The moment of truth

Huolimatta merkittävistä kyberturvainvestoinneista, organisaatiot edelleen häviävät taisteluissa kyberrikollisia vastaa – jotka jatkavat mukautumistaan. Onnistuneen kyberiskun vaikutus liiketoimintaan on usein merkittävä ja se kerää paljon julkisuutta, vaikuttaen edelleen laajempaan yhteisöön ja aiheuttaen kylmääviä totuuden hetkiä organisaatiolle. Näin ei kuitenkaan pitäisi olla.

Tietoturvakontrollit pettävät, koska yritykset eivät reagoi hyökkäyksiin oikealla hetkellä. Hyökkäykseen tulisi reagoida sen tapahtuessa, estäen sen liiketoiminnalliset vaikutukset; aivan liian usein reagoidaan kuitenkin liian myöhään, hitaiden ja kalliiden korjaustoimenpiteiden muodossa.

Kiinnittämällä ylenmääräistä huomiota hyökkäyksen havaitsemiseen ja siitä palautumiseen ennemmin kuin havaitsemiseen ja hyökkäykseen vastaamiseen, yritykset menettävät elintärkeän mahdollisuuden reagoida iskuun ennen kuin se aiheuttaa merkittävää haittaa liiketoiminnalle.

Hyvä uutinen on, että suurin osa liiketoimintahaitoista voidaan välttää reagoimalla hyökkäyksiin lähempänä niiden havaitsemishetkeä. Ensivaste vähentää ratkaisevasti altistumista kyberhyökkäyksistä aiheutuville liiketoimintariskeille.

Tässä raportissa selvennämme, miksi vasteajoissa esiintyy viiveitä, ja miksi hyökkäyksen liiketoimintavaikutuksen minimoimisen tulisi olla menestymisen mittaamisen ydin. Lopuksi tarkastelemme dynaamista lähestymistapaa, joka yhdistää oikean ajoituksen, ammattitaidon ja edistyneen teknologian, muodostaen tehokkaan ensivasteen.

Tämä raportti perustuu F-Securen IR- ja Detection and Response-asiantuntijoiden tosielämän kokemuksiin.

Raportti

Muutokset motiiveissa ovat johtaneen hyökkäysten määrän kasvuun – ja aiheuttaneet enemmän vahinkoa

Viime vuosina hyökkääjien lähestymistavassa on tapahtunut perustavanlaatuisia muutoksia, mikä on johtanut hyökkäysten määrän ja vaikutusten kasvuun. Kääntöpuolena tämä on paljastanut monien organisaatioiden, niin pienten kuin suurtenkin, käyttämät tietoturvaratkaisut täysin riittämättömiksi.

Yksi suurimmista tekijöistä tämän muutoksen taustalla on raha.

Korkean profiilin kiristyshaittaohjelmahyökkäykset ovat mahdollistaneet suuret tulot kyberrikollisille. Näin ollen tämänkaltaisiin hyökkäyksiin osallistuneiden määrä on kasvanut räjähdysmäisesti, ja myös aiemmin vakoiluun erikoistuneet tahot ovat kiinnostuneet tämän tyyppisestä toiminnasta. Verizon huomautti vuoden 2020 Data Breach Investigations-raportissaan (myös F-Secure mukana), että 86 %:ssa tietomurroista, joista he ovat keränneet dataa, taustalla oli taloudelliset motiivit ja joka kymmenes liittyi vakoilutoimintaan. Vuoden 2021 versio samaisesta raportista osoittaa trendin jatkaneen kasvuaan.

Ei vain suuryritysten ongelma

Uhkatoimijoiden siirtyminen kohti taloudellisesti motivoivia kiristyshyökkäyksiä johtaa potentiaalisten uhrien määrän kasvuun; kaikilla organisaatioilla ei ole arvokasta aineetonta omaisuutta, tai huippusalaista tietoa, mutta vain harva organisaatio kykenee toimimaan ilman riskiä joutua kiristyshaittaohjelmahyökkäyksen kohteeksi.

Toisin sanoen, tämä ei ole vain varakkaiden ja korkeaprofiilisten organisaatioiden ongelma.

Covewaren raportin mukaan vuoden 2020 viimeisen neljänneksen aikana kiristyshaittaohjelmahyökkäyksen kohteeksi joutuneiden yritysten henkilömäärän mediaani oli 234, ja hyökkäyksistä 35,7% kohdistui organisaatioihin, joiden henkilömäärät sijoittuvat 101 ja 1000 välille.

Se, että yritys ei ole laajemmin tunnettu, ei auta tänä päivänä välttymään hyökkäyksiltä.

