Parempaa näkyvyyttä ja tietoturvaa tietoverkkoon – Avoimeen lähdekoodiin perustuvien DFIR-työkalujen vertailu korkeakoulun digipalveluille
Tietoturvapoikkeamien tutkinta- ja käsittelyohjelmiston (DFIR) integroiminen Computer Security and Incident Response Team (CSIRT) -ryhmän toimintaan tukee jo olemassa olevaa kaiken kattavaa kyberympäristöä. Tämä mahdollistaa tietoturvapoikkeamien tehokkaan käsittelyn ja tutkinnan sekä tarjoaa paremman näkyvyyden tietoliikenneverkkoon.
Kyky ennakoida tietoturvapoikkeamia, toimia organisaation antamien poikkeamaohjeistusten mukaisesti ja palauttaa toiminta takaisin ennalleen tietoturvapoikkeaman jälkeen, on tärkeä osa toiminnan jatkuvuuden turvaamista. DFIR-työkalulla saadaan CSIRT-toiminnoille kattava näkyvyys sekä kyky tutkia ja käsitellä tietoturvapoikkeamia tehokkaasti. Korkeakoulun kaltaisessa organisaatiossa vaaditaan lakisääteisesti kriisinkestävyyttä, jatkuvuudenhallintaa, tietosuojaa sekä tietoturvaa ja tietoturvapoikkeamien tutkinta- ja käsittelyohjelmiston avulla tähän vaatimukseen pystytään vastaamaan paremmin.
Mikä on CSIRT-toimintojen tarkoitus
Korkeakoulualalla toimivat CSIRT-toiminnot tarjoavat tietoturvapalveluja korkeakouluille ja oppilaitoksille, kuten yliopistoille tai tutkimuslaitoksille, ja kampuksen verkkoympäristöille. CSIRT-toimintojen tarkoitus on seurata ja analysoida tietoturvan tilannekuvaa, ehkäistä, tunnistaa ja analysoida tietoturvapoikkeamia sekä reagoida niihin ennalta laadittujen ohjeistuksien mukaisesti. CSIRT-toiminto on yleensä muodostettu oman henkilökunnan jäsenistä ja se vastaa vain kyseisen organisaation kyberympäristöstä. Palvelu on myös mahdollista hankkia ulkoistettuna.
Mikä ihmeen DFIR?
Digital Forensics and Incident Response -toiminnon tarkoituksena on kerätä forensiikkatodisteita, metsästää tietoturvapoikkeamia ja monitoroida verkon päätelaitteiden tapahtumia. Digital Forensics eli tietoturvapoikkeamien tutkinta koostuu päätelaitteen datan tutkimisesta ja se voi käsittää todistusaineiston turvaamista, haittaohjelman analysointia, lokianalyysiä tai yleisesti haittaohjelman vaikutuksen ja laajuuden selvittämistä.
Incident Response-määritelmä on tietoturvapoikkeamien käsittely ja toimenpiteet, joilla varaudutaan ja reagoidaan vahinkojen estämiseksi ja rajoittamiseksi sekä myös toipumiseksi ennalta määriteltyjen ohjeistuksien pohjalta. Tutkimisen rakenteen runko pohjautuu eri tahojen mukaan hieman erilaisiin menetelmiin ja järjestyksiin tutkinnan etenemisen sekä käytettävien ohjelmien kannalta, mutta perusrunko on muotoutunut vahvaksi ja selkeäksi. Yhdistämällä yhdeksi kokonaisuudeksi tietoturvapoikkeamien tutkinta sekä käsittely, saavutetaan olennaisia hyötyjä päivittäisien sekä vaativampien tietoturvapoikkeamien käsittelyyn.
Työkalujen vertailu
Opinnäytetyön tuloksena saatiin vertailut, joita on mahdollista käyttää tukena DFIR-työkalun valinnassa. Opinnäytetyötä on lisäksi mahdollista käyttää tukena asennuksessa, sillä siihen on dokumentoitu ainoastaan oleellisimmat asiat, jotka korkeakoulun tulisi ottaa huomioon vertaillessa ja asentaessa DFIR-työkalua. Vertailuita on toteutettu kolmesta ennalta kartoitetusta avoimen lähdekoodin ohjelmasta. Ohjelmien yleisiä ominaisuuksia sekä sopivuutta on käsitelty yksittäin sekä vertailemalla niitä keskenään. Pilotoimalla ohjelmia saatiin myös konkreetista tietoa sopivuudesta digipalveluille, jotka myös toimivat osana vertailuja.
Kyberhyökkäysten ja erityisesti kiristyshaittaohjelmien määrien jatkuvasti kasvaessa, on erityisen tärkeää ja ajankohtaista pohtia tietoturvapalveluista vastaavien kyvykkyyttä havainnoida verkossa tapahtuvia muutoksia. Turvallisuustilanteen jatkuvassa muutoksessa sekä Suomen Nato -jäsenyyden myötä tietoturvan ja tietosuojan merkitys tulee kasvamaan entisestään.
Artikkelikuva: Pixabay
Tekijä: cliff1126
Lähteet
Kari, K. 2023. Avoimeen lähdekoodiin perustuvien DFIR-työkalujen vertailu korkeakoulun CSIRT-toiminnoille – Theseus, Turun ammattikorkeakoulun opinnäytetyö.
Martin, A. 2023. Finland sees fourfold spike in ransomware attacks since joining NATO, senior cyber official says. Viitattu 14.09.2023. https://therecord.media/finland-sees-fourfold-spike-in-rasomware-attacks-nato
Rapid7 2023. What is Digital Forensics and Incident Response (DFIR)?. Viitattu 27.09.2023. https://www.rapid7.com/fundamentals/digital-forensics-and-incident-response-dfir/
Turvallisuuskomitea 2018. Kybertuvallisuuden sanasto. Viitattu 17.09.2023. https://turvallisuuskomitea.fi/wp-content/uploads/2018/06/Kyberturvallisuuden-sanasto.pdf
Yliopistolaki 24.7.2009/558. https://www.finlex.fi/fi/laki/ajantasa/2009/20090558