Kriittisten järjestelmien kyberuhkia: joitakin tunnettuja tapahtumia

Samankaltaiset tiedostot
Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

Verkostoautomaatiojärjestelmien tietoturva

Kyberturvallisuudesta

Kyberuhat tavoittavat automaation

Verkostoautomaatiojärjestelmien tietoturva

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

- ai miten niin?

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Kyberturvallisuus kiinteistöautomaatiossa

Vesihuolto päivät #vesihuolto2018

KRP Kyberkeskus Ryk. Ismo Rossi p

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö

TEEMME KYBERTURVASTA TOTTA

Liiketoimintaa ICT-osaamisesta vahvuuksilla eteenpäin. Jussi Paakkari, teknologiajohtaja, VTT, R&D, ICT

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

#kybersää helmikuu 2018

TEEMME KYBERTURVASTA TOTTA

Varmaa ja vaivatonta viestintää kaikille Suomessa

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Käyttöjärjestelmät(CT50A2602)

Kyber- hyökkäykset. Mitä on #kyberturvallisuus #CyberSecurity.

#kybersää maaliskuu 2018

Ajankohtaiset kyberuhat terveydenhuollossa

VERKKOTIEDUSTELUN KOHTEET JA TEKNISET TIEDUSTELUMENETELMÄT

Harjoitustoiminta - Kyberturvallisuuden selkäranka? Mikko Tuomi, CISSP asiantuntija, JAMK / JYVSECTEC

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

IoT-järjestelmien parhaat turvallisuuskäytännöt mitä niissä on sairaaloille?

TARTTIS TEHDÄ JOTAKIN! Juha-Matti Heljaste F-Secure Oyj

Miten varmistat taloteknisten järjestelmien tietoturvallisuuden?

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

MIKÄ ON KYBERPUOLUSTUKSESSA RIITTÄVÄ TASO? Riittävän ratkaisun rakentaminen

- ai miten niin?

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Monipalveluverkot Tietoturvauhkia ja ratkaisuja. Technical Manager Erkki Mustonen, F-Secure Oyj

Kohdistettujen hyökkäysten havainnointi ja estäminen FINLAND. Jon Estlander Technology Consultant. RSA, the Security Division of EMC FINLAND

TEEMME KYBERTURVASTA TOTTA

Kyberturvallisuus yritysten arkipäivää

FuturaPlan. Järjestelmävaatimukset

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Hans Aalto/Neste Jacobs Oy

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Digitaalinen haavoittuvuus MATINE Tampere

#kybersää 08/2018 #kybersää

- ai miten niin?

#kybersää 05/2018 #kybersää

TIETOTURVALLISUUDESTA

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

HALLITSE HAAVOITTUVUUKSIA

Fennian tietoturvavakuutus

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Suomen kybervaste. Timo Kiravuo Aalto-yliopisto Sähkötekniikan korkeakoulu Tietoliikenne- ja tietoverkkotekniikan laitos

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Viestintäviraston Kyberturvallisuuskeskuksen palvelut tietoturvaloukkaustilanteissa. Kauto Huopio

Suojaamattomien automaatiolaitteiden kartoitus 2016

- muotisana vai reaalimaailman ilmiö?

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus

Palvelunestohyökkäykset

Neljännen sukupolven mobiiliverkon tietoturvakartoitus Operaattorin näkökulma

Toshiba EasyGuard käytännössä: Portégé M300

#kybersää 06/2018 #kybersää

Poikkeavuuksien havainnointi (palvelinlokeista)

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

#kybersää 09/2018 #kybersää

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

Esimerkki: Uhkakartoitus

Sosiaalinen teknologia mullistaa työryhmätyöskentelyn pilvessä. Aki Antman / Sulava Oy

Top10 tietoturvauhat ja miten niiltä suojaudutaan. Valtorin asiakaspäivä Johtava asiantuntija Tommi Simula

TIETOTURVAKATSAUS 1/2009

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

Tietoturvaloukkausten hallinta

Teollisuuden uudistuminen - innovaatiot uuden nousun mahdollistajana

TIETOPAKETTI EI -KYBERIHMISILLE

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Mobiilimaailma ja tietoturva. Erkki Mustonen, tietoturva-asiantuntija F-Secure Oyj

Teollisuusautomaation standardit. Osio 2:

- ai miten niin?

