Varautuminen tietomurtoon
Tämän sivun tarkoitus on auttaa erityisesti huoltovarmuuskriittisiä organisaatioita valmistautumaan tietomurron varalle. Erityistä huomiota on kiinnitetty toimenpiteisiin, jotka mahdollistavat ulkopuolisen avun käynnistämisen mahdollisimman nopeasti.
Priorisoinnissa on pyritty huomioimaan suosituksen kustannukset ja käyttöönoton aiheuttama työmäärä. Työläät ja kalliit suositukset on pyritty priorisoimaan maltillisesti.
Sivulla on kolme taulukkoa: ”Ennakoivat toimenpiteet”, ”Havainnointi” ja ”Tietoturvahäiriön hallinta ja palautuminen”.
Taulukoissa termillä DFIR-toimija (Digital Forensic and Incident Response) viitataan ulkopuoliseen toimijaan, jolla on erityisosaamista tietomurron selvittämisestä.
Ennakoivat toimenpiteet
”P” (priorisointi): 1=Korkea / 2 = Keskitaso / 3 = Matala
| Suositus | Kuvaus | P | Käyttöönoton kustannus / vaiva |
|---|---|---|---|
| Etukäteislupa tietomurron selvittämiselle | Varmista, että IT-palvelutarjoajien kanssa tehdyt sopimukset eivät estä tietomurron tutkimusta. Huomaa, että mikäli käytät ulkopuolista apua tietomurron selvityksessä, myös ulkopuolisen tahon tulee saada toimia ympäristöissä. | 1 | Vaatimuksen toteutus edellyttää olemassa olevien sopimusten tarkastelua. |
| Salassapitosopimukset, henkilötietojen käsittely | Varmista, että tietomurron selvityksen aikana tarvittavat salassapitosopimukset (Non-Disclosure Agreement), tietojenkäsittelysopimukset (Data Processing Agreement) ja muut vastaavat sopimukset on tunnistettu ja sovittu oleellisten tahojen kanssa. | 2 | Tyypillisesti DFIR-toimija ei pysty nimeämään tutkimuksessa käytettäviä henkilöitä etukäteen, koska murtotutkimuksen luonne määrittää tarvittavat osaamisprofiilit. |
| Yhteistyökumppaneiden selvitys etukäteen | Selvitä etukäteen mahdolliset DFIR-toimijat, joilla on osaamista tietomurtojen tutkimisesta organisaation kriittisten teknologioiden osalta. Jos mahdollista, solmi ennakkosopimus DFIR-toimijan kanssa. | 1 | Yleensä DFIR-toimijat laskuttavat kiinteän vuosikustannuksen sekä jokaisesta tutkimuksesta erikseen. Näin ollen etukäteissopimus tulee kilpailuttaa. Oheisen linkin takaa löytyy epävirallinen lista Suomessa toimivista DFIR-toimijoista, johon yritykset ovat voineet itse ilmoittaa itsensä. |
| Yhteystietoluettelot | Varmista, että yhteystietoluettelot oleellisten IT-toimittajien ja sidosryhmien kanssa ovat käytettävissä (esim myös paperilla). | 1 | Huomaa, että mikäli tietojärjestelmät eivät ole käytettävissä, tulee oleellisten yhteystietojen olla silti saatavilla. Tämä on kriittistä toiminnan käynnistämiseksi nopeasti. (Huomaa suositus: Tietojen Saatavuus) |
| Kommunikaatiokanavat | Suunnittele, mitä vaihtoehtoisia kommunikointikanavia käytät, mikäli ensisijainen kanava ei ole käytettävissä. Huomaa myös, että väistötiloissa saattaa olla rajoittuneet viestintämahdollisuudet (tämä saattaa vaikuttaa esimerkiksi kaksivaiheisen tunnistamisen (2FA) toimintaan). | 3 | Valmistaudu tilanteeseen, jossa hyökkääjä onnistuu saamaan kriittisiä käyttövaltuuksia hallintaansa. Näin ollen esimerkiksi normaali sähköposti tai pikaviestisovellukset eivät ole välttämättä käytettävissä tai mahdollisesti hyökkääjä pystyy käyttämään näitä työkaluja. Harkitse, voivatko esimerkiksi kuluttajasähköpostitilit toimia vaihtoehtoisena kanavana. Huomaa myös, että DFIR-toimija pystyy monesti tarjoamaan vaihtoehtoisia työkaluja. |
