Trace Id is missing
Siirry pääsisältöön
Microsoft Security

Mitä tapauskäsittely on?

Tutustu siihen, miten tehokas tapauskäsittely auttaa organisaatioita havaitsemaan, käsittelemään ja pysäyttämään kyberhyökkäykset.

Tapauskäsittelyn määritelmä

Ennen tapauskäsittelyn määrittelemistä on tärkeää selvittää, mikä tapaus on. IT-alalla on kolme termiä, joita käytetään joskus vaihtokelpoisesti, mutta jotka tarkoittavat eri asioita:

  1. Tapahtuma on usein tapahtuva vaaraton toiminto, kuten tiedoston luominen, kansion poistaminen tai sähköpostiviestin avaaminen. Yksinään tapahtuma ei yleensä ole merkki suojausrikkomuksesta, mutta kun se yhdistetään muihin tapahtumiin, se voi olla merkki uhasta. 
  2. Hälytys on ilmoitus, jonka laukaiseva tapahtuma saattaa olla uhka.
  3. Tapaus on joukko korreloituja hälytyksiä, jotka ihmiset tai automaatiotyökalut ovat arvioineet todennäköisiksi todellisiksi uhiksi. Yksinään mikään hälytyksistä ei ehkä näytä merkittävältä uhalta, mutta kun ne yhdistetään, ne viittaavat mahdolliseen suojausrikkomukseen..

Tapauskäsittelyllä tarkoitetaan toimia, joihin organisaatio ryhtyy sen uskoessa, että IT-järjestelmiin tai tietoihin on ehkä murtauduttu. Tietoturva-ammattilaiset toimivat esimerkiksi silloin, kun he näkevät todisteita luvattomasta käyttäjästä, haittaohjelmasta tai tietoturvatoimien epäonnistumisesta.

Käsittelyn tavoitteena on eliminoida kyberhyökkäys mahdollisimman nopeasti, tehdä palautus, ilmoittaa asiakkaille tai viranomaisille alueellisten lakien edellyttämällä tavalla ja oppia, miten vastaavan suojausrikkomuksen riskiä voidaan vähentää tulevaisuudessa.

Miten tapauskäsittely toimii?

Tapauskäsittely alkaa yleensä, kun tietoturvatiimi saa uskottavan hälytyksen suojaustietojen ja tapahtumien hallinnan (SIEM) järjestelmästä.

Tiimin jäsenten on varmistettava, että tapahtumaa voidaan pitää tapauksena, eristettävä tartunnan saaneet järjestelmät ja poistettava uhka. Jos tapaus on vakava tai sen selvittäminen kestää kauan, organisaatioiden on ehkä palautettava varmuuskopioidut tiedot, maksettava lunnassumma tai ilmoitettava asiakkaille, että heidän tietonsa ovat vaarantuneet.

Tästä syystä käsittelyyn osallistuu yleensä muitakin henkilöitä kyberturvallisuustiimin lisäksi . Tietosuoja-asiantuntijat, juristit ja yritysten päätöksentekijät auttavat määrittelemään organisaation menettelytavan tapauksen ja sen jälkiseurausten suhteen.

Tietoturvahäiriöiden tyypit

Hyökkääjät yrittävät päästä yrityksen tietoihin käsiksi monin eri tavoin tai muuten vaarantaa sen järjestelmät ja liiketoiminnan. Seuraavassa on joitakin yleisimpiä niistä:

  • Tietojen kalastelu

    Tietojenkalastelu on eräänlaista käyttäjän manipulointia, jossa hyökkääjä esiintyy hyvämaineisena tuotemerkkinä tai henkilönä sähköposti- tai tekstiviestin tai puhelun avulla. Tyypillinen tietojenkalasteluhyökkäys yrittää saada vastaanottajat lataamaan haittaohjelman tai antamaan salasanansa. Näissä hyökkäyksissä hyödynnetään ihmisten luottavaisuutta ja yritetään saada ihmiset toimimaan psykologisten tekniikoiden, kuten pelon, avulla. Monet näistä hyökkäyksistä ovat kohdentamattomia, vaan ne suuntautuvat tuhansille ihmisille siinä toivossa, että edes yksi heistä vastaa. Monimutkaisemmassa versiossa, jota kutsutaan kohdennetuksi verkkourkinnaksi, laaditaan kuitenkin syvällisen tutkimuksen avulla viesti, joka on tarkoitettu vakuuttelemaan yksittäistä henkilöä.
  • Haittaohjelmat

