Uhkatiedustelu on prosessi, jonka avulla tunnistetaan ja analysoidaan kyberuhkia. Termi ”uhkatiedustelu” tai ”uhkatietojen hankinta” voi viitata mahdollisesta uhasta kerättyihin tietoihin tai näiden tietojen keräämiseen, käsittelyyn ja analysointiin. Tavoitteena on oppia tuntemaan mahdolliset uhat paremmin. Uhkatiedusteluun kuuluu uhkatietojen seulominen, niiden kontekstuaalinen tarkastelu ongelmien havaitsemiseksi ja löydettyyn ongelmaan liittyvien ratkaisujen käyttöönotto.
Digitaalisen teknikan ansiosta nykyään kaikki on enemmän kuin koskaan aiemmin yhteydessä toisiinsa. Lisääntyneet yhteydet ovat kuitenkin lisänneet myös riskiä kyberhyökkäyksille, kuten tietoturvaloukkauksille, tietovarkauksille ja haittaohjelmien leviämiselle. Kyberturvallisuuden keskeinen osa on uhkatietojen hankkiminen. Lue lisää siitä, mitä uhkatiedustelu on, miksi se on tärkeätä ja mihin kerättyjä uhkatietoja käytetään.
Mitä on uhkatiedustelu?
Uhkatiedustelun määritelmä menee välillä sekaisin muiden kyberturvallisuuskäsitteiden kanssa. Yleisimmin ihmiset sekoittavat keskenään ”uhkatiedustelun” ja ”uhkatiedot” – mutta vaikka ne liittyvät samaan asiaan, niin niillä on eroja:
- Uhkatiedot ovat luettelo mahdollisista uhista.
- Uhkatiedustelu on prosessi, jossa tarkastellaan isompaa kuvaa – hankkimalla näitä uhkatietoja ja asettamalla niitä laajempaan kontekstiin, jotta pystyttäisiin tekemään entistä parempia päätöksiä.
Pohjimmiltaan uhkatiedustelu tähtää siihen, että organisaatiot voivat tehdä nopeampia ja paremmin perusteltuja turvallisuuspäätöksiä kerättyjen tietojen avulla. Se rohkaisee ennakoivaan – ei reaktiiviseen – toimintaan kyberhyökkäysten torjunnassa.
Miksi uhkatiedustelu on tärkeätä?
Uhkatiedustelu on kriittisen tärkeä osa kyberturvallisuuden ekosysteemiä. Kyberuhkatieto-ohjelmalla (Cyberthreat Intelligence Program, CTI) voidaan vaikuttaa moniin asioihin, kuten seuraaviin:
- Tietojen häviäminen voidaan estää: Hyvin jäsennellyn CTI-ohjelman avulla organisaatiot voivat havaita kyberuhkia ja estää tietomurtoja, jotka johtavat arkaluonteisten tietojen paljastumiseen.
- Turvatoimia voidaan kohdistaa paremmin: Uhkien tunnistamisen ja analysoinnin kautta CTI havaitsee hakkereiden käyttämät mallit ja auttaa organisaatioita ottamaan käyttöön turvatoimia, jotta tulevilta hyökkäyksiltä voidaan suojautua.
- Tiedon levittäminen: Hakkerit kehittyvät päivä päivältä taitavammiksi. Kyberturvallisuusasiantuntijat jatkavat yhteistä taistelua kyberrikollisuutta vastaan jakamalla tietoa yhteisölle.
Uhkatiedustelun tyyppejä
Kyberturvallisuusuhkien tiedustelu on usein jaettu kolmeen kategoriaan – strategiseen, taktiseen ja operatiiviseen. Tutustutaan näihin seuraavaksi.
Strateginen uhkatiedustelu:
Tämä on tyypillisesti korkean tason analyysiä, joka on suunniteltu ei-tekniselle yleisölle – esimerkiksi yrityksen tai organisaation hallitukselle. Se liittyy kyberturvallisuusaiheisiin, jotka voivat vaikuttaa laajempiin liiketoimintapäätöksiin. Lisäksi siinä kiinnitetään huomiota yleisiin trendeihin ja motivaatioon. Strateginen uhkatiedustelu perustuu usein avoimiin lähteisiin – mikä tarkoittaa, että kuka tahansa voi tutustua näihin tietoihin – esimerkiksi tiedotusvälineiden kirjoituksiin, white paper -tutkimuksiin ja muihin tutkimuksiin.
Taktinen uhkatiedustelu:
Tällainen uhkatieto keskittyy lähitulevaisuuden uhkiin ja on suunnattu teknisesti ammattitaitoisemman yleisön käyttöön. Siinä tunnistetaan yksinkertaisia IOC-indikaattoreita, joiden avulla IT-tiimit voivat etsiä ja poistaa tiettyjä uhkia verkossa. IOC-indikaattoreihin sisältyy esimerkiksi virheellisiä IP-osoitteita, tunnettuja haitallisia verkkotunnuksia, epätavallista liikennettä, kirjautumisiin liittyviä vaaran merkkejä ja lisääntyneitä tiedosto-/latauspyyntöjä. Taktinen tiedustelu on yksinkertaisin uhkien tiedustelumuoto, ja se on yleensä automatisoitua. Tällä tiedolla voi olla lyhyt käyttöikä, koska monet IOC-tiedot vanhenevat nopeasti.