Tikon Ostolaskujenkäsittely versio SP1

Tietoturvavinkkejä pilvitallennuspalveluiden

Vaivattomasti parasta tietoturvaa

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

#kybersää tammikuu 2018

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Suojaamattomia automaatiojärjestelmiä

Kryptovaluuttoista ja lohkoketjuista osa 2. Jyväskylä Henri Heinonen

PK-yrityksen tietoturvaopas

Tietoturva SenioriPC-palvelussa

Transkriptio:

VTT TECHNICAL RESEARCH CENTRE OF FINLAND LTD Kriittisten järjestelmien kyberuhkia: joitakin tunnettuja tapahtumia Juha Pärssinen, VTT

VTT Cyber Security VTT auttaa yrityksiä kehittämään luotettavia alustoja ja palveluja sekä varmistamaan tietoturvan riittävän tason jo kehitysprosessin alkuvaiheessa. VTT:n palvelut auttavat varmistamaan teollisen tuotannon kyberturvallisuuden ja häiriöttömän jatkuvuuden. VTT:llä on syvällistä osaamista sovelletusta kryptografiasta ja lohkoketjuista, teollisuuden kyberturvallisuudesta, riskianalyyseistä ja tietoturvatestauksesta sekä sulautettujen järjestelmien tietoturvasta. http://www.vttresearch.com/services/digital-society/cyber-security 29/05/2018 2

Esityksen tavoite Tässä esityksessä on tarkoitus kertoa joistakin tunnetuista tapahtumista ja arvioida millaisia hyökkääjien niiden takana voisi olla. Lopuksi kerrotaan hieman puolustautumisesta. 29/05/2018 3

Maailma jossa elämme 4

Suojelupoliisin vuosikirja 2017 Valtiollisen vakoilun uhka ei kohdistu ainoastaan Suomen valtion päätöksentekokoneistoon, vaan myös yksityisiin yrityksiin. Vuonna 2017 Suojelupoliisin tietoon tuli useita tapauksia, joissa oli ilmeistä, että tunkeutumisen takana oli suunnitelmallisesti toimiva valtio. 29/05/2018 5

Suojelupoliisin vuosikirja 2017 Valtiollisen vakoilun uhka ei kohdistu ainoastaan Suomen valtion päätöksentekokoneistoon, vaan myös yksityisiin yrityksiin. Vuonna 2017 Suojelupoliisin tietoon tuli useita tapauksia, joissa oli ilmeistä, että tunkeutumisen takana oli suunnitelmallisesti toimiva valtio. Vakoilun kohteena on myös suomalainen energiasektori sekä energiasektorin tuotekehitysyritykset. Niihin kohdistuu koko ajan valtiotaustaista kartoitusta. Suojelupoliisin arvion mukaan kartoituksen tekijä ei ole kiinnostunut anastamaan näiltä yrityksiltä tietoa. Sen sijaan tarkoituksena on etsiä kriittisen infrastruktuurin järjestelmistä sellaisia haavoittuvuuksia ja - ominaisuuksia, joita hyväksikäyttäen järjestelmät voitaisiin kriisitilanteessa lamauttaa. http://www.supo.fi/julkaisut/esitteet 29/05/2018 6

Kyberturvakeskuksen vuosiraportti 2017 Esineiden internetin uhka-arvio yrityksille (s. 11) Vaikuttaminen: IoT-bottiverkoilla toteutetuilla palvelunestohyökkäyksillä häiritään yritysten liiketoimintaa. Raha: Kiristyshaittaohjelmat ja virtuaalivaluuttojen louhiminen IoTlaitteilla. Tieto: Laitteiden keräämät tietovarannot tietomurtojen kohteena. Tietoja päätyy julkisuuteen vahingossa. Väliresurssi: Suojaamattomien laitteiden käyttö palveluihin ja muihin organisaatioihin kohdistettuihin palvelunestohyökkäyksiin. Suojaamattomat IoT-laitteet voivat muodostaa hyökkääjälle pääsyn yrityksen sisäverkkoon. https://www.viestintavirasto.fi/tilastotjatutkimukset/katsauksetjaartikk elit/2018/tietoturvanvuosi2017-julkaisu0012018j.html 29/05/2018 7

