Live demo miten tietomurto toteutetaan?

Transkriptio

1 Live demo miten tietomurto toteutetaan? Jussi Perälampi, Senior Security Consultant Saku Vainikainen, Lead Consultant Nixu Oy Nixu

2 Esitys Kohderyhmän valinta Kohdennettu viesti Demo tietomurrosta Mitä tapahtuu seuraavaksi? Tilanne hallinnassa vai onko? Varautuminen ja ennakkotoimet Toiminta tilanteessa Nixu

3 Tämän esityksen sisältö on täysin fiktiivinen, mutta teknisesti toteutettavissa. Kaikki esityksessä näytetty valtiohallinnon materiaali on julkisesti saatavilla.

4 LinkedIn boikotointi ei auta Nixu

5 Asia joka mahdollisesti vaikuttaa työhösi From: Jussi Perälampi (Virasto) Date: keskiviikko 2. Huhtikuuta ! To: Hallinto Henkilö Subject: Talous- ja henkilöstöhallinnon uudistuksen jatkovaiheet valtion virastoissa!! Tiedoksi : Hallintohenkilöstö! Liitteenä päivitetty versio! Ohjeistus_kirje_ pdf! A25EE282B79F%7D/82065! Terveisin,! Jussi Perälampi!!! Nixu

6 Ihan asiallisen oloinen dokumentti Nixu

7 Näin se etenee Jonkun työ on päästä muiden järjestelmiin Sähköposti, web -sivu ja USB laite Asentuu ja piilottaa itsensä Keylogger Dumppaa muistista salasanan Varastaa salasana HASH:t Soittaa kotiin Nixu

8 Tietomurto havaitaan Haitake löytää tiedostojaon ja saastuttaa tiedostoja toisella haitakkeella Tiedostojen käyttäjien koneet saastuvat Koneet soittavat kotiin HAVARO tunnistaa C&C liikenteen ja tekee hälytyksen Nixu

9 Kaikki kunnossa? HAVAROn tietojen perusteella tunnistetaan saastuneet työasemat Saastuneet työasemat eristetään karanteeni verkkoon ja aloitetaan DFIR Tiedostopalvelin havaitaan lähteeksi ja se eristetään. Itse palvelinkäyttöjärjestelmä ei ole saastunut, vain tiedostot. Onko tutkinta valmis kun ei tule enää hälytyksiä? Nixu

10 Analysointi Miksi tiedostot saastuivat alun perin? Tiedostopalvelimen lokeista löytyy poikkeavia tapahtumia koskien yksittäistä työasemaa. Henkilöllä joka käyttää ko. työasemaa on pääsy laajaan materiaaliin. AV skannaus koneella ei tuota havaintoja, homma kunnossa? Koneesta otetaan muistidumppi josta löytyy tuntematon haittaohjelma joka analysoidaan. Piiloutuminen, persistenssi, lisätoiminnallisuudet, kuinka etäkäytettään, URL:t ja IP:t, Nixu

11 Jatkotoimet Keylogger, salasanojen dumppaus ja HASH varkaus à salasanat vaihtoon Lokien tarkastus alkaa! Mistä lokeista ja mitä lokeista pitäisi etsiä? Tekninen jälkivalvonta ja itse hyökkäyksen analysointi tärkeää Nixu

12 Kyberissä tapahtui Läheltä piti? Varautuminen, ennakkotoimet ja toiminta tilanteessa Nixu

13 Tiedettiinkö mitä tapahtuu? vaa6mustenmukaisuuden valvonta pykälätapahtuma indikoi vaa6musten vastaista toimintaa tai sellaisen uhkaa petosten valvonta petostapahtuma indikoi petollista toimintaa tai sellaisen uhkaa palveluneston valvonta lamautustapahtuma indikoi valvo7ua toimintaa estävää toimintaa tai sellaisen uhkaa 6etomurtojen valvonta murtotapahtuma indikoi 6etomurtoa tai sellaisen uhkaa 6etovuotojen valvonta vuototapahtuma indikoi 6etovuotoa tai sellaisen uhkaa haavoi7uvuuden valvonta haavatapahtuma indikoi haavoi7uvuu7a ja sellaisen vakavuu7a infrastruktuurin valvonta infratapahtuma indikoi poikkeavuu7a tai muuta tarkemmin kohdistamatonta tapahtumaa ja sellaisen vakavuu7a pykälä- tapahtuma petos- tapahtuma lamautus- tapahtuma murto- tapahtuma vuoto- tapahtuma haava- tapahtuma infra- tapahtuma normaali normaali normaali normaali normaali normaali normaali ei havaintoja tai lievä uhka/vakavuus huomio huomio huomio huomio huomio huomio huomio uhkataso tai tilanteen vakavuus on kohonnut mutta tilanteeseen ei tarvitse vielä varautua varaudu varaudu varaudu varaudu varaudu varaudu varaudu uhkataso tai tilanne on vakava ja tilanteeseen varautuminen täytyy aloittaa hälytys hälytys hälytys hälytys hälytys hälytys hälytys tilanne vaatii aktiivisia toimenpiteitä Nixu

14 Tiedettiinkö mikä on vaarassa/vahingoittunut? Ministeriö X Val6on toiminta Ministeriö Y Virasto X1... Virasto Xn Perustehtävä #1 Perustehtävä 2... Perustehtävä #n Virasto Y1... Virasto Yn Laitos 1... Laitos Xnn Toiminto 1 Toiminto 2 Toiminto 3... toiminto #n Laitos 1... Laitos Ynn Vaikuttavuusarvio ICT-infra ICT- palvelu 1 ICT- palvelu 2... ICT- palvelu #n ICT- palvelu #n taustapalvelu #1... taustapalvelu #n TIETOMURTO! TIETOVUOTO! taustapalvelu #nn... taustapalvelu #nm Nixu

15 Hoidettiinko tärkein ensin? Nixu

16 Tiedettiinkö kuka päättää? Kun: tilanteeseen liittyy rikos tilanteella on julkisuusarvoa toimenpiteet vaativat hallinnonalojen välistä yhteistyötä toimenpiteet vaativat rahoitusta yli NN k toimenpiteet vaikuttavat negatiivisesti kriittisten kohteiden luottamuksellisuuteen, eheyteen ai saatavuuteen Kun: Tarvitaan ulkopuolista asiantuntija-apua tilanteen selvittämiseen (esim. CSIRT ja forensiikkapalveluita) Nixu

17 Kiitos! Nixu Oy P.O. Box 39 (Keilaranta 15), FI Espoo, Finland Tel , Fax , nixu.sales@nixu.com Nixu