Tietomurroista opittua
tomi.tuominen@nsense.net
tomi.tuominen@nsense.net
tietomurroista
Page 9
sota
Parasta on voitto ilman taistelua --Sun Tzu
tutkimus ja kehitys
yhteiskunnan toiminnot
riippuvaisuus muista
edellinen esimerkki on täysin hypoteettinen -- toim. huom.
Tietomurto; tietomurrosta tuomitaan se, joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa käsitellään, varastoidaan tai siirretään tietoja.
tietomurron tutkinta
oikeassa elämässä
järjestelmä X alhaalla = N euroa / minuutti
tallennetun tiedon määrä > *
volatiili tieto
modernit hyökkäystekniikat
Esiselvitys Tunnistaminen Eristäminen Toipuminen Jälkitoimenpiteet
tavoite = toimintojen jatkuvuus + vahinkojen minimointi
tapaus: Organisaatio A
Tapaus: Organisaatio A Esiselvitys Kilpailija tietää täsmälleen asiakkaiden sopimus- ja laskutustiedot TOIMEKSIANTO: miten tiedot vuotaa ulos? Tunnistaminen Eristäminen Toipuminen Jälkitoimenpiteet
Tapaus: Organisaatio A Esiselvitys Tunnistaminen Kilpailija tietää täsmälleen asiakkaiden sopimus- ja laskutustiedot TOIMEKSIANTO: miten tiedot vuotaa ulos? Selvitetään missä tietoa säilytetään ja kenellä on pääsy siihen Selvitetään vuotokohta Eristäminen Toipuminen Jälkitoimenpiteet
Tapaus: Organisaatio A Esiselvitys Tunnistaminen Eristäminen Kilpailija tietää täsmälleen asiakkaiden sopimus- ja laskutustiedot TOIMEKSIANTO: miten tiedot vuotaa ulos? Selvitetään missä tietoa säilytetään ja kenellä on pääsy siihen Selvitetään vuotokohta Estetään CRM-järjestelmän sovellushaavoittuvuuden hyödyntäminen Poistetaan vanhat käyttäjätunnukset Toipuminen Jälkitoimenpiteet
Tapaus: Organisaatio A Esiselvitys Tunnistaminen Eristäminen Toipuminen Kilpailija tietää täsmälleen asiakkaiden sopimus- ja laskutustiedot TOIMEKSIANTO: miten tiedot vuotaa ulos? Selvitetään missä tietoa säilytetään ja kenellä on pääsy siihen Selvitetään vuotokohta Estetään CRM-järjestelmän sovellushaavoittuvuuden hyödyntäminen Poistetaan vanhat käyttäjätunnukset Annetaan henkilöstölle selkeät toimintaohjeet Lisätään lokituksen määrää, korjataan sovellushaavoittuvuus Jälkitoimenpiteet
Tapaus: Organisaatio A Esiselvitys Tunnistaminen Eristäminen Toipuminen Jälkitoimenpiteet Kilpailija tietää täsmälleen asiakkaiden sopimus- ja laskutustiedot TOIMEKSIANTO: miten tiedot vuotaa ulos? Selvitetään missä tietoa säilytetään ja kenellä on pääsy siihen Selvitetään vuotokohta Estetään CRM-järjestelmän sovellushaavoittuvuuden hyödyntäminen Poistetaan vanhat käyttäjätunnukset Annetaan henkilöstölle selkeät toimintaohjeet Lisätään lokituksen määrää, korjataan sovellushaavoittuvuus Lokituksen ja tunnuksien elinkaaren hallinnan korjaaminen Jälkiseuranta
tapaus: Organisaatio B
Tapaus: Organisaatio B Esiselvitys Hyökkääjä on saanut pääsyn julkiseen www-palvelimeen TOIMEKSIANTO: kuinka paljon jalansijaa hyökkääjällä on? Tunnistaminen Eristäminen Toipuminen Jälkitoimenpiteet
Tapaus: Organisaatio B Esiselvitys Tunnistaminen Hyökkääjä on saanut pääsyn julkiseen www-palvelimeen TOIMEKSIANTO: kuinka paljon jalansijaa hyökkääjällä on? Tietomurron varmistaminen Lokitietojen, toimintatapojen ja työkalujen analysointi Eristäminen Toipuminen Jälkitoimenpiteet
Tapaus: Organisaatio B Esiselvitys Tunnistaminen Eristäminen Hyökkääjä on saanut pääsyn julkiseen www-palvelimeen TOIMEKSIANTO: kuinka paljon jalansijaa hyökkääjällä on? Tietomurron varmistaminen Lokitietojen, toimintatapojen ja työkalujen analysointi Sovellusten ja asetusten koventaminen Palomuurisääntöjen tiukentaminen Toipuminen Jälkitoimenpiteet
Tapaus: Organisaatio B Esiselvitys Tunnistaminen Eristäminen Toipuminen Hyökkääjä on saanut pääsyn julkiseen www-palvelimeen TOIMEKSIANTO: kuinka paljon jalansijaa hyökkääjällä on? Tietomurron varmistaminen Lokitietojen, toimintatapojen ja työkalujen analysointi Sovellusten ja asetusten koventaminen Palomuurisääntöjen tiukentaminen AD-toimialueen uudelleenasennuksen suunnittelu Verkon segmentointi Jälkitoimenpiteet
Tapaus: Organisaatio B Esiselvitys Tunnistaminen Eristäminen Toipuminen Jälkitoimenpiteet Hyökkääjä on saanut pääsyn julkiseen www-palvelimeen TOIMEKSIANTO: kuinka paljon jalansijaa hyökkääjällä on? Tietomurron varmistaminen Lokitietojen, toimintatapojen ja työkalujen analysointi Sovellusten ja asetusten koventaminen Palomuurisääntöjen tiukentaminen AD-toimialueen uudelleenasennuksen suunnittelu Verkon segmentointi Merkittäviä operatiivisiä ja teknisiä muutoksia Tietoturvavaatimukset kiinteäksi osaksi ostoprosessia
opittua
tietoa on, mutta sitä ei hyödynnetä
incident response is hard
osumia tulee aina tärkeää on olla suunnitelma niiden varalle
ihmiset
(formula ei aja itsestään radalla)
koulutus
valta
prosessit
vaatimusmäärittely; tiedetään mitä voidaan odottaa
evaluaatiot; tiedetään vastaako tuote/palvelu vaatimuksia
terve järki; ei tehdä asioita vain sertifioinnin takia
tekniikka
perusteet kuntoon
lokitus
verkon segmentointi
ammattimainen ylläpito
puolustajan etu
yhteistyö
tiedon jakaminen
ratkaisujen jakaminen
JOHTOPÄÄTÖS
reaktiiviset toimenpiteet eivät pian enää riitä
voitto = oikeanlainen valmistautuminen
kiitos