Miksi nykypäivän kyberhyökkäys ei näytä hyökkäykseltä?
Traficomin Kyberturvallisuuskeskus on varoittanut, että kyberhyökkäys alkaa harvoin enää perinteisestä murrosta, haittaohjelmasta tai selkeästä hälytyksestä. Nykyään tietoturvauhka kietoutuu yrityksien arjen normaaliin työskentelyyn, selaimen käyttöön sekä pilvipalveluihin, ja sitä on vaikea erottaa hyökkäykseksi.
Yrityksille uhkien kietoutuminen työarkeen näyttäytyy hämmentävänä tilanteena. Kaikki näyttää olevan kunnossa, kunnes jälkikäteen huomataan, että jotain on mennyt pieleen. Kyberhyökkäys ei alkanut hälytyksestä, vaan tavallisesta työpäivästä. Tällaisen hyökkäyksen taustalla on useimmiten jokin näistä kolmesta ilmiöstä:
1. Käyttäjälle toimitetaan haitallista sisältöä luotetun palvelun kautta
Tämä esimerkki on monelle tuttu:
- Käyttäjä saa dokumentin tai linkin luotetun pilvipalvelun kautta. Palvelua on käytetty aiemminkin, osoite on oikein eikä mikään herätä epäilyksiä. Dokumentti avautuu ja työ jatkuu normaalisti.
- Vasta myöhemmin huomataan, että käyttäjätiliä on käytetty väärin tai tietoa on liikkunut paikkaan, johon sen ei pitäisi päätyä.
Ongelma ei ollut se, mihin mentiin, vaan mitä käyttäjälle toimitettiin. Haitallinen sisältö kulki täysin normaalin HTTPS‑liikenteen mukana, eikä mikään yksittäinen suojaus pysäyttänyt sitä heti.
Kuinka tällainen tilanne voidaan ehkäistä?
Ratkaisu ei ole liikenteen uudelleenohjaaminen, käyttäjän rajoittaminen tai verkon tiukentaminen, vaan se, että toimitettava sisältö tarkastetaan osana normaalia HTTPS‑liikennettä jo ennen kuin se saavuttaa käyttäjän.
2. Kirjautuminen näyttää normaalilta, mutta ohjaa väärään suuntaan
Toinen ilmiö liittyy pilvipalveluihin kirjautumiseen:
- Käyttäjä klikkaa linkkiä, näkee tutun kirjautumisnäkymän ja jatkaa normaalisti. Salasanaa ei varasteta, eikä monivaiheinen tunnistautuminen petä. Kaikki toimii teknisesti oikein.
- Tästä huolimatta käyttäjän tilillä huomataan myöhemmin toimintaa, jota kukaan ei tunnista.
Tässä ei ole yhtä selkeää hetkeä, jolloin voisi sanoa hyökkäyksen alkaneen. Käytännössä kyse on kirjautumiseen liittyvistä linkeistä ja web‑ohjauksista, jotka näyttävät käyttäjälle normaaleilta, mutta joita hyödynnetään väärin.
Kun suojaus keskittyy vain itse kirjautumiseen ja sen jälkeiseen valvontaan, jää se väistämättä sokeaksi sille, mitä käyttäjälle toimitetaan web‑liikenteen sisällä kirjautumisen jälkeen. Tilanteet havaitaan usein vasta lokien ja manuaalisen selvitystyön kautta.
3. Selain välittää sisältöä ja liikennettä tavalla, jota kukaan ei ole erikseen tarkoittanut
Kolmas esimerkki linkittyy selaimeen:
- Selain on monessa pk‑yrityksessä tärkein työväline, ja sen lisäosilla helpotetaan arkea. Lisäosa voi olla täysin perusteltu ja toimia moitteettomasti pitkään.
- Tilanne muuttuu, jos lisäosa päivittyy tai sen omistajuus vaihtuu. Selaimen kautta voi tällöin alkaa kulkea liikennettä tai sisältöä, jota kukaan ei ole laittanut liikkeelle. Mitään ei murreta eikä järjestelmää rikota, mutta tietoa päätyy vääriin paikkoihin huomaamatta.
Näissä tilanteissa suojaus, joka perustuu käyttäjän sijaintiin, verkkoon tai yhteyksien ohjaamiseen, ei yksin riitä, koska liikenne kulkee jo suoraan selaimen ja pilvipalvelun välillä salattuna ja hajautettuna.
Ilmiöiden yhteinen nimittäjä: kaikki näyttää ensin normaalilta
Yllä kuvattua kolmea esimerkkiä yhdistää yksi asia: kyberhyökkäys ei näytä hyökkäykseltä syntyessään. Uhka syntyy jo web‑liikenteen aikana ja usein salattuna ennen kuin sisältö ehtii muodostua selaimen käyttöliittymäksi. Siksi korjaavana toimenpiteenä ei toimi selaimen korvaaminen, käyttäjän ohjaaminen tietyn verkon kautta tai toiminnan rajoittaminen jälkikäteen.
Ratkaisuna toimii keskitetty ja jatkuva näkyvyys kaikkeen HTTPS‑pohjaiseen web‑liikenteeseen ja sen sisältöön riippumatta siitä missä käyttäjä on, mihin palveluun hän on menossa tai millä laitteella työtä tehdään.
Reagoidaanko jälkikäteen vai suojataanko arkea etukäteen?
Monessa laajasti käytetyssä pilvi‑ ja identiteettikeskeisessä ympäristössä tietoturva perustuu vahvasti reagointiin. Hälytys syntyy, tilannetta tutkitaan ja selvitetään, mitä tapahtui ja missä vaiheessa. Tämä on tärkeää, mutta samalla raskasta ja kuormittavaa etenkin resursseilta rajallisissa PK‑yrityksissä.
Yksinkertaisempi ja kestävämpi lähestymistapa on estää ongelmat jo ennen kuin ne eskaloituvat. Kun kaikkea web‑liikennettä ja sen sisältöä tarkastellaan keskitetysti osana normaalia käyttöä, ei tarvitse jälkikäteen arvailla missä kohtaa jokin meni pieleen.
Pelkkä reagointi ja jälkiselvitys ei riitä
Nykyaikaisessa työssä käyttäjät tekevät virheitä ja uusia haavoittuvuuksia syntyy jatkuvasti. Tämä ei ole poikkeus, vaan normaali lähtöoletus. Yhteistä kaikille aiemmin kuvatuille tapauksille ei ole käyttäjävirhe tai puutteellinen tunnistautuminen, vaan se, että tietoturvauhka syntyy web‑liikenteen sisällä normaalin työnteon aikana ja usein täysin sallittujen toimintojen puitteissa.
Kun suojaus nojaa pelkästään reagointiin ja jälkiselvityksiin, ongelmat havaitaan vasta silloin, kun jotain on jo tapahtunut. Tällöin erityisesti PK‑yritys maksaa hinnan ajassa ja vaivassa: joku joutuu käymään läpi lokit, käyttöoikeudet ja tapahtumaketjut käsin usein ilman selkeää alkupistettä. Tämä vie huomiota pois liiketoiminnasta ja kasvattaa epävarmuutta siitä, onko kaikki varmasti kunnossa.
Tietoturva on rakennettava arkisia virheitä varten
Tietoturvan tehtävä ei tästä syystä ole vain havaita poikkeamia ja reagoida niihin jälkikäteen, vaan suojata arkea jo ennakolta. Kun web‑liikenne ja sen sisältö tarkastetaan osana normaalia käyttöä, puolustuskerrokset ottavat vastaan arkiset virheet ja epävarmuudet automaattisesti. Näin tietoturva tukee sujuvaa työntekoa sen sijaan, että yritys joutuisi maksamaan siitä jälkikäteen ajassa, vaivassa ja lopulta myös rahassa.
Vieraskynä‑blogin kirjoittaja Saku Vesslin toimii Technical Solutions Engineerinä Arrow ECS Finland Oy:ssä. Hän auttaa organisaatioita suunnittelemaan ja toteuttamaan nykyaikaisia käyttäjien, web‑liikenteen ja datan suojausratkaisuja pilvipohjaisissa ympäristöissä.
Laitetaan arjen tietoturvauhat kuriin!
Jos työarjen tietoturva askarruttaa, meiltä löytyy testattu ja kattava valikoima tietoturvaratkaisuja nykyaikaisia kyberuhkia vastaan.
Ota yhteyttä, niin kartoitetaan yrityksen tietoturvatilanne ja parhaat ratkaisut.