Rikolliset eivät hyödy ainoastaan onnistuneista kiristysyrityksistä

Kiristys ei ole ainoa tulonlähde kyberrikollisten keskuudessa. Uhkatoimijat ilmoittavat usein kopioineensa tietoja itselleen samalla kun asentavat lunnasohjelman, kasvattaakseen mahdollisuuksiaan siihen, että uhri maksaa heidän vaatimansa summan. Julkiset tietovuodot aiheuttavat hämmennystä, lakisääteisiä sakkoja tai mainehaittoja, mikä kannustaa uhreja vaikenemaan ja maksamaan lunnaat.

Tämä kaksoiskiristysmalli on verrattain uusi ja melko hyvin tunnettu, mutta rikollisten ei tarvitse itseasiassa edes syyllistyä kiristykseen tehdäkseen voittoa.

Miten? Vaikka uhrien kiristäminen on lopputavoite, rikolliset ostavat ja myyvät mielellään yksittäisiä hyökkäykseen käytettäviä elementtejä. Samoin kuin laillinen yritysmaailma teollistuu, ajan saatossa myös uhkatoimijat ovat erikoistuneet luoden jotain, mitä kutsutaan kyberrikollisuuden ekosysteemiksi.

Initial Access Broker

RaaS Provider

Kiristäjät

Uhri

Initial Access Brokers – Uhkatoimijat, jotka hankkivat alustavan pääsyn organisaatioihin tietojenkalastelulla, hankkimalla RDP-tunnuksia tai etsimällä ohjelmistojen haavoittuvuuksia, ja myyvät sitten nämä tiedot eteenpäin toimijoille, jotka ovat vastuussa itse kiristystoiminnasta.

Ransomware-as-a-Service (RaaS) Providers – Palveluntarjoajat, jotka tarjoavat uhkatoimijoille joukon ratkaisuja, kuten pakattuja haittaohjelmia, hyökkäystyökaluja, koulutuspalveluita, uhrien kommunikaatiokanavia ja kryptorahanpesua, joita tarvitaan onnistuneeseen organisaation kiristykseen. Palveluntarjoajat tekevät voittoa perimällä lisenssimaksua alustan käytöstä tai ottamalla osuuden onnistuneen iskun tuotoista.

Kiristäjät – Uhkatoimijat, jotka ovat vastuussa varsinaisesta yrityksiin kohdistuvista hyökkäyksistä kiristyshaittaohjelmien ja datan vahingoittamisen muodossa. He skaalaavat työmääränsä, ja sitä kautta tulovirtansa, käyttämällä hyödykseen Initial Access- ja RaaS -palveluita.

Infograafi: Esimerkkejä erityisrooleista kyberrikollisuuden ekosysteemissä

Voittojen jakautuminen rikollisten keskuudessa

Initial Access Brokerit saavat maksunsa myydessään paketteina sisäänpääsyjä organisaatioihin muille toimijoille. RaaS-palveluntarjoajat puolestaan tarjoavat alustapalveluitaan seuraaville tasoille, ja niin edelleen. Parhaille toimittajille on enemmän kysyntää, ja he saavat työstään paremman hinnan, aivan kuten laillisessa maailmassa.

Tämä kaikki tarkoittaa sitä, että vaikka sinulla ei ole aikomusta maksaa lunnaita ja olet luottavainen, että kykenet vastaamaan ja palautumaan hyökkäyksestä, olet silti kohde jollekin taholle, joka tulee hyötymään sinusta taloudellisesti.

Lisääntyneet murtautumispisteet

Nämä kaksi tekijää ovat saattaneet nostattaa kyberhyökkäysten tehokkuutta ja määrää, mutta eräs toinenkin tekijä on vaikuttanut kiristyshaittaohjelmien kasvuun. Yritykset ovat avanneet henkilökunnalleen, kumppaneilleen ja asiakkailleen pääsyn järjestelmiinsä, sovelluksiinsa ja tietoihinsa riippumatta käytettävästä laitteesta tai sijainnista. Tämä on kasvattanut huomattavasti suojausta vaativien, mahdollisten murtautumispisteiden määrää.

Yksinkertaistettuna: Yritysten ulospäin näkyvä hyökkäyspinta on kasvanut eksponentiaalisesti, ja rikollisten ei tarvitse edes toteuttaa hyökkäyksiään ansaitakseen rahaa.

Toivoa ei ole vielä menetetty

Aina on olemassa totuuden hetki, jolloin on mahdollista taistella vastaan ja voittaa.

Perustuen omiin kokemuksiimme ja kyberrikollisuuden ekosysteemin rakenteeseen, tiedämme, että kiristysperusteiset hyökkäykset noudattavat tiettyä kaavaa, jossa kiristyshaittaohjelman asentaminen ei ole välitön seuraus järjestelmään murtautumisesta. Uhkatoimijat haluavat maksimoida mahdollisuutensa voittoihin kohdistamalla kiristyshaittaohjelman asentamisen järjestelmään, jossa alasajo tuottaa todellista haittaa – ensimmäisen hallintaan saadun laitteen tiedostojen kryptaaminen ei riitä siihen, että organisaatio olisi valmis maksamaan lunnaat.

Tämä hetki ensimmäisen sisäänpääsyn tunnistamisen, ja kiristyshaittaohjelman asentamisen välillä vaihtelee tunneista päiviin (tästä käytetään termiä ’time to objective’). Tämä luo aikaikkunan, jossa on mahdollista havaita ja poistaa hyökkäys ennen kuin rikolliset saavuttavat tavoitteensa ja aiheuttavat materiaalista haittaa organisaatiolle.

Vaikka tämä hetki onkin lähes koko ajan läsnä, todellisuus on, että organisaatiot eivät usein voi, tai yksinkertaisesti käytä hyödykseen tätä kullanarvoista mahdollisuutta: heidän järjestelmänsä ja Incident Response-palvelunsa on asetettu palautumaan hyökkäyksestä, eikä välttämättä vastaamaan hyökkäykseen.

Palauttaminen ei tarkoita vastaamista

Se, minkä monet organisaatiot määrittelevät ’vastaamisena’, me määrittelemme ’palauttamisena’.

Usein IR-tiimimme soitetaan paikalle sen jälkeen, kun hyökkääjä on asentanut kiristyshaittaohjelman tai vahingoittanut organisaation järjestelmää vakavasti. Tässä kohtaa IR-tiimimme toiminta keskittyy palauttamaan organisaatio takaisin verkkoon, toimii ylimmän johdon neuvonantajana ja laatii hyökkäyksen jälkeisiä analyysejä määrittääkseen tapauksen juurisyyn. Nämä kaikki ovat tarpeellisia ja tärkeitä osa-alueita palautumisessa – eivät hyökkäykseen vastaamisessa.

Tiedämme, että IR-ammattilaisemme ovat kullanarvoisia – silti he ovat usein ensimmäisiä, jotka sanovat, etteivät haluaisi olla asemassa, jossa heille soitetaan, kun organisaatio on pulassa. Yksi yleinen lausahdus tähän raporttiin osallistuneilta Responder-ammattilaisilta oli, että he keskustelevat usein ihmisten kanssa silloin kun näillä on uransa vaikein päivä.  Ammattilaisemme haluavatkin auttaa näitä ihmisiä välttämään ongelmat, rakentamalla heidän organisaatioilleen oikeanlaisen vastaamisstrategian.

Vastaaminen maksaa vähemmän kuin palauttaminen

Nykyisten kiristystyyppisten hyökkäysten luonne tarjoaa aikaikkunan, jossa hyökkääjä voidaan havaita ja estää, ennen kuin liiketoiminnalle aiheutuu materiaalivahinkoa.

Hyökkääjien poistaminen sen jälkeen, kun he ovat saaneet pääsyn järjestelmääsi, mutta ennen kuin he ehtivät aiheuttaa vahinkoa, ehkäisee kalliiden liiketoiminnallisten kustannusten syntymisen. Haittaohjelman poistamiseen käytettävä tunti, tai puolen päivän työ laitteen uudelleen käynnistämiseksi ei ole kustannuksiltaan mitään verrattuna täydelliseen järjestelmän palauttamiseen vakavan iskun jäljiltä. Vaikka hyökkääjä onnistuisikin vaarantamaan useita laitteita ennen kuin se saadaan poistettua, liiketoiminnan kustannukset jäävät silti vain kunnostustoimenpiteiden vaatiman työpäivän suuruisiksi.

Vertailukohtana, hyökkääjän onnistuessa tavoitteissaan, liiketoiminnan kustannukset nousevat merkittävästi korkeammaksi. Samalla kun kunnostustoimenpiteiden kustannukset yksinään nousevat huomattavasti (kokemuksemme mukaan puhutaan viikoista tai kuukausista), todelliset kustannukset tulevat menetetyn liikevoiton ja mahdollisten lakisääteisten sakkojen muodossa. Cognizant arvioi vuosineljänneksen ajalta liikevoittotappioidensa olevan 50-70 miljoonan dollarin suuruiset.

Jos kerran hyökkäykseen vastaaminen ennen kuin rikolliset saavuttavat tavoitteensa on niin paljon halvempaa kuin toiminnan palauttaminen iskun jälkeen, mikseivät kaikki tee sitä?

Miksi kyvykkyyksissä vastata tietoturvapoikkeamiin esiintyy puutteita?

Organisaatioilla, joilla on puutteita kyvykkyyksissä vastata tietoturvapoikkeamiin, on jotain mitä kutsumme termillä Response Gap. Olemme kertoneet aiheesta tarkemmin blogissamme.

Response Gap voi ilmetä useista eri syistä. Yleisimpiä IR- ja Detection and Response -tiimiemme tunnistamia syitä on esitelty seuraavana:

SYY ESIMERKKI
Organisaatioilla on uhkien havainnointiratkaisu, mutta kukaan ei valvo sen antamia tuloksia. Uhrin virustorjunta havaitsee haittaohjelman, mutta henkilöstön puutteesta johtuen tiedostoa ei saada eristettyä ja tämä johtaa palvelinjärjestelmän vaarantumiseen.
Henkilöstöllä ei ole koulutusta tai kokemusta välittömään vastetoimintaan, jolloin vastaustoimenpiteet jäävät tehottomiksi. Uhrin EDR-ratkaisu otti vastaan useita kriittisiä hälytyksiä ja eristi vaarantuneet laitteet verkosta välittömästi. Tämä johti siihen, että hyökkääjä asensi kiristyshaittaohjelman satoihin muihin laitteisiin, joita uhri ei ollut tunnistanut vaarantuneiksi.
Olemassa olevia tietoturvaratkaisuja ei ole määritelty ’vastaus valmiiksi’. Uhrilla oli yhdyslaitteissaan minimikirjautuminen hyväksyttynä, mikä vaikeutti Incident Response-tiimin tutkintatyötä ja lisäsi hyökkääjän verkossa viettämää aikaa.
Budjetillisen valmistautumisen puuttuminen johti viiveeseen IR-tiimin tutkintatyön aloittamisessa. Hyökkäyksen uhriksi joutuneella organisaatiolla kesti viikko yhteistyösopimuksen allekirjoittamisessa kyberturvakumppanin kanssa, jonka vuoksi haittaohjelma ehti johtaa osittaiseen verkkotunnuksen vaarantumiseen.

Se, että puutteita ilmenee, ei välttämättä ole organisaation vika, vaan se kuvaa enemmänkin ympäristössä tapahtuvaa muutosta. Siitä huolimatta uusiin olosuhteisiin mukautuminen on välttämätöntä. Lähestymistapa, jota suosittelemme, on nimeltään First Response.

First Response on tehokas vastaus

Olemme puhuneet paljon siitä, että vastaaminen tarkoittaa hyökkääjän poistamista ennen kuin he saavuttavat tavoitteensa. Miten tämä toimii käytännössä?

First Response -lähestymistavan ajatus on, että hyökkäyksen laajuus ja juurisyy tunnistetaan ensin, ja tämän jälkeen käynnistetään toimenpiteet hyökkääjän rajoittamiseksi verkosta, ennen kuin liiketoiminnalle ehtii aiheutua vahinkoa. Tehokas rajoittaminen on sellainen, jossa hyökkääjä eliminoidaan yhdellä liikkeellä. Toimiaksesi näin, sinun tulee tietää missä hyökkääjä on.

Hätiköity rajoitustoimi, jossa hyökkäyksen laajuutta ei ole ymmärretty ennen kuin se alkaa, voi usein johtaa tahattomiin seurauksiin. Tämä voi tarkoittaa sitä, että hyökkääjät asentavat kiristyshaittaohjelman reaktiivisesti niihin laitteisiin, joihin heillä on yhä pääsy, tai he menevät häivetilaan, joka johtaa uuvuttavaan (ja kalliiseen) kissa-hiiri-leikkiin. Nämä tahattomat seuraukset eivät tuota toivottua lopputulosta.

Näissä tilanteissa on aina tehtävä kompromissi. Joskus tulee helposti vedettyä johtopäätös hyökkäyksestä ja päätyä toteuttamaan suunnitelma, joka onkin vain puoliksi valmis. Automatisoidut vastaukset , tai ohjekirjoista saadut neuvot luottavat useimmiten nopeuteen ennemmin kuin tehokkuuteen – tämä voi laukaista reaktion hyökkääjässä, joka on vain osittain rajoitettu. Hitaan vastaustavan suosiminen nopean yli, saattaa vaikuttaa nurinkuriselta, mutta tehokas vastaaminen vaatii yhdistelmän nopeutta, ja vankkaan tiedusteluun perustuvaa tarkkuutta.

First Response-lähestymistapa ottaa kaiken hyödyn irti ensimmäisen pääsyn ja kiristyshaittaohjelman asentamisen välisestä aikaikkunasta. First Response kartoittaa mahdollisen tunkeutumisen laajuuden ja hyökkääjän lähestymistavan poimimalla yksityiskohtia, tapahtumakuvioita ja merkkejä, jotka saattavat mennä automatisoidulta järjestelmältä ohi. Nopeus on tärkeää, mutta vauhdin mittaamisen tulee myös sisältää tehokkuuden mittareita. Ensivasteen jälkeen, avainmittarien tulisi mitata sitä, oliko välikohtauksella liiketoiminnallisia vaikutuksia.

Ammattilaisten näkemys siitä, mikä tekee hyvän ensivasteen

IR- ja Detection and Response-tiimimme listasivat tehokkaan ensivasteen viisi avainominaisuutta:

  1. Näkyvyys
    Mahdollisuus muodostaa vahva yhteenveto siitä, kuinka hyökkääjä on päässyt sisään järjestelmään ja vaarantanut verkon, on elintärkeää luotettavan rajoittamissuunnitelman laatimiseksi ja toteuttamiseksi. Näkyvyys saa alkunsa EDR-agentista, joka kerää laajan määrän dataa ja rikosteknisiä asioita.
  2. Ymmärrys hyökkääjästä
    Kokemus ja ymmärrys hyökkääjän toimintatavasta edesauttaa tehokkaan rajoittamissuunnitelman laatimisessa. Esimerkiksi tieto hyökkääjän tavallisista työtunneista auttaa määritettäessä parasta mahdollista aikaikkunaa rajoittamiselle.
  3. Sidosryhmien hallinta
    Hyökkäykset ovat paineistettuja ja epämiellyttäviä tilanteita, etenkin heille, jotka kokevat sen ensimmäistä kertaa. Sidosryhmien rauhoittelu kertomalla työn kulusta etukäteen, pitäen heidät ajan tasalla ja olemalla tavoitettavissa on ensiarvoisen tärkeää.
  4. Integroidut työkalut
    Havainnointi-, tutkinta- ja vastausominaisuuksien sisältyminen yhteen työkaluun minimoi viiveen ja inhimillisen erehdyksen mahdollisuuden, joka voi olla ratkaiseva ero onnistuneen ja epäonnistuneen rajoittamissuunnitelman välillä.
  5. Ihmisten osallistaminen
    Ihmisten osallisuus pitää varmistaa, sillä asiayhteyksien ymmärtäminen, kokemus ja empatia ovat tärkeitä onnistumisen kannalta. Työkalut ja automaatio voivat olla jopa haitallisia, jos niiden tukena ei ole ihmisten kokemusta ja intuitiota.

First Response käytännön toimissa

Havainnollistaaksemme, mitä tarkoitamme ensivasteella, kerromme kaksi tosielämän tarinaa tapahtumista, jotka osoittavat tämän toimintatavan tehokkuuden.

Tapaustutkimus

1. Huolellisesti suunniteltu vastaus käyttöönoton aikana

Tiimimme oli aloittamassa F-Securen Countercept Managed Detection and Response (MDR) -palvelun käyttöönottoa suuressa voimalaitteita valmistavassa yrityksessä. Ammattilaisemme havaitsivat järjestelmästä Colbat Striken, joka on hyökkääjien yleisesti käyttämä työkalu. Tarkemmassa tutkinnassa löydettiin 11 vaarantunutta laitetta, sisältäen kuusi verkkotunnuksen ohjainta. Hyökkääjien käyttämät tekniikat olivat samanlaisia, kuin hakkeriryhmällä, jotka kohtasimme hiljattain. Tämä antoi tiimille hyvän vihjeen siitä, mitkä hyökkääjien seuraavat askeleet olisivat ja milloin se todennäköisesti tapahtuisi. Näiden tietojen valossa tiimimme oli varma, että hyökkääjät tulisivat toteuttamaan iskunsa viikonlopun aikana ja näin ollen he saivat hyvän näkemyksen siitä, paljonko heillä ja asiakkaalla oli aikaa laatia vastaus.

Jos uhka olisi jäänyt huomaamatta tai organisaatio olisi yrittänyt häätää hakkerit ennen kuin murron laajuus olisi selvinnyt, hyökkäys olisi vaikuttanut yrityksen tuotantoon ja aiheuttanut pitkäkestoisia haittoja estäen normaalin liiketoiminnan.

