Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Haavoittuvuuksien hallinta – minimoi riskit jo alkulähteillä

24. huhtikuuta 2017

​​​​​​​Haavoittuvuudet - havainnointi & hallinta

Haavoittuvuuksia hyödynnetään yhä tehokkaammin

Liiketoiminnan siirtyminen yhä enenevissä määrin verkkoon, on mahdollistanut tietoturvamurtojen ja -hyökkäysten lisääntymisen. Lisäksi digitalisaatio on mullistanut kyberrikollisuuden kenttää siinä missä muutakin liiketoimintaa. Tämä kaikki on johtanut siihen, että kyberrikollisuudesta on tullut ison marginaalin liiketoimintaa. Hyökkäyksiä tarjotaan helposti ostettavina CaaS-palveluina (Crime-as-a-Service), joista osa tarjoaa jopa asiakasuskollisuusohjelmia.


Tietoturvamurrot eivät kuitenkaan ole pelkästään kyberrikollisten toimintaa, vaan myös entiset ja nykyiset työntekijät, konsultit, asiakkaat ja toimittajat, jotka ovat päässeet organisaation sisäverkon kanssa tekemisiin muodostavat tietoturvalle uhan.


Tietoturvahyökkäyksissä ja -murroissa käytetään hyväksi mm. ohjelmistojen vikoja, virheitä koodissa, konfigurointipuutteita ja inhimillisiä virheitä. Nämä ovat haavoittuvuuksia, joita on ollut aina tietojenkäsittelyn alkuajoista asti ja joita löydetään lisää päivittäin. Organisaatioiden tasapainotellessa tiedon saatavuuden ja tietoturvan varmistamisen välillä, ratkaisuksi jää hyökkäysten ehkäisy minimoimalla organisaatioiden haavoittuvuudet ennen kuin niitä ehditään hyödyntää.


Minimoi riskit haavoittuvuuksien hallinnalla

Haavoittuvuuksien havainnoinnilla ja hallinnalla tarkoitetaan haavoittuvuuksien säännöllistä tunnistamista, luokittelua ja minimointia korjaavilla toimenpiteillä. Teknisten haavoittuvuuksien tiedostaminen on tärkeää, jotta hyökkäyspinta-alaa voidaan pienentää korjaamalla haavoittuvuudet priorisoidusti ja mahdollisimman nopeasti. Näin organisaatiot voivat välttää mm. web-sovellusten, ohjelmistojen ja verkon aktiivilaitteiden heikkouksien hyväksikäytön ja siten myös niin rahalliset riskit kuin maineen menetyksetkin.


Haavoittuvuuksien hallinnan perusprosessit

Haavoittuvuuksien hallinta on järkevintä aloittaa organisaation verkossa olevien laitteiden ja niille asennettujen ohjelmistojen inventoinnista. Näin tiedetään mistä haavoittuvuuksia tulee etsiä sekä voidaan arvioida mitkä järjestelmät ovat kriittisimpiä ja kaikkein alttiimpia hyökkäyksille ja tulee täten priorisoida suojaavissa toimenpiteissä.


Kun hallittavasta ympäristöstä on selkeä kuva, voidaan siirtyä haavoittuvuuksien havainnointiin. Tietoturva-aukkoja eli korjattavaa, päivityksiä ja erilaisia puutteita ohjelmistojen konfiguroinneissa, etsitään järjestelmäskannauksin. Skannausten tuloksena löydetyt haavoittuvuudet analysoidaan ja korjaustoimenpiteet priorisoidaan analyysin mukaan. Näin pystytään tehokkaasti johtamaan riskienhallintaa ja minimoimaan haavoittuvuudet.


Monesti haavoittuvuustilanne ja poikkeuskäsittelyt vielä dokumentoidaan mahdollisten auditointien ja vaatimusten täyttämiseksi ja tilanteesta raportoidaan johdolle. Lopullisena tavoitteena on muodostaa yllä kuvatusta prosessista säännöllinen menettelytapa, jossa skannausten avulla havainnoidaan ja hallinnoidaan uusien laitteiden, ohjelmistojen, avoinna olevien porttien ja tunnistettujen haavoittuvuuksien muuttamaa hyökkäyspinta-alaa.


Huomioitavaa haavoittuvuuksien havainnoinnissa

Koska uusia mahdollisia haavoittuvuuksia ilmenee päivittäin, on tärkeää, että haavoittuvuusskannauksia tehdään säännöllisesti. Myös tietoverkkoon tehdyt muutokset voivat tuoda mukanaan uusia haavoittuvuuksia.


Järjestelmien skannaus voi kuitenkin kuormittaa ja altistaa järjestelmiä riskeille. Tämän vuoksi haavoittuvuuksien havainnointiratkaisuissa on hyvä huomioida, että ne sisältävät ns. skannauksettoman skannauksen. Tällä tarkoitetaan, että verrataan viimeisimmästä skannauksesta saatua tilannetietoa uusiin maailmalta löytyneisiin haavoittuvuuksiin päivittäin ilman uutta skannausta ja tarvittaessa hälytetään organisaatioon vaikuttavasta haavoittuvuudesta. Näin järjestelmiä voidaan skannata harvemmin, mutta silti varmistaa, että skannausten välissä löydetyt haavoittuvuudet voidaan eliminoida viiveettä.


Koska hyökkääjät ja haittaohjelmat voivat olla jo sisäverkossasi, on myös tärkeää tehdä sisäverkon skannauksia. On helppoa ajatella, että uhat ovat peräisin verkon ulkopuolelta, mutta sisäverkkoon päässeet toimijat ovat voineet esimerkiksi toiminnallaan edesauttaa tietoverkkomurtoa tai istuttaa haittaohjelman ja näin uhata sellaisiakin järjestelmiä, joita ulkoinen hyökkääjä ei pysty edes näkemään.


Ennaltaehkäisy on vain osa tietoturvan kokonaisuutta

On hyvä muistaa, että haavoittuvuuksia tulee aina olemaan ja on käytännössä mahdotonta torjua jokaista uhkaa. Haavoittuvuuksien havainnointi onkin vain osa tietoturvan kokonaisuutta, ja organisaatioiden on löydettävä sopiva tasapaino hyökkäysten ennaltaehkäisyn, havainnoinnin ja hyökkäyksiin reagoinnin välille. Oikein kohdistettu ja säännöllinen haavoittuvuuksien havainnointi ja hallinta ovat kuitenkin mainio keino laskea riskejä jo niiden alkulähteillä.


Niin kuin Etelä-Amerikassa sanotaan: No dar papaya! Kirjaimellisesti ”älä anna papaijaa”, mutta yleensä sanonnalla tarkoitetaan ”älä anna tilaisuutta”, sillä niin kuin Suomessakin sanotaan, tilaisuus tekee varkaan.


Lue lisää haavoittuvuuksien havainnointipalvelusta!