Siirry sisältöön
Etusivu Ajankohtaista Varautuminen tietomurtoon

Varautuminen tietomurtoon

Tämän sivun tarkoitus on auttaa erityisesti huoltovarmuuskriittisiä organisaatioita valmistautumaan tietomurron varalle. Erityistä huomiota on kiinnitetty toimenpiteisiin, jotka mahdollistavat ulkopuolisen avun käynnistämisen mahdollisimman nopeasti.

Priorisoinnissa on pyritty huomioimaan suosituksen kustannukset ja käyttöönoton aiheuttama työmäärä. Työläät ja kalliit suositukset on pyritty priorisoimaan maltillisesti.

Sivulla on kolme taulukkoa: ”Ennakoivat toimenpiteet”, ”Havainnointi” ja ”Tietoturvahäiriön hallinta ja palautuminen”.

Taulukoissa termillä DFIR-toimija (Digital Forensic and Incident Response) viitataan ulkopuoliseen toimijaan, jolla on erityisosaamista tietomurron selvittämisestä.

Ennakoivat toimenpiteet

P” (priorisointi): 1=Korkea / 2 = Keskitaso / 3 = Matala

SuositusKuvausPKäyttöönoton kustannus / vaiva
Etukäteislupa tietomurron selvittämiselleVarmista, että IT-palvelutarjoajien kanssa tehdyt sopimukset eivät estä tietomurron tutkimusta.  Huomaa, että mikäli käytät ulkopuolista apua tietomurron selvityksessä, myös ulkopuolisen tahon tulee saada toimia ympäristöissä.1Vaatimuksen toteutus edellyttää olemassa olevien sopimusten tarkastelua.
Salassapitosopimukset, henkilötietojen käsittelyVarmista, että tietomurron selvityksen aikana tarvittavat salassapitosopimukset (Non-Disclosure Agreement), tietojenkäsittelysopimukset (Data Processing Agreement) ja muut vastaavat sopimukset on tunnistettu ja sovittu oleellisten tahojen kanssa.2Tyypillisesti DFIR-toimija ei pysty nimeämään tutkimuksessa käytettäviä henkilöitä etukäteen, koska murtotutkimuksen luonne määrittää tarvittavat osaamisprofiilit.
Yhteistyökumppaneiden selvitys etukäteenSelvitä etukäteen mahdolliset DFIR-toimijat, joilla on osaamista tietomurtojen tutkimisesta organisaation kriittisten teknologioiden osalta.

Jos mahdollista, solmi ennakkosopimus DFIR-toimijan kanssa.
1Yleensä DFIR-toimijat laskuttavat kiinteän vuosikustannuksen sekä jokaisesta tutkimuksesta erikseen. Näin ollen etukäteissopimus tulee kilpailuttaa.

Oheisen linkin takaa löytyy epävirallinen lista Suomessa toimivista DFIR-toimijoista, johon yritykset ovat voineet itse ilmoittaa itsensä.
YhteystietoluettelotVarmista, että yhteystietoluettelot oleellisten IT-toimittajien ja sidosryhmien kanssa ovat käytettävissä (esim myös paperilla).1Huomaa, että mikäli tietojärjestelmät eivät ole käytettävissä, tulee oleellisten yhteystietojen olla silti saatavilla. Tämä on kriittistä toiminnan käynnistämiseksi nopeasti. (Huomaa suositus: Tietojen Saatavuus)
KommunikaatiokanavatSuunnittele, mitä vaihtoehtoisia kommunikointikanavia käytät, mikäli ensisijainen kanava ei ole käytettävissä.

Huomaa myös, että väistötiloissa saattaa olla rajoittuneet viestintämahdollisuudet (tämä saattaa vaikuttaa esimerkiksi kaksivaiheisen tunnistamisen (2FA) toimintaan).
3Valmistaudu tilanteeseen, jossa hyökkääjä onnistuu saamaan kriittisiä käyttövaltuuksia hallintaansa. Näin ollen esimerkiksi normaali sähköposti tai pikaviestisovellukset eivät ole välttämättä käytettävissä tai mahdollisesti hyökkääjä pystyy käyttämään näitä työkaluja.

Harkitse, voivatko esimerkiksi kuluttajasähköpostitilit toimia vaihtoehtoisena kanavana. Huomaa myös, että DFIR-toimija pystyy monesti tarjoamaan vaihtoehtoisia työkaluja.
Kriittiset järjestelmät ja tietovarannotLuo luettelo liiketoiminnalle kriittisistä järjestelmistä ja tietovarannoista.2Kriittisten järjestelmien ja tietovarantojen tunnistaminen nopeuttaa tutkimusta, koska DFIR-toimija pystyy kohdentamaa tutkimuksen oleellisiin kohteisiin.
Palauttamisen prioriteetitPriorisoi kriittisen palveluiden palautuminen2Palautumisen priorisointi etukäteen nopeuttaa organisaation palautumista.
YmpäristökuvausTulosta paperille ja säilytä turvallisessa paikassa IT-ympäristön kriittiset tiedot, jotta ne ovat käytettävissä myös vakavan hyökkäyksen aikana.1Mikäli organisaation joutuu sulkemaan tietoverkkonsa, tai lukitsemaan pilvipalvelun tietovuodon estämiseksi, tämä saattaa estää pääsyn tiedon verkon yli.

Havainnointi

P” (priorisointi): 1=Korkea / 2 = Keskitaso / 3 = Matala

SuositusKuvausPKäyttöönoton kustannus / vaiva
Päätelaitelokien maksimi lokikoon määrittelyMääritä päätelaitteiden maksimi lokikoko riittävän suureksi. Suositus on, että lokia olisi saatavilla vähintään 30 päivää taaksepäin (seuraavat lokit vähintään: Security, Application, System, PowerShell Operational, Sysmon (jos käytössä)).1Windows-ympäristössä lokikokoa voidaan kasvattaa keksitetysti esimerkiksi Group Policyjen avulla.
Päätelaitelokien valvonta-asetusten määrittelyVarmista, että päätelaitteet tuottavat lokia riittävän yksityiskohtaisesti.1Windows-ympäristössä asetuksia voidaan määrittää esimerkiksi Group Policyjen avulla. Hyvä lähtökohta on Microsoftin Stronger Recommendation mukaiset asetukset. Lisäksi prosessivalvonnan tärkeys on syytä huomioida (Huomaa sysmon-suositus).
Tietoliikennelokien säilyttäminenTunnista, mitä tietoliikennelokia organisaatio tuottaa ja mihin lokit on tallennettu.

Suositus on, että lokit kattaisivat vähintään viimeisen kuukauden. Varmista, että organisaatiolla on tapa toimittaa tietoliikennelokit DFIR-toimijalle analyysia varten.
1Toimenpide edellyttää tietoliikennelaitteiden lokiasetusten tarkistamista ja tarvittaessa korjaamista.

Huomio lokien säilyttämisestä aiheutuva kustannus toimintakulujen suunnittelussa.
Internetistä saavuttavien palvelujen lokien säilytysaikaVarmista, että kaikki internetistä saavutettavat palvelut, tai järjestelmät, lokittavat merkittävät tapahtumat. Kiinnitä erityistä huomioita ratkaisuihin, jotka tarjoavat käyttäjille pääsyn sisäverkkoon (VPN, VDI, jne), näiden osalta on kriittistä lokittaa kaikki tunnistautumiseen liittyvät tapahtumat.

Varmista, että lokeja säilytetään vähintään kuukausi.
1Lokiensäilöntäajan varmistaminen edellyttää asetusten tarkastelua per järjestelmä. Tallennustarpeen tuoma kustannus tulee huomioida vuosittaisessa budjetoinnissa.

Mikäli mahdollista, lokit tulee ottaa keskitetyn lokien valvonnan piiriin.

Varmista lisäksi, että organisaatio pystyy tarvittaessa muuttamaan kerättävien lokien säilytysaika tai lokien tietosisältöä. Tämä saattaa olla välttämätöntä tietomurron onnistuneen selvityksen varmistamiseksi.
Sysmon (tai vast.) valvonta päätelaitteilleVarmista, että päätelaitteet tuottavat riittävän tarkkaa tietoa järjestelmän käyttäytymisestä. Monitorointiin voidaan käyttää esimerkiksi Microsoftin Sysmon-työkalua.1 (EDR käytössä => 3)Sysmon on ilmainen työkalu, jonka käytöstä ei koidu lisenssikustannuksia, ellei dataa kerätä keskitetysti. Sysmon ei myöskään korvaa EDR-ratkaisua, mutta se pystyy tuottamaan tietomurron selvittämisen kannalta oleellista lokia.

Swift On Security tarjoaa hyvän peruskonfiguraation Sysmonille, jota kannattaa käyttää pohjana. Lisäksi tulee varmistaa, että Sysmon-lokille määritellään riittävä pitkä säiltysaika, kohdan ”Päätelaitelokien maksimi lokikoon määrittely” mukaisesti.
Edistynyt päätelaitesuojaus (EDR)Jos mahdollista, ota käyttöön edistynyt päätelaite suojaus (ns. Endpoint Detection and Response (EDR)).2Edistynyt päätelaitesuojaus mahdollistaa tietomurtojen tutkinnan tehokkaasti. EDR ratkaisut keräävät dataa ja valvovat päätelaitteita, sekä tarjoavat mahdollisuuden suorittaa vastetoimenpiteitä.

Kaupalliset EDR ratkaisut voivat olla kustannuksiltaan korkeita.
Tapahtumien keskitetty valvontaSelvitä onko organisaation mahdollista kerätä lokeja keskitettyyn paikkaan.

Selvitä voidaanko kerättyjä lokeja analysoida jatkuvasti.
2Keskitetyn valvonnan käyttöönotto voi olla kallista ja aikaa vievää. Samoin keskitetyn lokituksen ja valvonnan ylläpito voi olla merkittävä kustannuserä.

Vaikka keskitetyn valvonnan toteuttaminen on erittäin suositeltavaa, siihen liittyvien kustannusten johdosta prioriteetti on laskettu matalaksi tämän ohjeen osalta.

Tietoturvahäiriön hallinta ja palautuminen

P” (priorisointi): 1=Korkea / 2 = Keskitaso / 3 = Matala

SuositusKuvausPKäyttöönoton kustannus / vaiva
Prosessi hätätunnusten käyttöönottoonTietomurtotutkinnassa DFIR-toimijan tutkijat toivovat yleensä pääsyä uhriorganisaation järjestelmiin. Kartoita millaisia järjestelmiä on olemassa, jotka voivat auttaa tutkinnassa. Luo prosessi, jonka avulla voidaan luoda tunnukset pikaisesti.

Mikäli tunnukset luodaan etukäteen, on hyvä huomioida, että niiden käyttöä valvotaan tarkasti Break Glass -tunnusten tyylisesti.
1Suosituksen toteuttaminen edellyttää hieman vaivannäköä, koska tarvittavien oikeuksien määrittäminen saattaa olla työlästä. Oikeuksien määrittämisestä tulee noudattaa ”minimi oikeudet” -periaatetta ja lähtökohtaisesti DFIR-tutkijoille riittävät ”lukija”-tason tunnukset.
Sovellusten ajo tai asennus hätätapauksessaDFIR-toimijat käyttävät monesti omaa sovellusta, jolla voidaan kerätä todistusaineistoa ympäristöstä. Tyypillisesti sovelluksen asettaminen tai ajaminen edellyttää pääkäyttäjätason oikeuksia käyttöjärjestelmässä.