Työskentelemällä yhdessä asiakkaan tietoturvatiimin kanssa, kykenimme laatimaan suunnitelman havaittujen puutteiden korjaamiseksi, joka voitaisiin toteuttaa nopeasti ja tehokkaasti ilman että hyökkääjät saisivat tietää siitä. Yhdessä tuhosimme haitalliset prosessit samalla kun asiakkaamme esti pääsyn palomuuristaan ja nollasi verkkotunnuksen, jolloin saimme poistettua hyökkääjät yhdellä kertaa ja varmistettua, etteivät he palaa.

Avainkohdat:

1.      Kykenimme laatimaan ja toteuttamaan rajoittamissuunnitelman nopeasti huolimatta siitä, että havaitsimme hyökkäyksen verrattain myöhään, kun olimme asentamassa ratkaisuamme uudelle asiakkaallemme. Pystyimme tähän, koska olimme kohdanneet nämä hyökkääjät aiemmin, ja tiesimme kuinka he toimivat.

2.      Liiketoiminnan kustannukset jäivät mataliksi, sillä MDR-ratkaisu, First Response -ominaisuuksilla, otettiin käyttöön juuri ajoissa pysäyttämään hyökkäys, ennen kuin materiaalista vahinkoa pääsi syntymään.

Tapaustutkimus

2. Perinteinen havaitseminen ja palauttaminen vs. First Response-toimintatapa

Seuraava tarinamme suuresta organisaatiosta, jossa oli puutteita tehokkaassa vastauksessa, ja eräästä heidän tavarantoimittajastaan – F Securen Countercept-asiakkaasta, on ehkä paras esimerkki siitä, miksi asianmukainen vastaaminen on tärkeää.

Emoyhtiöllä oli käytössään Microsoftin E5 Suite, alueellinen Managed Security Service Provider ja suuren konsulttiyhtiön tarjoamat Incident Response-palvelut. Hyökkääjät onnistuivat kuitenkin ohittamaan organisaation suojauksen, ja kun he pääsivät sisään, he saivat käsiinsä korkeammat käyttöoikeudet. Tämän avulla he pääsivät levittämään hyökkäystään organisaation kautta heidän tavarantoimittajaansa, joka sattui olemaan meidän asiakkaamme.

Emoyhtiö hälytti paikalle IR-palveluntarjoajansa kymmenet konsultit pitkäksi aikaa ja päätyi maksamaan tästä palvelusta kuusinumeroisen summan. Organisaatiolle kerrottiin heidän joutuneen mahdollisesti valtion tukeman edistyneen hyökkäyksen kohteeksi.

Illustraatio: Vahva luottaminen teknologiaperusteiseen vastausratkaisuun saattaa vaikuttaa hyvältä paperilla, mutta se saattaa käytännön tasolla olla vaarallisen heikko, mikäli siihen ei ole yhdistetty inhimillistä kokemusta ja ammattitaitoa.

Tietojenkalasteluviesti ei ole koskaan pelin loppu

Kun laadimme oman hyökkäyksen jälkeisen analyysimme, huomasimme, että hyökkäys ei ollutkaan peräisin valtion tukemalta toimijalta, vaan erään opportunistisen kiristäjäryhmän tekosia. Eräs emoyhtiön työntekijöistä oli päätynyt avaamaan tietojenkalasteluviestin, joka latasi Emotetin – yleisen pankkitroijalaisen, jota käytetään pääsyoikeuksien hankkimiseen ja myymiseen. Ottaen huomioon sen yleisyyden, tämä olisi pitänyt havaita ja poistaa organisaation järjestelmästä paljon ennen kuin hyökkääjät pääsivät etenemään asemaan, josta pääsivät käsiksi organisaation tavarantoimittajaan.

Liiketoimintakustannusten ja liiketoimintaan kohdistuvien haittavaikutusten osalta näiden kahden vastausstrategian välinen kontrasti on suuri: toinen kustansi organisaatiolle kuusinumeroisen summan pelkästään palauttamistoimintojen osalta, kun toisessa taas ongelma saatiin ratkaistua ilman lisäkustannuksia, ja ilman merkittävää haittaa liiketoiminnalle.

Yhteenveto

IR-tiimien ja -teknologian tuominen mahdollisimman lähelle pistettä, jossa hyökkäykset havaitaan, on nykyisin ennemminkin välttämätöntä kuin toivottavaa.

