Blogi | Cinia

Tilannekuva haltuun uhkatiedustelulla

Kirjoittanut Tomi Liesimaa | 3.12.2020 7:00

Digitaaliset teknologiat ovat lähes jokaisen liiketoiminnan ydin. Niiden tarjoama automatisointi ja yhä nopeammat yhteydet ovat mullistaneet maailman taloutta, mutta ne ovat myös tuoneet riskejä kyberhyökkäysten muodossa. Organisaation suojauksen läpäisykyvyn kesto on vaikeasti mitattava ilman kattavaa tilannekuvaa omasta infrastruktuurista. 

Ulkoisten ja sisäisten uhkien tunnistaminen sekä organisaation toimintaan mahdollisesti vaikuttavien globaalien kehityskulkujen havainnointi ovat osa modernia organisaation turvaamista. Uhkatiedustelulla saavutetaan kattava tilannekuva.

Uhkatieto on tietoa, jonka avulla voit estää tai lieventää hyökkäyksiä. Uhkatiedon avulla saat kontekstia, esimerkiksi siitä kuka organisaatiotasi vastaan hyökkää, mikä on heidän motiivinsa ja millainen kyvykkyys heillä mahdollisesti on. Tällainen tieto perustuu uhkatiedusteluun. Tieto mahdollisesta hyökkääjästä auttaa sinua tekemään tietoon perustuvia päätöksiä organisaatiosi turvallisuudesta. Uhkatiedustelun päämäärä on tuottaa konteksti, mekanismit, indikaattorit, vaikutukset ja toimintalähtöiset neuvot olemassa olevasta tai tulevasta uhkasta organisaatiolle. 

 

Miksi uhkatiedustelutiedot ovat tärkeitä?

Kyberturvallisuusalalla on lukuisia haasteita - pula ammattitaitoisista ammattilaisista sekä päivittäinen tulva vääriä hälytyksiä lukuisista järjestelmistä vailla konkreettista kontekstia. Organisaatiot monesti sisällyttävät uhkatietosyötteet verkkoonsa, mutta eivät tiedä, mitä tehdä kaikelle ylimääräiselle tiedolle. Tämä lisää analyytikoiden taakkaa, jolla ei ehkä ole työkaluja päättää, mitkä priorisoida ja mitä jättää huomiotta.

Uhkatiedustelun merkitys korostuu organisaatiolla, jotka tallentavat sensitiivistä tietoa verkkoon kytkettyyn laitteeseen. Yksinkertaisesti sanottuna se koskee nykyään kaikkia organisaatioita. Vaikka tietoturvasta on huolehdittu palomuurien ja muiden turvallisuuskeinojen avulla, on erittäin tärkeää pysyä ajan tasalla jatkuvasti kehittyvistä uhkista. Tämä korostuu erityisesti isojen organisaatioiden kohdalla, joissa on tyypillisesti hajautettu tai ulkoistettu IT-toimintoja.

 

Uhkatiedustelua monella tasolla - Strateginen, taktinen, tekninen ja operatiivinen tiedustelu

Strategisella uhkatiedustelulla tarkoitetaan ylätason tiedon keräämistä yleisölle, joka ei ole teknisesti orientoitunut. Se pitää sisällään yksityiskohtaista analyysia trendeistä ja nousevista uhkista antaen yleisen riskitietoisuuden kyberhyökkäysten seurauksista. 

Taktinen uhkatiedustelu tarjoaa yksityiskohtaisempaa tietoa haitallisen toimijan taktiikoista, tekniikoista ja menettelytavoista. Taktinen uhkatieto on tarkoitettu pääsääntöisesti teknisesti edistyneelle yleisölle. He etsivät indikaattoreita hyökkäyksestä erilaisten teknisten tietojen pohjalta. 

Tekninen uhkatiedustelu keskittyy kyberturvallisuusuhkaan viittaaviin teknisiin vihjeisiin, kuten yksinkertaisimmillaan phising-sähköpostien aiheriveihin. Tämän tyyppinen uhkatiedustelutieto on tärkeä, koska se antaa organisaatiolle käsityksen siitä, mitä etsiä ja se on hyödyllistä sosiaalisten hakkerointihyökkäysten analysoinnissa. Koska hakkerit kuitenkin muuttavat taktiikkaansa, tekniikoitaan ja menettelytapojaan usein, teknisen uhkatiedustelun käyttöikä on lyhyt.

Operatiivinen uhkatiedustelu auttaa organisaation tietoturvasta vastaavia ymmärtämään tiettyjen kyberhyökkäysten luonnetta kuvaamalla relevantteja tekijöitä, kuten hyökkääjän aikomusta, ajoitusta ja osaamista. Vähemmän kokeneet haitalliset toimijat saattavat keskustella pahoista teoistaan ​​verkossa, mutta ammattilaiset harvemmin niin tekevät, joten kaikki verkkouhkatiedustelun osa-alueet ovat välttämättömiä kattavan tilannekuvan kannalta.