Operatiivinen uhkatiedustelu:
Jokaiseen kyberhyökkäykseen liittyy kysymykset ”kuka”, ”miksi” ja ”miten”. Operatiivisten uhkien tiedustelu on suunniteltu vastaamaan näihin kysymyksiin tutkimalla aiempia kyberhyökkäyksiä ja tekemällä niiden perusteella johtopäätöksiä hyökkäysten tarkoituksesta, ajoituksesta ja kehittyneisyydestä. Operatiivinen uhkien tiedustelu vaatii enemmän resursseja kuin taktinen tiedustelu, ja sen käyttöikä on myös pidempi. Tämä johtuu siitä, että kyberhyökkääjät eivät voi muuttaa taktiikkaansa, tekniikoitaan ja menetelmiään yhtä helposti kuin he voivat vaihtaa työkalujaan – esimerkiksi tietyntyyppisiä haittaohjelmia.
Kyberuhkiin liittyvän tiedon elinkaari
Kyberturvallisuuden asiantuntijat käyttävät uhkatiedon yhteydessä elinkaaren käsitettä. Tyypillinen esimerkki kyberuhan elinkaaresta sisältää seuraavat vaiheet: tavoitteiden asetus, tietojen kerääminen, tietojen käsittely, tietojen analysointi, tietojen jakelu ja palautteen kerääminen.
Vaihe 1: Tavoitteiden asetus
Tämä vaihe keskittyy tavoitteiden asettamiseen uhkien tiedusteluohjelmaa varten. Se voi sisältää seuraavaa:
- Sen ymmärtäminen, mitkä organisaation osa-alueet on suojattava, ja prioriteettijärjestyksen mahdollinen luominen.
- Sen tunnistaminen, mitä uhkatietoa organisaatio tarvitsee suojellakseen omaisuuttaan ja vastatakseen uhkiin.
- Sen selvittäminen, miten kybermurrot vaikuttavat organisaatioon.
Vaihe 2: Tietojen kerääminen
Tässä vaiheessa kerätään tietoa tukemaan vaiheessa 1 asetettuja tavoitteita. Tietojen määrä ja laatu ovat molemmat tärkeitä, jotta vakavat uhkatapahtumat eivät jää huomaamatta ja jotta liikaa huomiota ei kiinnitetä vääriin positiivisiin tuloksiin. Tässä vaiheessa organisaatioiden on tunnistettava tietolähteensä. Tähän voi sisältyä seuraavaa:
- Metadata sisäisistä verkoista ja suojalaitteista
- Uhkatiedot uskottavilta kyberturvallisuusorganisaatioilta
- Haastattelut sidosryhmien edustajien kanssa
- Avoimen lähdekoodin uutissivustot ja blogit
Vaihe 3: Tietojen käsittely
Kaikki kerätty data on muutettava organisaation käytettävissä olevaan muotoon. Erilaiset tiedonkeruumenetelmät vaativat erilaisia käsittelytapoja. Esimerkiksi ihmisten haastattelujen tiedot on ehkä faktatarkistettava ja niitä on verrattava muihin tietoihin.
Vaihe 4: Tietojen analysointi
Kun tiedot on käsitelty käyttökelpoiseen muotoon, ne on analysoitava. Analyysi on prosessi, jossa tieto muutetaan älykkyydeksi, joka voi ohjata organisaation päätöksiä. Tällaisiin päätöksiin voi kuulua muun muassa, lisätäänkö investointeja turvallisuusresursseihin, tutkitaanko tarkemmin tiettyä uhkaa tai uhkien joukkoa, mihin toimiin on ryhdyttävä välittömien uhkien torjumiseksi ja mitä uhkien tiedustelutyökaluja tarvitaan.
Vaihe 5: Tietojen jakaminen
Kun analysointi on tehty, tärkeimmät suositukset ja johtopäätökset on jaettava asiaankuuluville sidosryhmille organisaation sisällä. Organisaation eri tiimeillä on erilaisia tarpeita. Tiedon jakamiseksi tehokkaasti kannattaa pohtia sitä, mitä tietoja kukin yleisö tarvitsee, missä muodossa ja kuinka usein.
Vaihe 6: Palauteen kerääminen
Sidosryhmiltä kerättävä palaute auttaa parantamaan uhkien tiedustelua, ja sen avulla voidaan varmistaa, että kerätty tieto vastaa kunkin ryhmän vaatimuksia ja tavoitteita.
Termi ”elinkaari” liittyy siihen, että uhkatietojen kerääminen ei ole lineaarinen, kertaluonteinen prosessi. Sen sijaan se on jatkuva, iteratiivinen prosessi, jota organisaatioiden on käytettävä suojauksen parantamiseen jatkuvasti.
Kuka hyötyy uhkatietojen keräämisestä?
Kaikki turvallisuudesta kiinnostuneet hyötyvät uhkatietojen keräämisestä. Yritysten toimintaan siitä on muun muassa seuraavia etuja:
Vähentyneet riskit
Hakkerit etsivät jatkuvasti uusia tapoja tunkeutua yritysverkkoihin. Kyberuhkien tiedustelun avulla yritykset voivat tunnistaa uusia haavoittuvuuksia niiden ilmaantuessa, mikä vähentää tietojen menettämisen tai päivittäisen toiminnan häiriöiden riskiä.
Tietomurtojen välttäminen
Kattavan kyberuhkien tiedustelujärjestelmän pitäisi auttaa välttämään tietomurtoja. Se tekee tämän valvomalla epäilyttäviä verkkotunnuksia tai IP-osoitteita, jotka yrittävät olla yhteydessä organisaation järjestelmiin. Hyvä CTI-järjestelmä estää epäilyttävät IP-osoitteet, jotka voisivat varastaa tietosi. Ilman CTI-järjestelmää hakkerit voivat hukuttaa verkon väärennettyyn liikenteeseen ja tehdä DDoS-hyökkäyksen (Distributed Denial of Service).
Vähentyneet kustannukset
Tietomurrot ovat kalliita. Vuonna 2021 tietomurron maailmanlaajuiset keskimääräiset kustannukset olivat 4,24 miljoonaa dollaria (tämä vaihtelee sektoreittain – korkeimmat kustannukset olivat terveydenhuollon sektorilla). Näihin kustannuksiin sisältyy sellaisia osia kuin oikeudenkäyntikulut ja sakot sekä tapauksen jälkeiset palauttamiskulut. Vähentämällä tietomurtojen riskiä kyberuhkien tiedustelu voi auttaa säästämään rahaa.
Pohjimmiltaan uhkatiedustelu auttaa organisaatiota ymmärtämään kyberriskejä ja toimenpiteitä, jotka ovat tarpeen näiden riskien vähentämiseksi.
Uhkatiedusteluohjelman tärkeät ominaisuudet
Uhkien hallinta vaatii resurssien kokonaisvaltaista tarkastelua. Yritykset tarvitsevat ohjelman, joka tarkkailee toimintoja, havaitsee ongelmia ja tarjoaa tietoa, jonka perusteella pystytään tekemään organisaation tietoturvaan liittyviä perusteltuja päätöksiä. Tämä on tärkeätä kyberuhkien tiedusteluohjelmassa:
Räätälöity uhkien hallinta
Ihanteellinen yhteistyökumppani tutkii yrityksen järjestelmän, löytää heikkoudet, ehdottaa suojaustoimenpiteitä ja tarkkailee järjestelmää 24/7. Monet kyberturvajärjestelmät väittävät tekevänsä tämän, mutta etsi sellainen, joka voi räätälöidä ratkaisun juuri sinun tarpeisiisi. Kyberturvallisuus on mittatilaustyötä. Älä siis tyydy yhteistyökumppaniin, joka lähestyy asioita vain yhdellä tavalla.
Uhkatietosyötteet
Tarvitset ajantasaisen syötteen sivustoista, jotka on asetettu estoluetteloon, sekä haitallisia toimijoita, joita voit pitää silmällä.
Tutkimustietojen hyödyntäminen
Tarvitset yhteistyöyrityksen, jonka avulla pääset hyödyntämään uusinta tutkimustietoa, jossa on selvitetty, miten hakkerit pääsevät sisään järjestelmiin, mitä he haluavat ja miten he saavat haluamansa. Mitä enemmän yritykset saavat tietoa, sitä paremmin ne pystyvät tekemään tietoon perustuvia päätöksiä.
Todellisia ratkaisuja
Kyberuhkien tiedusteluohjelman pitäisi auttaa yritystäsi tunnistamaan hyökkäykset ja vähentämään riskejä. Ohjelman tulee olla kattava – esimerkiksi sellainen ohjelma, joka vain tunnistaa mahdolliset ongelmat eikä tarjoa ratkaisuja, ei ole hyödyllinen.
Jatkuvasti laajenevassa uhkaympäristössä kyberuhkilla voi olla vakavia seurauksia organisaatiollesi. Mutta vankan kyberuhkatiedon avulla voit lieventää riskejä, jotka voivat vahingoittaa mainettasi ja aiheuttaa taloudellisia seuraamuksia. Pysy kyberhyökkäysten kärjessä pyytämällä demokäyttöoikeutta Kasperskyn Threat Intelligence -portaaliin ja selvitä, mitä etuja se voi tarjota organisaatiollesi.
Suositellut tuotteet:
Kaspersky Enterprise Security Solutions and Services
Lisätietoja:
Uhkatietoratkaisujen arviointi: neljä huomioon otettavaa asiaa