    Haittaohjelmalla tarkoitetaan mitä tahansa ohjelmistoa, joka on suunniteltu vahingoittamaan tietokonejärjestelmää tai poistamaan tietoja. Se voi esiintyä monissa eri muodoissa, kuten viruksena, kiristysohjelmana, vakoiluohjelmana ja troijalaisena hevosena. Haitalliset toimijat asentavat haittaohjelmia hyödyntämällä laitteistojen ja ohjelmistojen haavoittuvuuksia tai suostuttelemalla käyttäjän manipuloinnin avulla työntekijän tekemään asennuksen.
  • Kiristysohjelmat

    Kiristysohjelmahyökkäyksessä haitalliset toimijat salaavat kriittisen tärkeitä tietoja ja järjestelmiä haittaohjelmien avulla ja uhkaavat sitten julkistaa tiedot tai tuhota ne, jos uhri ei maksa lunnassummaa.
  • Palvelunesto

    Palvelunestohyökkäyksessä (DDoS-hyökkäys) uhkaava toimija ylikuormittaa verkon tai järjestelmän liikenteellä, kunnes se hidastuu tai kaatuu. Yleensä hyökkääjät ottavat kohteikseen korkean profiilin organisaatioita, kuten pankkeja tai julkishallinnon virastoja, ja heidän tavoitteenaan on aiheuttaa niille ajan ja rahan menetyksiä, mutta kaikenkokoiset organisaatiot voivat joutua tämäntyyppisten hyökkäysten uhreiksi.
  • Väliintulohyökkäys

    Toinen tapa, jolla kyberrikolliset varastavat henkilökohtaisia tietoja, on tunkeutua mukaan ihmisten väliseen verkkokeskusteluun, jossa henkilöt luulevat keskustelevansa yksityisesti. Salakuuntelemalla viestejä ja kopioimalla tai muuttamalla niitä ennen niiden lähettämistä aiotulle vastaanottajalle kyberrikolliset yrittävät manipuloida jotakuta osallistujaa antamaan heille arvokasta tietoa.

  • Sisäinen uhka

    Vaikka useimmat hyökkäykset ovat organisaation ulkopuolisten henkilöiden tekemiä, tietoturvatiimien on oltava valppaina myös sisäisten käyttäjien uhkien suhteen. Työntekijät ja muut henkilöt, joilla on luvallinen käyttöoikeus rajoitettuihin resursseihin, voivat tahattomasti tai joskus tahallaan vuotaa arkaluonteisia tietoja.

Mikä tapauskäsittelyn suunnitelma on?

Tapauskäsittely edellyttää, että tiimi pyrkii tehokkaan yhteistyön avulla poistamaan uhan ja täyttämään säädösten mukaiset vaatimukset. Näissä stressaavissa tilanteissa on helppo hermostua ja tehdä virheitä, minkä vuoksi monet yritykset laativat tapaustenkäsittelysuunnitelman. Suunnitelmassa määritellään roolit ja vastuut, ja se sisältää vaiheet, joita tarvitaan tapauksen asianmukaiseen ratkaisemiseen ja dokumentointiin sekä siitä tiedottamiseen.

Tapauskäsittelysuunnitelman tärkeys

Merkittävä hyökkäys ei ainoastaan vahingoita organisaation toimintaa, vaan vaikuttaa myös yrityksen maineeseen asiakkaiden ja yhteisön keskuudessa, ja sillä voi olla oikeudellisiakin seurauksia. Kokonaiskustannuksiin vaikuttavat kaikki seikat, kuten se, miten nopeasti tietoturvatiimi reagoi hyökkäykseen ja miten johtajat viestivät tapauksesta.