Esimerkkejä vapaasti saatavilla olevista työkaluista Shodan on verkotettuihin laitteisiin (esim. palvelin tai jääkaappi) keskittynyt hakukone joka mahdollistaa kaikkien yleisessä verkossa olevien laitteiden löytämisen. Shodanin robotit arpovat seuraavan kokeiltavan IP-osoitteen ja portin: mahdollinen vastaus indeksoidaan ja luokitellaan. Indeksiin talletetaan osoitetiedot, haettu banneri sekä mahdolliset metatiedot esim. sijainti. Käyttäjän haku kohdistuu indeksiin, ei suoraan laitteeseen. 29/05/2018 8

Esimerkkejä vapaasti saatavilla olevista työkaluista Shodan on verkotettuihin laitteisiin (esim. palvelin tai jääkaappi) keskittynyt hakukone joka mahdollistaa kaikkien yleisessä verkossa olevien laitteiden löytämisen. Shodanin robotit arpovat seuraavan kokeiltavan IP-osoitteen ja portin: mahdollinen vastaus indeksoidaan ja luokitellaan. Indeksiin talletetaan osoitetiedot, haettu banneri sekä mahdolliset metatiedot esim. sijainti. Käyttäjän haku kohdistuu indeksiin, ei suoraan laitteeseen. Metasploit on avoimen lähdekoodin projekti. Projekti tarjoaa tietoa tietoturva-aukoista. Tunnettu erityisesti Metasploit Frameworkista joka on tarkoitettu hyökkäyskoodin kehittämiseen ja suorittamiseen. 29/05/2018 9

Esimerkkejä vapaasti saatavilla olevista työkaluista Shodan on verkotettuihin laitteisiin (esim. palvelin tai jääkaappi) keskittynyt hakukone joka mahdollistaa kaikkien yleisessä verkossa olevien laitteiden löytämisen. Shodanin robotit arpovat seuraavan kokeiltavan IP-osoitteen ja portin: mahdollinen vastaus indeksoidaan ja luokitellaan. Indeksiin talletetaan osoitetiedot, haettu banneri sekä mahdolliset metatiedot esim. sijainti. Käyttäjän haku kohdistuu indeksiin, ei suoraan laitteeseen. Metasploit on avoimen lähdekoodin projekti. Projekti tarjoaa tietoa tietoturva-aukoista. Tunnettu erityisesti Metasploit Frameworkista joka on tarkoitettu hyökkäyskoodin kehittämiseen ja suorittamiseen. AutoSploit yhdistää kaksi edellistä muutamalla sadalla rivillä Python koodia. https://www.wired.com/story/autosploit-tool-makes-unskilled-hacking-easier-than-ever/ 29/05/2018 10

Joitakin tapahtumia viime vuosilta... 11

Kosto: Maroochy Shiren jätevuodot Pettynyt työnhakija aiheutti n. 800 000 litran jätevesien vuotamisen puistoihin ja jokiin keväällä 2000. Henkilö oli aikaisemmin työskennellyt alihankkijana yrityksessä joka oli asentanut radio-ohjattavat etäohjausjärjestelmät. Aiheutti hankkimallaan radiolaitteistolla ja kannettavalla tietokoneella toimintahäiriöitä pumppuja ohjaaviin tietokoneisiin sekä esti vikailmoitukset valvomolle. Käytti oikeaa hallintaohjelmisto. https://www.mitre.org/sites/default/files/pdf/08_114 5.pdf https://en.wikipedia.org/ wiki/file:maroochy_lga _Qld.png 29/05/2018 12