Luo prosessi, jonka avulla voidaan asentaa tai ajaa tällaisia sovelluksia hätätapauksessa.
1Prosessin luominen on usein melko yksinkertaista. Varsinainen asennus voidaan usein toteuttaa monella eri tavalla, esimerkiksi käsin tai jonkin sovellusten jakelutyökalun kautta.
Varmista pääsy tutkintajärjestelmiinMikäli ympäristössä on tietoturvatapahtumia tallentavia järjestelmiä (esimerkiksi EDR tai SIEM) varmista, että tutkijoilla on pääsy näihin.

Mikäli järjestelmä on käytettävissä vain organisaation sisäverkosta, suunnittele miten ulkopuoliset tutkijat voivat saada pääsyn järjestelmään turvallisesti.
1Pääsy tutkittavaan materiaaliin tulee suunnitella jo etukäteen. Vaihtoehtoisesti organisaatio voi päättää, että tietomurtotutkinnassa käytetään DFIR-toimijan työkaluja.
Ylläpitäjien pääsy järjestelmiinVarmista, että ylläpitäjillä on hätätilanteissa keino hallita IT-infrastruktuuria myös niissä tilanteissa, joissa valtaosa infrastruktuurista on salattu.1Ylläpitäjien tulee päästä mahdollisimman tehokkaasti kiinni järjestelmiin myös poikkeustilanteissa. Ylläpitäjiä tarvitaan sekä avustamaan tietomurtotutkintaa että toteuttamaan järjestelmäpalautumista.
Varmistuksen eriyttäminenVarmista, että varmuuskopioratkaisu on eristetty muusta IT-ympäristöstä. Eriyttäminen tulee toteuttaa niin verkkoyhteyksien kuin käyttöoikeuksienkin osalta.1Kiristyshaittaohjelma-hyökkäyksessä hyökkääjä pyrkii yleensä tuhoamaan varmuuskopiot sekä halvaannuttamaan organisaation salaamalla kriittisiä komponentteja.

Mikäli organisaation varmuuskopiot ovat esimerkiksi tuhotulla virtuaalisointialustalla, ei organisaatio pysty hyödyntämään varmuuskopioita.

Usein tuotannosta eriytettyjä varmistuksia kutsutaan ”offline” tai ”cold” nimillä.
Varmistusten palautuksen testaaminenVarmista, että organisaation on suunnitellut varmuuskopioiden palautuksen ja testaa em. prosessia säännöllisesti.

Prosessilla varmistetaan, että varmistusten palautus myös edellä mainituista offline-varmistuksista toimii oletetusti.
1Kattavan palautusten testaamisen suunnittelu on haastava tehtävä. Erityisesti eri järjestelmäriippuvuuksien ymmärtäminen ja liiketoimintadatan synkroonissa pysyminen saattaa olla hankala.

Kuitenkin, varmistuksen palauttamisen onnistumisen testaaminen on äärimmäisen tärkeää. Vain tällöin voidaan luottaa siihen, että myös kriisitilanteessa voidaan luottaa palautumisprosessiin.
Tallennustilan riittävyysVarmista, että palvelinkeskuksessa on riittävästi laskenta- ja tallennustilaa saatavilla, jotta kaikki kriittinen infrastruktuuri ja priorisoidut liiketoimintajärjestelmät voidaan palauttaa puhdistamatta ensin kryptattujen laitteiden ympäristöä.3Mikäli tietomurron juurisyytä ei ole vielä selvitetty, tutkinnan kohteena olevia laitteita ei tule vielä uudelleen asentaa. Tämän johdosta on monesti järkevämpää, että uudelleen asennus tehdään kokonaan uuteen ympäristöön, tai uudelle alustalle.

Viranomaislinkkejä

Ilmoitus tietosuojavaltuutetulle
Ilmoitus Traficomin Kyberturvallisuuskeskukselle
Poliisille tehdään normaalisti rikosilmoitus, esimerkiksi verkkopalvelun avulla.

Lisätietoja