Tietoturva ja oman näkyvyyden parantaminen

  • — Markus Päivinen

Oman näkyvyyden parantamisen tärkeys.

 

Näkyvyys yleisesti

Näkyvyydellä tarkoitetaan organisaation kykyä havaita, seurata ja analysoida tietoturvauhkia sekä tapahtumia. Tämä mahdollistaa nopean reagoinnin ja auttaa estämään suuremmat vahingot, kuten tietomurrot tai ympäristön saastuttamisen. Havainnoinnin tulee kattaa vähintään kaikki ympäristön kriittiset järjestelmät ja mieluiten kaikki, jotka voivat vaarantuessaan aiheuttaa merkittäviä haittoja. Nykyään tapahtumia tulee runsaasti eri järjestelmistä, ja niiden yhdistäminen on haastavaa ilman oikeita välineitä.

 

Nykytilan arviointi

Herätteleviä kysymyksiä:

  • Ovatko näkyvyyden toteuttamiseen varatut työkalut ajantasalla ja natiiveja?
  • Kuka organisaatiossa vastaa riittävän näkyvyyden toteuttamisesta?
  • Käytetäänkö automatisaatiota tarpeeksi?
  • Hyödynnetäänkö näkyvyyttä kehityksen tukena?
  • Tallennetaanko tapahtumat luotettavaaan säilöön?
  • Ovatko kaikki kriittiset järjestelmät valvonnan piirissä?
  • Tunnetaanko valvottava ympäristö riittävän hyvin?
  • Ollaanko tietoisia koko ympäristön tapahtumista?
  • Onko organisaatiolla riittävä sisäinen näkyvyys?

 

Kenelle näkyvyydestä on hyötyä

Sisäisesti

Tietoturvan näkyvyydestä on hyötyä monille eri tahoille. Ensinnäkin, se auttaa tietoturvatiimiä havaitsemaan ja reagoimaan nopeasti mahdollisiin uhkiin ja poikkeamiin. Johto ja riskienhallinta hyötyy näkyvyydestä, koska se tarjoaa heille selkeän kuvan organisaation tietoturvatilanteesta ja auttaa tekemään tietoon perustuvia päätöksiä riskienhallinnan ja resurssien kohdentamisen suhteen.

Lisäksi näkyvyys tarjoaa yllättävän edun, sillä sen avulla voidaan varmistaa, että sopimuksissa tai erilaisissa toimituksissa sovitut toimenpiteet on todella suoritettu. Esimerkiksi työasemahallinnan yhteydessä tarjottava päivityspalvelu, jonka tehtävänä on asentaa Windowsiin ominaisuus- ja tietoturvapäivitykset, voidaan valvoa tehokkaasti. Toimittaja vastaa näistä päivityksistä, mutta riittävän näkyvyyden avulla tilaaja eli asiakas voi helposti ja automatisoidusti varmistaa, että päivitykset on suoritettu asianmukaisesti.

Ulkoisesti

Näkyvyydestä hyötyvät esimerkiksi eri palveluiden tuottajat, kuten tietoturvavalvomot, ylläpitäjät sekä ulkoiset konsultit, jotka pyrkivät ratkaisemaan tiettyjä ongelmia. Aktiivisimmat toimijat voivat parantaa palveluitaan hyödyntämällä näkyvyydestä saatua tietoa ja ohjata asiakkaita oikeaan suuntaan sekä tekemään parempia päätöksiä.

 

Miten näkyvyyttä parannetaan

On tärkeää aloittaa organisaation kypsyystason ja ympäristön tuntemisesta. Erityisen merkittävää on käyttää ajantasaisia työkaluja, jotka tukevat kyseisen alustan toimintaa, pystyvät lukemaan kaikkia rajapintoja ja ymmärtävät niistä tulevan datan. Helppo tapa lähestyä asiaa on korostaa, että ”Nämä järjestelmät ovat elintärkeitä liiketoiminnan jatkuvuuden ja päivittäisen toiminnan turvaamiseksi”. Mitä toimenpiteitä siis tarvitaan, jotta nämä järjestelmät saadaan riittävän näkyvyyden piiriin? Alusta, jolla palvelu tai palvelin pyörii, kertoo jo paljon siitä, mikä työväline on paras vaihtoehto tähän käyttötapaukseen. Toteutusta tukevat hyvät suunnitelmat, jotka tukevat liiketoimintaa myös tulevaisuudessa, vaikka se vaatisikin enemmän panostusta juuri nyt.