Valtiollista toimintaa: STUXNET Ensimmäinen tunnettu ICS (PLC) järjestelmään kohdistettu haittaohjelma. Havaittu 2010, alkanut ehkä jo 2006. STUXNET oli kohdennettu vain yhteen tiettyyn järjestelmään maailmassa: sentrifugit Iranissa Natanzin eristetyssä (air-gapped) ydinlaitoksessa. Ensimmäiset versiot tiedustelivat kohdetta. STUXNET osaa käyttää peer-to-peer kommunikointia. Myöhemmät versiot tuhosivat kohteen. Uudemmat versiot osasivat päivittää vanhemmat versiot. Ei aktivoidu missään muualla. https://en.wikipedia.org/wiki/file:natanz_nuclear.jpg 29/05/2018 13

Valtiollista toimintaa: STUXNET Oletetut leviämistavat: USB tai muu siirrettävä muistilaite Tartutettu kannettava tietokone Käytti neljää Windowsin 0-päivä haavoittuvuutta. Etsi verkosta Siemens Step7 ohjelmistoja. Jos löytyi tunkeutui Siemens WinCC SCADA ohjelmistoon ja etsi tietynlaisia PLC:tä. Muuten pysyi nukkuvana tai poisti itsensä. https://en.wikipedia.org/wiki/file:natanz_nuclear.jpg https://en.wikipedia.org/wiki/file:s7300.jpg 29/05/2018 14

Kybersota: Ukrainain sähköverkot 23.12.2015 Ukrainassa 230 000 taloutta jäi ilman sähköä 3 5 tunniksi. Hyökkäyksen valmistelun aikana lähettiin ylläpitäjille saastutettuja MS Office tiedostoja, joiden kautta asennettiin Black Energy 3 haittaohjelma. Valmistelu alkoi jo n. 6 kk ennen hyökkäystä, joka kesti vain 30 min. Mitään haavoittuvuutta ei käytetty, käyttäjä huijattiin aktivoimaan makrot. https://www.sans.org/newsletters/newsbites/xviii/6#200 29/05/2018 15

TRISIS (TRITON/HATMAN) Ensimmäinen tunnettu haittaohjelma joka hyökkäsi turvalaitteita (Safety Instrumented System, SIS) vastaan. Havaittu marraskuussa 2017. Kohdejärjestelmä Schneider Electric Triconex SIS Yksi havaittu kohde Lähi-idässä. Tarkasti räätälöity kohteen tietylle järjestelmälle. Toteutettu Python-ohjelmointikielellä. Levittämistapa ei ole tarkkaan tunnettu. Haittaohjelman pitää päästä yhteyteen SIS järjestelmän kanssa. Triconex SIS laitteen fyysinen kytkin pitää olla asennossa program mode. Ei käytä järjestelmän haavoittuvuuksia vaan sen normaalia toiminnallisuutta. Tavoite: Kohteen häiritseminen (sammuttaminen) vai tuhoaminen? 29/05/2018 16

Kiristys: WanaCrypt0r 12.5.2017 perjantaina alkoi massiivinen ransomware hyökkäys. Viikonlopun aikana jopa 200 000 infektiota yli sadassa maassa. Ensimmäinen jalansija sisäverkkoon sähköpostin mukana sen jälkeen hyödynsin Microsoftin järjestelmissä olevaa jo paikattua haavoittuvuutta MS17-010 (SMB). Hyökkääjät saivat lunnaina 22.5.2017 mennessä vain 48.9 BTC ($100 000 USD) (@actual_ransom). 29/05/2018 17 http://thehackernews.com/2017/05/how-to-wannacryransomware.html https://blog.malwarebytes.com/ cybercrime/2017/05/wanacrypt0 r-ransomware-hits-it-big-justbefore-the-weekend/

Uusien (ei laillisten) palvelujen luominen: Mirai Mirai-haittaohjelma oli erikoistunut erilaisten verkkoon kytkettyjen laitteiden (IoT) saastuttamiseen. Sen alkuperäinen versio etsii verkosta laitteiden internetiin avoimia palveluita ja murtautuu niihin kokeilemalla lukuisia eri tunnus/salasanayhdistelmiä. Lähdekoodi julkaistiin myöhemmin hakkerifoorumeilla. Mirailla luotua bottiverkkoa käytettiin palvelunestohyökkäyksiin. Lokakuussa 2016 hyökkäys nimipalvelua vastaan aiheutti vakavia häiriöitä mm. Twitterille, Netflixille, Redditille ja Airbnb:lle https://www.theregister.co.uk/2016/10/21/dyn_dns_ddos_explained/ Suomessa havaittiin Mirain saastuttaneen 2016 noin 16 000 laittetta. https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2016/11/t tn201611291741.html 29/05/2018 18

Resurssien hyväksikäyttö: WannaMine Helmikuussa 2018 haittaohjelma iski Lahden kaupungissa mm. terveysasemien potilastietojärjestelmiin. Haittaohjelman tavoite oli kryptovaluuttojen luvaton louhiminen. Kohde ei sinänsä ollut kiinnostava, vain tarjolla oleva laskentakapasiteetti. https://yle.fi/uutiset/3-10072810 https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/02/t tn201802131503.html Vastaavien hyökkäysten epäillään tulevaisuudessa ohittavan kiristyshaittaohjelmat. Tietoturvatutkijat Wandera-yrityksestä väittävät havainneensa tällaisessa toiminnassa 287 prosentin kasvun loka- ja marraskuun välillä 2017. https://www.tivi.fi/kaikki_uutiset/kiristyshaittaohjelmiakin-pahempi-riesakasvoi-287-kuukaudessa-6697485 29/05/2018 19

Epäonnistunut testaus: verkkoskannaus SCADA verkossa tehty verkkoskannaus (Ping sweep) aiheutti kolmimetrisen robottikäden 180 asteen heilahduksen. Ei henkilövahinkoja. PCS verkossa tehty verkkoskannaus aiheutti mikropiirituotannon jumittumisen. Materiaalia tuhoutui n. 50 000 USD arvosta. Teollisuusympäristössä käytetyt laitteet eivät välttämättä kestä edes hyväntahtoista verkkotutkimusta. https://http://energy.sandia.gov/wpcontent//gallery/uploads/sand_2005_2846p.pdf https://en.wikipedia.org/wiki/file:automati on_of_foundry_with_robot.jpg 29/05/2018 20

Vika: Helsingin pörssin käyttökatkos Ei kyberhyökkäys, mutta hyvä esimerkki siitä miten vaikutusta voi aiheutua epäsuorasti. Todennäköisesti tarpeeton sammutusjärjestelmän käynnistyminen keskiviikkona 18.4.2018 rikkoi kolmanneksen pörssin palvelimista. Syynä kaasupanoksen aiheuttama kova ääni- ja paineaalto. Pörssikauppa ei käynnistynyt viiteen tuntiin. Seuraavat kaksi päivää kauppaa tehtiin varajärjestelmällä. https://www.hs.fi/talous/art-2000005648385.html https://fi.wikipedia.org/wiki/tiedost o:cabinet_asile.jpg 29/05/2018 21

Hyökkääjien luokittelua... 22

A. Opportunistit Hyökkääjien mahdollinen luokittelu Pienellä budjetilla toimivat pikkurikolliset. Etsivät haavoittuvia kohteita ja käyttävät yleisiä, kohdentamattomia hyökkäyksiä. B. Edistyneet hyökkääjät (APT - Advanced Persistent Threats) Toiminta ammattimaista: Teollisuusvakoilijat, valtiolliset toimijat, järjestäytynyt rikollisuus ja erilaiset (h)aktivistit. Käyttävät paljon aikaa ja rahaa hyökkäyksen kohdentamiseen. Pyrkivät hankkimaan arvokasta tietoa, aiheuttamaan taloudellisia menetyksiä ja/tai tuhoa kohteelle. 29/05/2018 23

