavaintoon on mahdollista asianmukaisesti ja viipymättä reagoida. Arvioi myös sidosryhmien keskinäisen yhteistoiminnan tarve.

Kriisiviestintä

  • Ohjeista ja kouluta toimintatapa, milloin, miten ja missä laajuudessa kyberhyökkäyksestä tiedotetaan yrityksen henkilöstölle ja ulkoisille sidosryhmille. Arvioi myös viranomaistiedottamisen tarve.

Varautuminen

  • Toteuta menettelyt, joilla varmistetaan, että yrityksen kyberturvallisuuteen liittyvä ohjeistus, menettelytavat ja tekniset ratkaisut vastaavat ajantasaisen kyberturvallisuustilannekuvan vaatimuksia.
  • Toteuta menettelyt, joilla palvelutoiminnan jatkuvuus, tietojen eheys ja luottamuksellisuus turvataan kyberhyökkäystilanteessa (esimerkiksi varajärjestelmät, testaukset ja harjoitukset).

Varmista tietojen palautuksen onnistuminen

Kyberhyökkäys on tilanne, jossa tietojen saatavuus, eheys ja luottamuksellisuus vaarantuvat. Hyökkääjä tuhoaa yleensä myös kaikki hyökkäyksen jäljet järjestelmästä.

  • Estä lokitietojen tuhoaminen erillisen lokipalvelimen avulla.
  • Automatisoi varmuuskopiointiprosessi.
  • Kopioi ennalta suunnitellun syklin mukaisesti tiedot, ohjelmat ja käyttöjärjestelmätiedostot.
  • Varmistu palautusten onnistumisesta testaamalla palautusta.

Toiminta kyberhyökkäystilanteessa

Ensihavainto

  • Ovatko yrityksen voimassa olevat kontrollit havainneet ja/tai pysäyttäneet hyökkäyksen?
  • Onko hyökkäyksestä saatu tallennettua teknistä todistusaineistoa?
  • Palvelinta ei saa sammuttaa. Palvelin kytketään vain irti verkosta. Toimintaperiaate varmistaa, että palvelimen keskus- (CPU) ja levymuisti on mahdollista kopioida optiselle tallenteelle forensiikkaa varten.

Hyökkäyksen vaikuttavuus

  • Mihin tietojärjestelmiin havaittu hyökkäys kohdistuu?
  • Onko hyökkäyksen laajuus ja vaikutukset arvioitu?
  • Kuinka vakava hyökkäys on kyseessä?

Vaikutusten rajoittaminen

  • Onko hyökkäys saatu rajoitettua tai pysäytettyä?
  • Onko hyökkäyksestä ja sen vaikutuksista tiedotettu vastuuhenkilöille ja keskeisille sidosryhmille?

Jälkityöt

  • Onko hyökkäyksen vakavuuden, vaikutusten ja tallennetun teknisen todistusaineiston perusteella syytä harkita rikosilmoitusta?
  • Onko hyökkäyksen kohteena olleen tietojärjestelmän eheydestä ja luottamuksellisuudesta varmistuttu esimerkiksi ulkopuolisella auditoinnilla?
  • Miten vastaavia hyökkäyksiä voidaan jatkossa paremmin havaita ja rajoittaa tai estää?

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön