Monet hyökkäykset hyödyntävät tänä päivänä tunnettujen ohjelmistojen päivittämättömiä tietoturva-aukkoja, joita löytyy käyttäjien koneilta. Tämä voi olla selkeä sokea piste perinteiselle antivirusohjelmistolle; se ei löytänyt virusta, mutta turvalliseksi tunnistettu ohjelmisto päätti liikennöidä siitäkin huolimatta hyökkääjän palvelimille tuoden viruksen koneelle. Eihän tämän pitänyt olla mahdollista!
Päätelaitteisiin ja käyttäjiin kohdistuvat uhat
Kiristyshyökkäykset kasvoivat vuonna 2020 maailmanlaajuisesti usealla sadalla prosentilla aikaisempiin vuosiin verrattuna ja maksetut lunnaspyynnöt kasvoivat melkein 700 miljoonaan dollariin. Eikä tahti ole tuosta juurikaan hidastunut vaikuttaen satoihin organisaatioihin viikoittain. Keskimäärin kiristyshyökkäyksen kohteeksi joutuessaan yrityksen toiminta voi olla poikki yli kolme viikkoa ja koko tilanteesta palautuminen voi vaatia paremman puolen vuodesta. Pistää miettimään, miten tähän on tultu. Eikö ole päivän selvää, että kaikkiin tietokoneisiin on asennettu virustorjuntaohjelmistot ja ne suojaavat laitteet haittaohjelmilta? Kyllä, näin asiat ovat olleetkin vuosikymmenet, mutta tilanne on muuttunut nopeasti ja radikaalisti.
Kiristyshyökkäyksistä maksettujen lunnasvaateiden määrät ovat kasvaneet viime vuosien aikana. Iskut ovat ammattimaisia, täsmällisiä ja tarkkaan suunniteltuja. Monen kiristyshyökkäyksen yhteydessä hyödynnetään käytössä olevien ohjelmistojen tuntemattomia tietoturva-aukkoja, joita ohjelmiston kehittäjät eivät ole vielä havainneet. Tällöin ympäristöön saadaan luotua takaportti, jota pitkin hyökkäys voidaan suorittaa. Keskiverto maksettu lunnassumma yksittäisestä kiristyshyökkäyksestä vuonna 2021 oli 120 000 dollaria.
Perinteisten virustorjuntaohjelmistojen toiminnan perustuessa virustietokantoihin ja haitakkeiden tunnistamiseen, uuden sukupolven ohjelmistot keskittyvät tämän lisäksi koko laitteella tapahtuvaan toimintaan seuraten ja havainnoiden koneen omien ohjelmistojen poikkeavaa toimintaa ja käytöstä. Tällaisia ohjelmistoja kutsutaan nimellä EDR (Endpoint Detection and Response) ja niiden toiminta pohjautuu yleensä koneoppimiseen ja tekoälyyn. Ne näyttävät tällä hetkellä olevan kaikkein tehokkain työkalu modernin yrityksen IT-ympäristön päätelaitteiden suojaamiseen. Nykyinen maailmanpoliittinen tilanne mahdollisesti lisää kiristysohjelmien ja identiteettivarkauksien määrää entisestään, joten siksi tulevaan kannattaakin varautua hyvän sään aikana.
Uhat hallintaan
Kuinka sitten hallita yrityksen IT-ympäristön tietoturvaa, kun koko yrityksen toiminta on hajautettu lukuisille kotikonttoreille henkilöstön etäillessä? Laitteiden päivitykset pitäisi saada varmistettua ja ohjelmistojen haavoittuvuudet paikattua. Lisäksi pitäisi varmistaa laitteiden turvallinen käyttö eri verkoissa, kun ne ovat suurimman osan aikaa yrityksen suojatun verkkoympäristön ulkopuolella. Eihän tällaiseen löydy aikaa? Tuntuu mahdottomalta tehtävältä?
Ohjelmistopäivityksien ja -haavoittuvuuksien hallintaan tarkoitetulla palvelulla sekä EDR-ohjelmistolla homma saadaan otettua kätevästi haltuun. Kaikki tapahtuu automaattisesti ja alan ammattilaiset valvovat palvelun havaitsemia poikkeustilanteita ja reagoivat näihin tilanteen vaatimalla tavalla sekä nopeudella. Palvelusta saatavilla raporteilla pystyy saamaan hyvän käsityksen omaan yritykseen kohdistuvien hyökkäyksien määrästä verrattuna muihin vastaaviin yrityksiin. Kun edellä mainittuun lisätään kaksivaiheinen tunnistautuminen pilvipalveluihin ja niiden käyttölokien seuranta, saadaan yrityksen IT-ympäristö suojattua nykyisiä IT-uhkia vastaan.
CIO, Partner
kimmo.lang@b2bsolutions.fi