| Kriittiset järjestelmät ja tietovarannot | Luo luettelo liiketoiminnalle kriittisistä järjestelmistä ja tietovarannoista. | 2 | Kriittisten järjestelmien ja tietovarantojen tunnistaminen nopeuttaa tutkimusta, koska DFIR-toimija pystyy kohdentamaa tutkimuksen oleellisiin kohteisiin. |
| Palauttamisen prioriteetit | Priorisoi kriittisen palveluiden palautuminen | 2 | Palautumisen priorisointi etukäteen nopeuttaa organisaation palautumista. |
| Ympäristökuvaus | Tulosta paperille ja säilytä turvallisessa paikassa IT-ympäristön kriittiset tiedot, jotta ne ovat käytettävissä myös vakavan hyökkäyksen aikana. | 1 | Mikäli organisaation joutuu sulkemaan tietoverkkonsa, tai lukitsemaan pilvipalvelun tietovuodon estämiseksi, tämä saattaa estää pääsyn tiedon verkon yli. |
Havainnointi
”P” (priorisointi): 1=Korkea / 2 = Keskitaso / 3 = Matala
| Suositus | Kuvaus | P | Käyttöönoton kustannus / vaiva |
|---|---|---|---|
| Päätelaitelokien maksimi lokikoon määrittely | Määritä päätelaitteiden maksimi lokikoko riittävän suureksi. Suositus on, että lokia olisi saatavilla vähintään 30 päivää taaksepäin (seuraavat lokit vähintään: Security, Application, System, PowerShell Operational, Sysmon (jos käytössä)). | 1 | Windows-ympäristössä lokikokoa voidaan kasvattaa keksitetysti esimerkiksi Group Policyjen avulla. |
| Päätelaitelokien valvonta-asetusten määrittely | Varmista, että päätelaitteet tuottavat lokia riittävän yksityiskohtaisesti. | 1 | Windows-ympäristössä asetuksia voidaan määrittää esimerkiksi Group Policyjen avulla. Hyvä lähtökohta on Microsoftin Stronger Recommendation mukaiset asetukset. Lisäksi prosessivalvonnan tärkeys on syytä huomioida (Huomaa sysmon-suositus). |
| Tietoliikennelokien säilyttäminen | Tunnista, mitä tietoliikennelokia organisaatio tuottaa ja mihin lokit on tallennettu. Suositus on, että lokit kattaisivat vähintään viimeisen kuukauden. Varmista, että organisaatiolla on tapa toimittaa tietoliikennelokit DFIR-toimijalle analyysia varten. | 1 | Toimenpide edellyttää tietoliikennelaitteiden lokiasetusten tarkistamista ja tarvittaessa korjaamista. Huomio lokien säilyttämisestä aiheutuva kustannus toimintakulujen suunnittelussa. |
| Internetistä saavuttavien palvelujen lokien säilytysaika | Varmista, että kaikki internetistä saavutettavat palvelut, tai järjestelmät, lokittavat merkittävät tapahtumat. Kiinnitä erityistä huomioita ratkaisuihin, jotka tarjoavat käyttäjille pääsyn sisäverkkoon (VPN, VDI, jne), näiden osalta on kriittistä lokittaa kaikki tunnistautumiseen liittyvät tapahtumat. Varmista, että lokeja säilytetään vähintään kuukausi. | 1 | Lokiensäilöntäajan varmistaminen edellyttää asetusten tarkastelua per järjestelmä. Tallennustarpeen tuoma kustannus tulee huomioida vuosittaisessa budjetoinnissa. Mikäli mahdollista, lokit tulee ottaa keskitetyn lokien valvonnan piiriin. Varmista lisäksi, että organisaatio pystyy tarvittaessa muuttamaan kerättävien lokien säilytysaika tai lokien tietosisältöä. Tämä saattaa olla välttämätöntä tietomurron onnistuneen selvityksen varmistamiseksi. |