Yritykset, jotka salaavat vahingot asiakkailta ja viranomaisilta tai jotka eivät suhtaudu uhkaan riittävän vakavasti, voivat rikkoa säädöksiä. Tällaiset virheet ovat yleisiä, kun osallistujilla ei ole suunnitelmaa. Kiireen keskellä on olemassa vaara, että ihmiset tekevät pelon ohjaamina hätiköityjä päätöksiä, jotka lopulta vahingoittavat organisaatiota.

Hyvin harkitun suunnitelman avulla ihmiset tietävät, mitä heidän pitää tehdä hyökkäyksen jokaisessa vaiheessa. Jos yleisö palautumisen jälkeen esittää kysymyksiä, organisaatio voi osoittaa käsittelytapansa täsmällisesti ja antamaan asiakkaille mielenrauhan siitä, että se on suhtautunut tapaukseen vakavasti ja tehnyt tarvittavat toimet pahojen seurausten estämiseksi.

Tapauskäsittelyn vaiheet

Tapauskäsittelyyn on useampi kuin yksi tapa, ja monet organisaatiot tukeutuvat tietoturvastandardeja laativaan organisaatioon, joka ohjaa niiden menettelytapaa. SysAdmin Audit Network Security (SANS) on yksityinen järjestö, jonka tarjoama kuusivaiheisen käsittelykehys on esitetty seuraavassa. Monet organisaatiot ottavat tapauskäsittelyä varten käyttöön myös National Institute of Standards and Technology (NIST) -palautuskehyksen.

  • Valmistelu – Ennen tapauksen ilmenemistä on tärkeää vähentää haavoittuvuuksia ja määrittää tietoturvakäytännöt ja -menettelyt. Valmisteluvaiheessa organisaatiot määrittävät riskiarvioinnin avulla, missä niiden heikkoudet ovat, ja priorisoivat resurssit. Tähän vaiheeseen kuuluu tietoturvamenettelyjen kirjoittaminen ja tarkentaminen, roolien ja vastuiden määritteleminen sekä riskien vähentäminen järjestelmäpäivitysten avulla. Useimmat organisaatiot palaavat tähän vaiheeseen säännöllisesti ja tekevät parannuksia käytäntöihin, menettelytapoihin ja järjestelmiin sitä mukaa kuin ne oppivat uutta tai teknologia muuttuu.
  • Uhkien tunnistaminen – Tietoturvatiimi voi saada päivässä tuhansia hälytyksiä, jotka viittaavat epäilyttävään toimintaan. Osa niistä on vääriä hälytyksiä, tai ne eivät välttämättä ole tapauksen tasoisia. Kun tapaus on tunnistettu, tiimi tutkii suojausrikkomuksen luonnetta ja dokumentoi havainnot, kuten suojausrikkomuksen lähteen, hyökkäyksen tyypin ja hyökkääjän tavoitteet. Tässä vaiheessa ryhmän on myös tiedotettava sidosryhmille ja ilmoitettava seuraavista vaiheista.
  • Uhkan rajoittaminen – Uhkan rajoittaminen mahdollisimman nopeasti on seuraava prioriteetti. Mitä pidempään haitalliset toimijat pääsevät käsiksi tietoihin, sitä suurempaa vahinkoa he voivat aiheuttaa. Tietoturvatiimi pyrkii nopeasti eristämään hyökkäyksen kohteena olevat sovellukset tai järjestelmät muista verkoista. Näin hyökkääjiä voidaan estää pääsemästä yrityksen muihin osiin.
  • Uhkan poistaminen – Kun torjunta on saatu päätökseen, tiimi poistaa hyökkääjän ja mahdolliset haittaohjelmat asianomaisista järjestelmistä ja resursseista. Tämä voi edellyttää järjestelmien poistamista käytöstä. Ryhmä myös pitää sidosryhmät edelleen ajan tasalla edistymisestä.
  • Toipuminen ja palauttaminen – Tapauksesta toipuminen voi kestää useita tunteja. Kun uhka on poistunut, tiimi palauttaa järjestelmät, palauttaa tiedot varmuuskopioista, valvoo uhanalaisia alueita ja varmistaa, ettei hyökkääjä palaa.
  • Palaute ja parannukset – Kun tapaus on ratkaistu, tiimi tarkastelee tapahtunutta ja määrittelee parannuksia, joita prosessiin voidaan tehdä. Tästä vaiheesta saadut opit auttavat tiimiä parantamaan organisaation puolustusta.

Mikä tapauskäsittelytiimi on?

Tapauskäsittelytiimi, jota kutsutaan myös tietokoneiden tietoturvatapausten käsittelytiimiksi (CSIRT), kybertapausten käsittelytiimiksi (CIRT) tai tietokoneiden hätäkäsittelytiimiksi (CERT), on organisaatiossa toimiva monitoimintoinen ryhmä, joka vastaa tapauskäsittelysuunnitelman toteuttamisesta. Tämä ei koske ainoastaan uhan poistavia henkilöitä vaan myös niitä, jotka tekevät tapaukseen liittyviä liiketoiminnallisia tai oikeudellisia päätöksiä. Yleensä tiimiin kuuluvat seuraavat jäsenet:

  • Tapauskäsittelypäällikkö, usein IT-johtaja, valvoo kaikkia torjunnan käsittelyn ja pitää sisäiset sidosryhmät ajan tasalla. 

  • Tietoturva-analyytikot tutkivat tapausta ja yrittävät ymmärtää, mitä on tapahtumassa. He myös dokumentoivat havaintonsa ja keräävät rikosteknisiä todisteita.

  • Uhkatutkijat katsovat organisaation ulkopuolelle ja keräävät tiedustelutietoa, joka antaa lisäkontekstia. 

  • Joku johdon jäsen, kuten tietoturvapäällikkö tai tietohallintojohtaja, antaa ohjeita ja toimii muiden johtajien yhteyshenkilönä.

  • Henkilöstöhallinnon asiantuntijat auttavat hallitsemaan sisäpiirin uhkia.

  • Lakiasiainhoitaja auttaa tiimiä selviytymään vastuukysymyksistä ja varmistaa, että rikostekniset todisteet kerätään.

  • PR-asiantuntijat koordinoivat tarkkaa ulkoista viestintää tiedotusvälineille, asiakkaille ja muille sidosryhmille.

Tapauskäsittelytiimi voi olla osa tietoturvakeskusta (SOC), joka huolehtii tapauskäsittelyn lisäksi myös muista tietoturvatoiminnoista.

Tapauskäsittelyn automatisointi

Useimmissa organisaatioissa verkot ja tietoturvaratkaisut tuottavat paljon enemmän tietoturvahälytyksiä kuin tapauskäsittelytiimi voi todellisuudessa käsitellä. Monet yritykset ottavat käyttöön tapaustenkäsittelyautomaation, jonka avulla ne voivat keskittyä todellisiin uhkiin. Automaatio käyttää tekoälyä ja koneoppimista hälytysten lajitteluun, tapausten tunnistamiseen ja uhkien poistamiseen noudattamalla ohjelmallisiin komentosarjoihin perustuvaa käsittelymenettelyä.

SOAR (Security Orchestration Automation and Response) on tietoturvatyökalujen luokka, jota yritykset käyttävät tapauskäsittelyn automatisointiin. Nämä ratkaisut tarjoavat seuraavat ominaisuudet:

  • Tietojen korrelointi useista eri päätepisteistä ja tietoturvaratkaisuista niiden tapausten tunnistamista varten, joita ihmisten on syytä seurata.

  • Ennalta kuvatun menettelyn suorittaminen tunnettujen tapaustyyppien eristämistä ja käsittelyä varten.

  • Sellaisen tutkinta-aikajanan luominen, joka sisältää toiminnot, päätökset ja rikostekniset todisteet, joita voidaan käyttää analyysissä.

  • Oleellisen ulkoisen tiedustelutiedon tuominen mukaan ihmisten tekemää analyysia varten.