Hyökkääjien mahdollinen luokittelu A. Opportunistit (Adequate Pernicious Toerags) Pienellä budjetilla toimivat pikkurikolliset. Etsivät haavoittuvia kohteita ja käyttävät yleisiä, kohdentamattomia hyökkäyksiä. B. Edistyneet hyökkääjät (APT - Advanced Persistent Threats) Toiminta ammattimaista: Teollisuusvakoilijat, valtiolliset toimijat, järjestäytynyt rikollisuus ja erilaiset (h)aktivistit. Käyttävät paljon aikaa ja rahaa hyökkäyksen kohdentamiseen. Pyrkivät hankkimaan arvokasta tietoa, aiheuttamaan taloudellisia menetyksiä ja/tai tuhoa kohteelle. 29/05/2018 24

Hyökkääjien mahdollinen luokittelu A. Opportunistit (Adequate Pernicious Toerags) Pienellä budjetilla toimivat pikkurikolliset. Etsivät haavoittuvia kohteita ja käyttävät yleisiä, kohdentamattomia hyökkäyksiä. #WanaCryt0r B. Edistyneet hyökkääjät (APT - Advanced Persistent Threats) Toiminta ammattimaista: Teollisuusvakoilijat, valtiolliset toimijat, järjestäytynyt rikollisuus ja erilaiset (h)aktivistit. Käyttävät paljon aikaa ja rahaa hyökkäyksen kohdentamiseen. Pyrkivät hankkimaan arvokasta tietoa, aiheuttamaan taloudellisia menetyksiä ja/tai tuhoa kohteelle. Stuxnet, Ukraina, 29/05/2018 25

Hyökkääjien mahdollinen luokittelu A. Ulkopuoliset hyökkääjät yrittävät usein teeskennellä kuuluvansa sisäpiiriin tai johonkin muuhun luotettuun tahoon. B. Oikeat sisäpiiriläiset turhautuneet työntekijät (myös entiset), alihankkijat ja muut tiloissa luvallisella asialla olevat toimijat. 29/05/2018 26

Budjetti? Mitkä ovat hyökkääjän resurssit? Naapurin teini vai valtiollinen toimija? Henkilöstön taso? Alan huiput hankittu töihin? Olemmeko itse kouluttaneet heidät? Kaikki tieto on saatavissa jos on aikaa... Käytettävissä oleva aika? Tunteja, päiviä, viikkoja vai vuosia? 29/05/2018 27

Raha? Kiristys? Myytävää tietoa? Resurssien käyttö? Mikä on hyökkääjän tavoite? 29/05/2018 28

Raha? Kiristys? Myytävää tietoa? Resurssien käyttö? Mikä on hyökkääjän tavoite? Häirintä/kosto/tuho? Kohteena yritys? Kohteena asiakkaat? Kohteena yhteiskunta? 29/05/2018 29

Kuinka paljon kannattaa laittaa aikaa hyökkääjien analysointiin? 29/05/2018 30

Kuinka paljon kannattaa laittaa aikaa hyökkääjien analysointiin? Jos järjestelmään on pääsy niin aina löytyy joku... 29/05/2018 31

Kyberhyökkäyksen elementit... 32

Tulen kolmio Palamiseen tarvitaan kolme elementtiä: Happea Riittävä lämpötila Syttyvää materiaali Minkä tahansa elementin poistaminen estää syttymisen. https://fi.wikipedia.org/wiki/palaminen 29/05/2018 33

Kyberhyökkäyksen kolmio Onnistuneeseen kyberhyökkäykseen tarvitaan kolme elementtiä: Uhka (threat) Hyödyntävä menetelmä (exploit) Haavoittuvuus (vulnerability) Minkä tahansa elementin poistaminen estää hyökkäyksen. Kirjasta: Hacking Exposed Industrial Control Systems. 29/05/2018 34

Hyödyntävän menetelmän poistaminen Poistaminen on mahdotonta. Muista esimerkkityökalut: Shodan Metasploit Framework. Ja paljon muita Menetelmien tunteminen ja ymmärtäminen helpottaa puolustamista ja vaikutusten lieventämistä (mitigation). 29/05/2018 35