| Sysmon (tai vast.) valvonta päätelaitteille | Varmista, että päätelaitteet tuottavat riittävän tarkkaa tietoa järjestelmän käyttäytymisestä. Monitorointiin voidaan käyttää esimerkiksi Microsoftin Sysmon-työkalua. | 1 (EDR käytössä => 3) | Sysmon on ilmainen työkalu, jonka käytöstä ei koidu lisenssikustannuksia, ellei dataa kerätä keskitetysti. Sysmon ei myöskään korvaa EDR-ratkaisua, mutta se pystyy tuottamaan tietomurron selvittämisen kannalta oleellista lokia. Swift On Security tarjoaa hyvän peruskonfiguraation Sysmonille, jota kannattaa käyttää pohjana. Lisäksi tulee varmistaa, että Sysmon-lokille määritellään riittävä pitkä säiltysaika, kohdan ”Päätelaitelokien maksimi lokikoon määrittely” mukaisesti. |
| Edistynyt päätelaitesuojaus (EDR) | Jos mahdollista, ota käyttöön edistynyt päätelaite suojaus (ns. Endpoint Detection and Response (EDR)). | 2 | Edistynyt päätelaitesuojaus mahdollistaa tietomurtojen tutkinnan tehokkaasti. EDR ratkaisut keräävät dataa ja valvovat päätelaitteita, sekä tarjoavat mahdollisuuden suorittaa vastetoimenpiteitä. Kaupalliset EDR ratkaisut voivat olla kustannuksiltaan korkeita. |
| Tapahtumien keskitetty valvonta | Selvitä onko organisaation mahdollista kerätä lokeja keskitettyyn paikkaan. Selvitä voidaanko kerättyjä lokeja analysoida jatkuvasti. | 2 | Keskitetyn valvonnan käyttöönotto voi olla kallista ja aikaa vievää. Samoin keskitetyn lokituksen ja valvonnan ylläpito voi olla merkittävä kustannuserä. Vaikka keskitetyn valvonnan toteuttaminen on erittäin suositeltavaa, siihen liittyvien kustannusten johdosta prioriteetti on laskettu matalaksi tämän ohjeen osalta. |
Tietoturvahäiriön hallinta ja palautuminen
”P” (priorisointi): 1=Korkea / 2 = Keskitaso / 3 = Matala
| Suositus | Kuvaus | P | Käyttöönoton kustannus / vaiva |
|---|---|---|---|
| Prosessi hätätunnusten käyttöönottoon | Tietomurtotutkinnassa DFIR-toimijan tutkijat toivovat yleensä pääsyä uhriorganisaation järjestelmiin. Kartoita millaisia järjestelmiä on olemassa, jotka voivat auttaa tutkinnassa. Luo prosessi, jonka avulla voidaan luoda tunnukset pikaisesti. Mikäli tunnukset luodaan etukäteen, on hyvä huomioida, että niiden käyttöä valvotaan tarkasti Break Glass -tunnusten tyylisesti. | 1 | Suosituksen toteuttaminen edellyttää hieman vaivannäköä, koska tarvittavien oikeuksien määrittäminen saattaa olla työlästä. Oikeuksien määrittämisestä tulee noudattaa ”minimi oikeudet” -periaatetta ja lähtökohtaisesti DFIR-tutkijoille riittävät ”lukija”-tason tunnukset. |
| Sovellusten ajo tai asennus hätätapauksessa | DFIR-toimijat käyttävät monesti omaa sovellusta, jolla voidaan kerätä todistusaineistoa ympäristöstä. Tyypillisesti sovelluksen asettaminen tai ajaminen edellyttää pääkäyttäjätason oikeuksia käyttöjärjestelmässä. Luo prosessi, jonka avulla voidaan asentaa tai ajaa tällaisia sovelluksia hätätapauksessa. | 1 | Prosessin luominen on usein melko yksinkertaista. Varsinainen asennus voidaan usein toteuttaa monella eri tavalla, esimerkiksi käsin tai jonkin sovellusten jakelutyökalun kautta. |