Tapauskäsittelysuunnitelman käyttöönotto

Tapauskäsittelysuunnitelman laatiminen voi tuntua pelottavalta, mutta sen avulla voidaan pienentää merkittävästi riskiä siihen, että yrityksesi on valmistautumaton suurtapauksen aikana. Pääset alkuun seuraavasti:

  • Tunnista ja priorisoi resurssit

    Tapauskäsittelysuunnitelman ensimmäinen vaihe on tietää, mitä suojataan. Dokumentoi organisaatiosi kriittiset tiedot, kuten niiden sijaintipaikka ja merkitys liiketoiminnalle.

  • Määritä mahdolliset riskit

    Jokaisella organisaatiolla on erilaisia riskejä. Tutustu organisaatiosi suurimpiin haavoittuvuuksiin ja arvioi, miten hyökkääjä voisi hyödyntää niitä. 

  • Käsittelymenettelyjen kehittäminen

    Selkeät menettelyt auttavat varmistamaan stressitilanteessa, että tapaukseen puututaan nopeasti ja tehokkaasti. Aloita määrittelemällä, mitä voidaan pitää tapauksena, ja määritä sitten vaiheet, jotka tiimisi tulisi toteuttaa tapauksen havaitsemista, eristämistä ja siitä palautumista varten. Näitä ovat esimerkiksi menettelyt päätösten dokumentoimista ja todisteiden keräämistä varten.

  • Luo tapauskäsittelytiimi

    Luo monitoimintoinen tiimi, joka vastaa käsittelymenettelyjen ymmärtämisestä ja mobilisoinnista vaaratilanteen sattuessa. Määritä roolit selkeästi, ja ota huomioon myös muut kuin tekniset roolit, jotka voivat auttaa viestintään ja vastuisiin liittyvien päätösten tekemisessä. Ota johtoryhmään joku, joka edustaa ryhmää ja sen tarpeita yrityksen korkeimmilla tasoilla. 

  • Määritä viestintäsuunnitelmasi

    Viestintäsuunnitelma poistaa arvailut siitä, milloin ja miten on kerrottava muille organisaation sisäisille ja ulkopuolisille henkilöille, mitä tapahtuu. Mieti erilaisia skenaarioita, joiden avulla voit määrittää, missä tilanteissa sinun on tiedotettava johtajille, koko organisaatiolle, asiakkaille ja tiedotusvälineille tai muille ulkoisille sidosryhmille.

  • Kouluta työntekijät

    Haitallisten toimijoiden kohteina ovat organisaation kaikkien tasojen työntekijät, minkä vuoksi on tärkeää, että kaikki ymmärtävät käsittelysuunnitelmasi ja tietävät, mitä tehdä, jos he epäilevät joutuneensa hyökkäyksen uhreiksi. Testaa ajoittain työntekijöitäsi varmistaaksesi, että he voivat tunnistaa tietojenkäsittelysähköpostiviestit ja ilmoittaa helposti tapauskäsittelytiimille, jos he vahingossa napsauttavat haitallista linkkiä tai avaavat tartunnan saaneen liitetiedoston. 

Tapauskäsittelyn ratkaisut

Valmistautuminen suurtapauksiin on tärkeä osa organisaation uhkasuojausta. Sisäisen tapauskäsittelytiimin perustaminen antaa sinulle varmuuden siitä, että olet valmis, jos joudut haitallisen toimijan uhriksi.

Hyödynnä Microsoft Sentinelin kaltaisia SIEM- ja SOAR-ratkaisuja, jotka auttavat automaation avulla tunnistamaan tapaukset ja käsittelemään ne automaattisesti. Niukasti resursseja omaavat organisaatiot voivat täydentää tiimejään palveluntarjoajalla, joka pystyy hoitamaan tapauskäsittelyn useat vaiheet. Varmista kuitenkin, että käytössäsi on suunnitelma, hoidetaanpa tapauskäsittely sisäisesti tai ulkoisesti.

Lue lisää Microsoft Securitysta

Microsoft threat protection

Tunnista tapaukset koko organisaatiossasi ja käsittele ne uhilta suojautumisen uusimmilla ominaisuuksilla.

Microsoft Sentinel

Paljasta kehittyneet uhat ja vastaa niihin päättäväisesti tehokkaalla SIEM-ratkaisulla, joka pohjautuu pilvipalveluun ja tekoälyyn.

Microsoft Defender XDR

Pysäytä hyökkäykset päätepisteisiin, sähköpostiin, käyttäjätietoihin, sovelluksiin ja tietoihin.

Usein kysytyt kysymykset

  • Tapauskäsittely tarkoittaa kaikkia niitä toimia, joihin organisaatio ryhtyy sen epäillessä suojausrikkomusta. Tavoitteena on eristää ja kitkeä hyökkääjät mahdollisimman nopeasti, noudattaa tietosuojamääräyksiä ja palautua turvallisesti niin, että organisaatiolle aiheutuu mahdollisimman vähän vahinkoa.

  • Monitoimintoinen tiimi vastaa tapauskäsittelystä. IT-henkilöstö vastaa yleensä uhkien tunnistamisesta, eristämisestä ja niistä palautumisesta, mutta tapauskäsittely sisältää muutakin kuin haitallisten toimijoiden löytämisen ja heistä eroon pääseminen. Hyökkäyksen tyypin mukaan jonkun on ehkä tehtävä liiketoiminnallinen päätös esimerkiksi siitä, miten lunnasvaatimukset käsitellään. Juristit ja PR-ammattilaiset auttavat varmistamaan, että organisaatio noudattaa tietosuojalakeja ja myös ilmoittaa asianmukaisesti asiakkaille ja viranomaisille. Jos uhan on aiheuttanut työntekijä, henkilöstöhallinto neuvoo asianmukaisissa toimissa.

  • Tapauskäsittelytiimistä käytetään myös lyhennettä CSIRT. Siihen liittyy monitoimintoinen tiimi, joka vastaa kaikista tapauskäsittelyn osa-alueista, kuten uhan havaitsemisesta, eristämisestä ja poistamisesta, palautumisesta, sisäisestä ja ulkoisesta viestinnästä, dokumentoinnista ja rikosteknisestä analyysista.

  • Useimmat organisaatiot käyttävät SIEM- tai SOAR-ratkaisua uhkien tunnistamisen ja niiden käsittelyn apuna. Nämä ratkaisut yhdistävät yleensä tietoja useista järjestelmistä ja tunnistavat todelliset uhat koneoppimisen avulla. Ne voivat myös automatisoida tietyntyyppisten uhkien käsittelyn ennalta kuvattujen menettelyjen perusteella.

  • Tapauskäsittelyn elinkaareen kuuluu kuusi vaihetta:

    1. Valmistautuminen tehdään, ennen kuin tapaus on tunnistettu. Se sisältää määritelmän siitä, mitä organisaatio pitää tapauksena, sekä kaikki käytännöt ja menettelyt, joita tarvitaan hyökkäyksen estämistä, havaitsemisesta ja eliminoimista sekä siitä toipumista varten.
    2. Uhkien tunnistaminen on prosessi, jossa sekä ihmisanalyytikoiden että automaation avulla tunnistetaan, mitkä tapahtumat ovat todellisia uhkia, joihin on puututtava.
    3. Uhkien eristäminen tarkoittaa toimia, joihin tiimi ryhtyy eristääkseen uhat ja estääkseen niiden leviämisen muille liiketoiminnan osa-alueille. 
    4. Uhkien eliminointi käsittää toimenpiteet haittaohjelmien ja hyökkääjien poistamiseksi organisaatiosta.
    5. Toipumiseen ja palauttamiseen kuuluu järjestelmien ja koneiden uudelleenkäynnistäminen sekä menetettyjen tietojen palauttaminen. 
    6. Palaute ja parannukset ovat prosessi, jonka avulla tiimi käy läpi tapauksesta saadut opit ja soveltaa niitä käytäntöihin ja menettelyihin. 

Seuraa Microsoft Securitya