 

Kokemuksia kentältä

Lähtötilanne

Asiakasympäristössä hyödynnettiin laajasti Microsoftin teknologioita eri osa-alueilla, kuten paikallisessa ympäristössä, pilvipalveluissa, työasemissa, palvelimissa ja identiteetin hallinnassa. Nykytilanteessa tapahtumia ei kuitenkaan tallennettu pitkäaikaiseen säilöön hallitusti, mikä vaikeutti niiden helppoa ja kustannustehokasta hyödyntämistä. Lisäksi asiakkaan tietoturvakumppani ei ollut ottanut käyttöön Microsoft Sentineliä, vaan toteutus oli tehty sisäisesti kevyenä ja tapauskohtaisena. Tämän seurauksena Microsoft-ekosysteemin hälytysten tehokas nostaminen, automaatio ja käsittely ei toteutunut.

Ensimmäinen askel kohti uutta

Aluksi suoritin asiaympäristön katselmuksen nykytilanteen ja valvottavien järjestelmien osalta. Toimenpiteiden suunnitelman osalta rajaus tehtiin Microsoft-teknologioihin, ja tavoitteena oli näkyvyyden lisääminen. Lisäksi rakensin mallin, jolla saimme valvonnan piiriin myös uudet yritysostojen mukana tulleet toimijat. Teknisesti keskiössä oli Microsoft Sentinel ja sen erilaiset rajapinnat sekä muista alustoista yhdistetyt lokilähteet, kuten palomuurit. Sentinelin käyttöönoton jälkeen sen löytämät tapahtumat vietiin tietoturvavalvomoon, ja se aloitti myös järjestelmistä tulevien hälytysten läpikäynnin.

Tämän lisäksi kävimme asiakkaan kanssa läpi eri palveluiden osalta saatuja raportteja, kuten työasemapäivitysten tilanne. Nykytilasta löytyi poikkeavuuksia, jotka pystyttiin luotettavasti ja nopeasti osoittamaan toimittajan vastuulle. Työasemapäivitysten tilanteesta luotiin seurattava ja pisteytetty prosessi, jonka avulla voitiin todeta palvelun toiminta. Ilman omaa näkyvyyttämme tämäkin poikkeama olisi jäänyt huomaamatta.

 

Suositukset:

  • Varmistakaa näkyvyyden hallinta ja sen sisäinen lisääminen.
  • Haastakaa toimittajanne kysymällä heidän näkyvyydestään.
  • Tarkastakaa nykyiset suunnitelmat ja päivittäkää ne tarvittaessa.
  • Käyttäkää mahdollisimman paljon natiiveja ratkaisuja.
  • Arvioikaa ympäristönne näkyvyyden tila.
  • Hyödyntäkää automaatiota mahdollisimman laajasti.
  • Microsoft-ympäristössä ottakaa käyttöön Microsoft Sentinel monipuolisesti.
  • Ota ajoissa mukaan tekijä joka myös valvoo etujasi!

Discover more from Do IT Advisors

Subscribe to get the latest posts sent to your email.

Picture of Markus Päivinen

Markus Päivinen

Pääkonsultti, Tietoturva & Pilvipalvelut

Markus Päivinen

Principal Advisor, Security & Cloud


+358 40 762 6774

Varaa tapaaminen

Tapaaminen on tehokas tapa lähteä liikkeelle.
Vastaamme teille kolmen päivän sisällä.

OTA YHTEYTTÄ
Linkedin

Sivut

Yhteystiedot

hello@doitadvisors.com
+358 40 762 6774

Laskutustiedot

Do IT Advisors Oy
3296347-7
Sähköinen verkkolaskutus

© Do It Advisors | Tietosuojaseloste