| Varmista pääsy tutkintajärjestelmiin | Mikäli ympäristössä on tietoturvatapahtumia tallentavia järjestelmiä (esimerkiksi EDR tai SIEM) varmista, että tutkijoilla on pääsy näihin. Mikäli järjestelmä on käytettävissä vain organisaation sisäverkosta, suunnittele miten ulkopuoliset tutkijat voivat saada pääsyn järjestelmään turvallisesti. | 1 | Pääsy tutkittavaan materiaaliin tulee suunnitella jo etukäteen. Vaihtoehtoisesti organisaatio voi päättää, että tietomurtotutkinnassa käytetään DFIR-toimijan työkaluja. |
| Ylläpitäjien pääsy järjestelmiin | Varmista, että ylläpitäjillä on hätätilanteissa keino hallita IT-infrastruktuuria myös niissä tilanteissa, joissa valtaosa infrastruktuurista on salattu. | 1 | Ylläpitäjien tulee päästä mahdollisimman tehokkaasti kiinni järjestelmiin myös poikkeustilanteissa. Ylläpitäjiä tarvitaan sekä avustamaan tietomurtotutkintaa että toteuttamaan järjestelmäpalautumista. |
| Varmistuksen eriyttäminen | Varmista, että varmuuskopioratkaisu on eristetty muusta IT-ympäristöstä. Eriyttäminen tulee toteuttaa niin verkkoyhteyksien kuin käyttöoikeuksienkin osalta. | 1 | Kiristyshaittaohjelma-hyökkäyksessä hyökkääjä pyrkii yleensä tuhoamaan varmuuskopiot sekä halvaannuttamaan organisaation salaamalla kriittisiä komponentteja. Mikäli organisaation varmuuskopiot ovat esimerkiksi tuhotulla virtuaalisointialustalla, ei organisaatio pysty hyödyntämään varmuuskopioita. Usein tuotannosta eriytettyjä varmistuksia kutsutaan ”offline” tai ”cold” nimillä. |
| Varmistusten palautuksen testaaminen | Varmista, että organisaation on suunnitellut varmuuskopioiden palautuksen ja testaa em. prosessia säännöllisesti. Prosessilla varmistetaan, että varmistusten palautus myös edellä mainituista offline-varmistuksista toimii oletetusti. | 1 | Kattavan palautusten testaamisen suunnittelu on haastava tehtävä. Erityisesti eri järjestelmäriippuvuuksien ymmärtäminen ja liiketoimintadatan synkroonissa pysyminen saattaa olla hankala. Kuitenkin, varmistuksen palauttamisen onnistumisen testaaminen on äärimmäisen tärkeää. Vain tällöin voidaan luottaa siihen, että myös kriisitilanteessa voidaan luottaa palautumisprosessiin. |
| Tallennustilan riittävyys | Varmista, että palvelinkeskuksessa on riittävästi laskenta- ja tallennustilaa saatavilla, jotta kaikki kriittinen infrastruktuuri ja priorisoidut liiketoimintajärjestelmät voidaan palauttaa puhdistamatta ensin kryptattujen laitteiden ympäristöä. | 3 | Mikäli tietomurron juurisyytä ei ole vielä selvitetty, tutkinnan kohteena olevia laitteita ei tule vielä uudelleen asentaa. Tämän johdosta on monesti järkevämpää, että uudelleen asennus tehdään kokonaan uuteen ympäristöön, tai uudelle alustalle. |
Viranomaislinkkejä
Ilmoitus tietosuojavaltuutetulle
Ilmoitus Traficomin Kyberturvallisuuskeskukselle
Poliisille tehdään normaalisti rikosilmoitus, esimerkiksi verkkopalvelun avulla.
Lisätietoja
Uudistuva teollisuus