Havainnointi- ja vastetoiminnan on oltava nopeaa, joten on ymmärrettävää, että monet tietoturvayhtiöt puhuvat nopean automatisoidun Detection and Response-ratkaisun puolesta. Meidän mielestämme se ei ole paras lähestymistapa, sillä ihmiset tulee ottaa mukaan prosessiin. On tärkeää, että First Response-tiimi työskentelee läheisessä yhteistyössä Incident Response-tiimin kanssa, ja että hyökkäyksiin vastataan ennemmin kattavasti, kuin automatisoidusti ja huolimattomasti.

Niin vaikeaa, kuin se voikin olla tapahtumien keskellä, menestymisen mittarina täytyy pitää hyökkäyksen aiheuttamia liiketoiminnan vaikutuksia, ei ensimmäisen siirron nopeutta. Aggressiivinen reaktio johtaa usein vain suurempaan vahinkoon, kuin huolellinen, suunniteltu, ja kattava hyökkääjän eliminointi.

Hyvä ensivaste vaatii yhdistelmän ihmisten ammattitaitoa ja tarkoitukseen rakennettuja integroituja työkaluja, jotka on sijoitettu lähelle vaaralle alttiita pisteitä. Tämä antaa First Response-tiimille mahdollisuuden saada kattava ymmärrys mitä on tapahtumassa ja ryhtyä tarvittaviin toimenpiteisiin hyökkäyksen poistamiseksi.

Jos palveluntarjoaja kykenee ottamaan haltuun organisaation havainnointi ja vastetoiminnot yhdellä kertaa, se voi olla todella tehokasta heidän asiakkailleen. Monille organisaatioille tämä voi kuitenkin olla suuri askel. Palveluntarjoajan on oltava linjassa olemassa olevien toimintatapojen kanssa. Pääsyoikeuksia ja vastuuta ei voida luovuttaa kädenpuristuksella – tämän tason luottamus on ansaittava.

Kattavat MDR-palvelut, jotka havaitsevat ja vastaavat hyökkäyksiin ensivasteen avulla ennen kuin ne realisoituvat, tekevät suuren eron lopputulokseen monen organisaation kohdalla. Detection and Response-tiimien ammattitaito yhdistettynä edistyneisiin työkaluihin ja tukitoimintoihin, estää organisaatioiden kohtaaman hyökkäyksen kääntymisen katastrofiksi.

Ymmärtääksesi paremmin organisaatiosi kyvykkyydet vastata uhkiin – sen sijaan, että sortuisitte kalliisiin palautustoimenpiteisiin onnistuneen hyökkäyksen seurauksena, voit tehdä sivun lopussa olevan kolmen minuutin testimme ja jättää yhteydenottopyynnön F-Securen MDR-tiimille, keskustellaksesi lisää siitä, miten First Response voi madaltaa liiketoimintanne riskejä.

 Katso videosarja

Organisaatiot kohtaavat haasteita kyberturvallisuudessa
– First Response voi ratkaista ongelman

Hyökkäyksen tapahtuessa, suojele todisteita

Hyökkäystilanteessa voi helposti joutua paniikkiin ja alkaa keräilemään palasia – mutta samalla voi tulla hävittäneeksi todisteita, jotka auttaisivat hyökkääjien voittamisessa.

Senior Incident Response Consultant John Rogers kertoo tarinan siitä, kuinka teleyhtiö taisteli hyökkääjiä vastaan – ja kuinka taustatiedot, faktat ja kommunikointi pelastivat päivän. 

Ensimmäisen työpäivän vastatoimet

Ei ole tavallista, että joudut ensimmäisenä työpäivänä varoittamaan uutta MDR-asiakasta, että he ovat keskellä hyökkäystä, mutta näin juuri kävi tämän asiakkaan kohdalla.

Mehmet Surmeli, Senior Incident Response Consultant, käy läpi, kuinka rutiininomainen EDR-agenttien asentaminen uudelle asiakkaalle paljasti välittömän vaaratilanteen – ja käynnissä olevan kiristysohjelmahyökkäyksen. Katso, kuinka Mehmet tiiminsä kanssa havaitsi hyökkäyksen, ja miten he selvittivät sen, milloin hyökkääjä todennäköisesti pitäisi tauon, jotta he voisivat onnistuneesti häätää hyökkääjän verkosta, ja korjata tilanteen.

Vähemmän hätiköintiä, enemmän nopeutta

Hätiköity toiminta automatisoidulla vastauksella huomattuasi jonkun verkossasi, voi olla riskialtista – etenkin jos et huomaa kaikkia uhkatoimijoita.

Mehmet Surmeli, Senior Incident Response Consultant, kertoo tarinan siitä, kuinka huolellinen tiedustelu asiakkaalle, joka epäili murtautumista, paljasti useita uhkatoimijoita. Kattava valmistautuminen johti kaikkien uhkatoimijoiden onnistuneeseen poistamiseen, ja organisaation nopeaan palautumiseen takaisin normaaliin toimintaan.

Erot kustannuksissa

Joskus hienostuneelta vaikuttava uhkatoimija voikin olla kaikkea muuta – se ei kuitenkaan tee hyökkäyksistä yhtään vaarattomampia tai vähemmän haitallisia. First Response-lähestymistavalla voidaan kuitenkin vaikuttaa lopputulokseen.

Tässä videossa Senior Threath Hunter James Dorgan kertoo tarinan asiakkaalle tehdystä vastetoiminnasta, jossa asiakas oli joutunut hyökkäyksen kohteeksi emoyrityksensä kautta. Kaksi erilaista lähestymistapaa vastaamiseen kertoo kaksi täysin erilaista tarinaa – ja tuottaa kaksi todella erilaista lopputulosta.

Korjaustoimenpiteiden kustannukset

Vaste- ja korjaustoiminnan välillä on suuri ero, ja se näkyy lopputuloksessa. Joani Green, Incident Response Management Consultant, kertoo tarinan viimeaikaisesta korjaustapauksesta – ja selittää, miksi vastetoiminnassa tunneälyn tulee kulkea käsi kädessä teknologisen osaamisen kanssa.

Testi

Onko organisaatiosi valmis?

Vastaa 7-osaiseen kyselyymme ja testaa, oletko valmis – ja katso mitä toimenpiteitä voit tehdä, jos kaikki ei ole kunnossa:

 
 
 
 
 
 

EDR:n havainnointi- ja vasteominaisuudet ovat välttämättömiä työkaluja kiristysperusteisten hyökkäysten torjumiseksi. Aloita investointisuunnitelman tekeminen ja käytä hyödyksi kolmannen osapuolen osaamista perustellaksesi asia hallitukselle.

Helppo pääsy Windowsin tapahtumalokeihin, DNS-lokeihin, välityspalvelinlokeihin sekä VPN-lokeihin on tärkeää vastaussuunnitelmaa edeltävässä tutkinnassa. Vaikka saatavilla on laaja valikoima maksullisia ratkaisuja, harkitse myös ilmaisia vaihtoehtoja, kuten Elasticin tarjoama ELK stack.

Investoiminen Detection and Response-teknologiaan on hyödytöntä, mikäli henkilöstöllä ei ole valtuuksia, koulutusta tai kokemusta niiden tehokkaaseen hyödyntämiseen. Harkitse MDR-palveluiden ulkoistamista.

Investoiminen Detection and Response-teknologiaan on hyödytöntä, mikäli henkilöstöllä ei ole valtuuksia, koulutusta tai kokemusta niiden tehokkaaseen hyödyntämiseen. Harkitse MDR-palveluiden ulkoistamista.

”Älä oleta, koska kun oletat…”

Vahvista käsityksesi siitä, miten prosessit ja tiimit suoriutuvat poikkeustilanteessa, simuloimalla tapahtumat, tai vielä parempaa, käyttämällä hyödyksi Red Teamia.

Odottamalla hyväksyntöjä tai tunnistamalla eskaloitumispisteitä voidaan tuhlata paljon aikaa – näistä mikään ei auta hyökkäyksen ollessa käynnissä.

Simulaatioharjoitukset ovat hyvä tapa osallistaa useita sidosryhmiä ja selkeyttää heille heidän roolinsa hyökkäystilanteessa.

Mikäli hyökkääjät pääsevät käsiksi organisaation sisäisiin viestintäkanaviin, he pystyvät seuraamaan kaikkea kommunikointia. Määritä organisaatiolle vaihtoehtoinen viestintäkanava (Signal on hyvä esimerkki) ja varmista, että sidosryhmäsi ovat valmiita käyttämään sitä.

Hyvin tehty!

Organisaatiollasi on asiat hyvin hoidossa ja olette matkalla kohti vahvoja First Response-kyvykkyyksiä

Oikea suunta

Organisaatiosi tekee konkreettisia toimenpiteitä kohti tehokasta vastetoimintaa. Lue kuukausittainen uhkaraporttimme ajankohtaisesta uhkakentästä.

Työtä vaaditaan

Organisaatiosi täytyy miettiä palautustoimintojen kustannuksia ja peilata niitä ensivasteen investointikustannuksiin.

Heräsikö kysyttävää?

Keskustele F-Securen MDR-asiantuntijoiden kanssa kuullaksesi, miten ensivaste voi lievittää organisaatiosi liiketoimintariskejä.