Uhan poistaminen Poistaminen on (käytännössä) mahdotonta. Luokittelemalla ja tutkimalla eri uhkien toimintaa ja motiiveja voidaan puolustamista helpottaa. Luokitteluja: Ulkoinen vai sisäinen (myös alihankkijat). Opportunisti vai kohdennettu hyökkäys. Rajalliset vai rajattomat resurssit. Tavoite: raha (rikolliset) vai vaikuttavuus (haktivistit ja valtiolliset toimijat). 29/05/2018 36

Uhan poistaminen Poistaminen on (käytännössä) mahdotonta. Luokittelemalla ja tutkimalla eri uhkien toimintaa ja motiiveja voidaan puolustamista helpottaa. Luokitteluja: Ulkoinen vai sisäinen (myös alihankkijat). Opportunisti vai kohdennettu hyökkäys. Rajalliset vai rajattomat resurssit. Tavoite: raha (rikolliset) vai vaikuttavuus (haktivistit ja valtiolliset toimijat). 29/05/2018 37

Haavoittuvuuden rajoittaminen Pääsyä järjestelmään eli haavoittuvuudelle voidaan rajoittaa. Pääsyn- ja kulunvalvonta. Käyttöoikeuksien rajaaminen. Ajettavien ohjelmien rajoitukset Virustorjunta Sallittujen/kiellettyjen ohjelmien lista Yhteyksien rajoittaminen ja seuraaminen. Segmentointi Palomuurit ja datadiodit 29/05/2018 38

Haavoittuvuuden rajoittaminen tai poistaminen Pääsyä järjestelmään eli haavoittuvuudelle voidaan rajoittaa. Pääsyn- ja kulunvalvonta. Käyttöoikeuksien rajaaminen. Ajettavien ohjelmien rajoitukset Virustorjunta Sallittujen/kiellettyjen ohjelmien lista Yhteyksien rajoittaminen ja seuraaminen. Segmentointi Palomuurit ja datadiodit Haavoittuvuus voidaan poistaa. Konfiguraatioiden korjaaminen Ohjelmiston päivittäminen (korjaaminen) 29/05/2018 39

Pari sanaa standardeista... 40

IEC-62443 Standardisarja IEC 62443 Teollisuuden tietoverkot. Verkkojen ja järjestelmien tieoturvallisuus on laadittu ISA:n (International Society of Automation) pohjalta. Suomeksi julkaistu (myös SFS- Käsikirja 631-3): IEC/TS 62443-1-1:fi Osa 1-1: Terminologia, käsitteet ja mallit SFS-IEC 62443-2-1 Osa 2-1: Tietoturvallisuusohjelman perustaminen teollisuusautomaatio- ja ohjausjärjestelmiä varten IEC/TR 62443-3-1:fi Osa 3-1: Tietoturvateknologiat teollisuusautomaatio- ja ohjausjärjestelmille https://en.wikipedia.org/wiki/file:isa-62443_standard_series_2012.png https://sales.sfs.fi/fi/index/tuotteet/sfs/sfs/id3/6/100113442.html.stx 29/05/2018 41

TECHNOLOGY FOR BUSINESS

Lähteitä S. Hilt, K. Wilhoit, A. Shbeeb, B. Singer, C. Bodungen, Hacking Exposed Industrial Control Systems: ICS and SCADA Security Secrets & Solutions, McGraw-Hill, 2016. John Matherly, Complete Guide to Shodan, http://leanpub.com/shodan Andy Greenberg, Security News This Week: 'AutoSploit' Tool Makes Unskilled Hacking Easier Than Ever, https://www.wired.com/story/autosploit-tool-makes-unskilledhacking-easier-than-ever/ Metasploit https://fi.wikipedia.org/wiki/metasploit Dragos Inc., TRISIS Malware, https://dragos.com/blog/trisis/trisis-01.pdf 29/05/2018 43

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute