Mitä tehdä, jos kuitenkin kosahtaa? Tässä tietoturva-asiantuntijoille suunnatut askel askeleelta -ohjeet! Juttu on jatkoa DFIR on tietoturvan Batman -blogille.

Mikäli teillä on käytössä SOC-palvelu (Security Operations Center), ole heihin yhteydessä välittömästi, jos epäilet jotain. On parempi olla liian varovainen kuin jäädä miettimään ja odottamaan.

1. Ihan ensiksi muista: Älä hätiköi

  • Harkitse mitä teet
  • Älä boottaa äläkä sammuta laitteita
    • Sammutuksen aikana häviää todisteita hyökkäyksestä
    • Moni haitta aktivoituu käynnistyksen yhteydessä
2. Eristä saastuneet järjestelmät ja kriittiset palvelut
  • Nappaa verkkojohto irti ja kytke wlan pois päältä
  •  
  • Eristä liikennettä verkkojen välillä palomuureilla (tähän voi varautua luomalla eristyssäännöt etukäteen) –> eristämällä saat lisäaikaa
  • Huomioi myös pilvipalvelut
  • Huomioi erityisesti domain controllerit ja Azure AD sekä backup-järjestelmät
3. Kytke lokitus päälle
  • Tallenna kriittisten järjestelmien lokit talteen
  • Tarkista, että kriittisten järjestelmien lokitus on päällä ja että käytössä on riittävästi tallennustilaa lokeille
  • Tarkista myös palomuurien lokitus ja tallenna lokit talteen
  • Tarkista admin-tunnusten kirjautumiset lokeista
4. Pyydä apua
  • Ota yhteyttä verkko- ja tietoturvapalveluntarjoajaasi. Heillä on kokemusta ja osaamista
5. Kerro johdolle, kun tiedät jotain ja olet aloittanut
  • Informoi käyttäjiä
  • Noudata johdon ohjeita
  • Älä edelleenkään panikoi
6. Aloita DFIR-työ ja muista, että apua on saatavilla
  • Kertaa vielä:
    • Mitä on tapahtunut
    • Milloin on tapahtunut
    • Kuka on tehnyt
  • Informoi sidosryhmiä tarpeen mukaan

 

Tarkistuslista tietoturvauhkiin varautumiseen

Parasta tietenkin on, jos tietoturvauhkiin voidaan varautua ennakkoon. Silloin ongelmia voidaan ehkäistä ja myös tiedetään, miten toimia uhan toteutuessa. Alla on listattuna kahdeksan kohtaa, joilla pienennät tietoturvahyökkäyksen tartuntapintaa huomattavasti. Jos et voi tehdä kaikkea, niin jokainen kohta myös yksistään parantaa suojausta.

Suojaa

1. EDR-päätelaitesuojaus (Endpoint Detection and Response) + IDR identiteetin suojaus = xDR (Extended Detection and Response)
2. SOC 24/7/365

Ennakoi

3. Active Directoryn koventaminen (erityisesti admin-tilien käytön hallinta)
4. Oma hallintaverkko ja koneet (älä hallinnoi sillä koneella, jolla surffaat ja luet sähköposteja)
5. Käyttäjien koneiden admin-tilien hallinta (moni hyökkäys vaatii admin oikeudet koneelle aktivoituakseen)
6. Haavoittuvuuksien hallinta (sellaiset järjestelmät, joita voi päivittää)
7. Aliverkottaminen palomuurilla (virtualisointihostit, backup, hallintaverkot, hallintakoneet, palvelimet)
8. Backuppien hallinta (mielellään eri verkossa ja palomuurin takana)

PS. Arvioi realistisesti organisaationne oma osaaminen ja resurssit. Apua on saatavilla ja myös me Loihteella autamme mielellämme. Ota yhteyttä!