Centralizēta aizsardzība pret pakalpojumatteices kiberuzbrukumiem

Kyberrikolliset voivat hyödyntää konfigurointivirheitä tai teknisiä haavoittuvuuksia sovelluksissa, palomuureissa tai verkoissa päästäkseen käsiksi tietoihimme.

Organisaation on käytettävä defense-in-depth -tekniikoita verkkohyökkäyksiltä suojautumiseen, niiden havaitsemiseen sekä niihin vastaamiseen. Tekniikoiden pitäisi soveltua niin fyysisten, loogisten kuin hallinnollisten kontrollien valvontaan.

Organisaation tulisi käyttää työkaluja, jotka tukevat sekä manuaalisia että automaattisia hakuja, mukaan lukien kriteereihin perustuvia hakuja. Työkalun pitäisi pystyä automaattisesti kokoamaan tietoja eri lähteistä, jotta voidaan helpommin määrittää, onko kyseessä oikea poikkeama, sekä määrittää sen laajuus ja luonne.

Nämä toiminnot ja prosessit voidaan toteuttaa SIEM:llä (Security information and event management). SIEM-ratkaisuissa käytetään analytiikkatyökaluja, teknologioita ja algoritmeja (esim. uudemmissa SIEM-ratkaisuissa käytetään sovellettua koneoppimista), joiden avulla voidaan havaita tuntemattomia uhkia ja poikkeavuuksia tietoturvan kannalta merkityksellisissä tiedoissa. SIEM-ratkaisujen avulla organisaatiot voivat myös muokata jo olemassa olevia hälytyksiä (yleensä valmiiksi konfiguroituja) ja lisätä kriteereihin perustuvia hälytyksiä vastaamaan tunnettuja uhkia. Nämä asiat auttavat havaitsemaan uhat aikaisemmin.

Organisaation on toteutettava toimenpiteitä, joilla organisaation kriittiset järjestelmät suojataan palvelunestohyökkäyksiltä (Denial-of-Service) tai ainakin rajoitetaan niiden vaikutusta. Esimerkkejä keinoista:

• Järjestelmien nykyisten haavoittuvuuksien tarkistaminen
• DoS-iskujen torjuntaratkaisujen, kuten palomuurien, tunkeutumisen havaitsemisjärjestelmien ja liikenteen suodatuksen, käyttöönotto.
• pilvipohjaisten DoS-suojauspalvelujen käyttö
• Nopeuden rajoittamisen määrittäminen ja liikennemallien seuranta poikkeamien varalta.
• Reagointisuunnitelman laatiminen DoS-hyökkäyksiin reagoimiseksi nopeasti ja niiden vaikutusten lieventämiseksi.

Organisaatiolla on oltava seuraavat palomuurisäännöt asetettuna ja dokumentoituna:

• Palomuuri oletuksena estää tulevat yhteydet
• Palomuurisäännöt ovat hyväksytty ja dokumentoitu asianmukaisen tahon mukaan; toiminnan tarpeet sisäälytetään dokumentaatioon
• Palomuuri poistaa sallivat säännöt pian sen jälkeen, kun niitä ei enään tarvita

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

• Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
• Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
• Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
• Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä