Live demo miten tietomurto toteutetaan?

Samankaltaiset tiedostot
Tietoturvaloukkausten hallinta

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

TIETOTURVA. Miten suojaudun haittaohjelmilta

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Standardit tietoturvan arviointimenetelmät

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

MIKÄ ON KYBERPUOLUSTUKSESSA RIITTÄVÄ TASO? Riittävän ratkaisun rakentaminen


Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

Fennian tietoturvavakuutus

Varmaa ja vaivatonta viestintää kaikille Suomessa

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Kyberturvallisuuden implementointi

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

Tietoturvavinkkejä pilvitallennuspalveluiden

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Storage IT EASY Tiedostopalvelimen kustomointi

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

TEEMME KYBERTURVASTA TOTTA

VALVO JA VARAUDU PAHIMPAAN

ICT-info opiskelijoille

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

ICT-info opiskelijoille. Syksy 2017

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

ICT-info opiskelijoille

Julkishallinnon tietoturvatoimittaja

Käyttöoppaasi. F-SECURE MOBILE SECURITY 6 FOR ANDROID

T I I N A P A L O N I I T T Y 7 m a r r a s k u u t a Weser-ratkaisun merkitys lupaharkinnassa

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

EASY PILVEN Myynnin opas - Storage IT

Diplomityöseminaari Teknillinen Korkeakoulu

Sähköpostitilin käyttöönotto

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Google Cloud Print -opas

Yleinen ohjeistus Windows tehtävään

Tanja-kälidemo

SantaCare Managed WebSecurity Palvelu turvallista Web-liikennettä varten. Mikko Tammiruusu Security Consultant

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Ajankohtaiset kyberuhat terveydenhuollossa

MITEN TOTEUTAN TIETOSUOJAN TEHOKKAASTI?

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

TEEMME KYBERTURVASTA TOTTA

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Verkostoautomaatiojärjestelmien tietoturva

1. Dokumentin tarkoitus Aikataulu ja projektin läpivienti Aikataulu Työmäärä ja kustannukset... 4

TEMPNET-OLOSUHDEHÄLYTYKSET

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

AirPrint-opas. Tietoja AirPrintistä. Asetustoimet. Tulostaminen. Liite

Sonera Desktop Security Asennusohje 2005

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Talousteemaryhmän väliraportti

Tuunix Oy Jukka Hautakorpi

Digitaalisen palvelun luoman asiakasarvon tunnistaminen

F-Secure Mobile Security. Android

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

AUTA-hanke Miten autamme heitä, jotka eivät itse pysty käyttämään digitaalisia palveluja? Johanna Nurmi

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Tiedostojen toimittaminen FINASiin 1(7)

The Truth in Information

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

TIETOTURVAOHJE ANDROID-LAITTEILLE

WordPress Multisiten varmuuskopiointi

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Opas Logitech Harmony 525 asennusohjelmistoon

Kun pelikaani on jo turbiinissa

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Varmuuskopiointi Perusteet ja miksi ja miten

CSC Tieteen tietotekniikan keskus Oy

Vastuullinen liikenne. Yhteinen asia.

Hirviö Järjestelmätestauksen testitapaukset ja suoritusloki I1

BiiSafe Buddy Ohje. (C) Copyright 2017

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

Verkkorikosten tutkinta. Nixu Oy:n ja FireEye Inc. aamiaisseminaari Rikoskomisario Timo Piiroinen Keskusrikospoliisi

Wi-Heat app. Wifi-Ohjaus ilma/ilma

TAISTO19-harjoitus. Skype-info

TEEMME KYBERTURVASTA TOTTA

Videovalvonta ja langattomuus. Antti Laine Toimitusjohtaja

Mobiilimaailma ja tietoturva. Erkki Mustonen, tietoturva-asiantuntija F-Secure Oyj

Ensisijaisesti sähköisesti tarjottavien palvelujen tiekartta

Monitoimilaitteen osto-opas

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

N300 WiFi USB Micro -sovitin (N300MA)

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö

Vertaisopastuksella verkkoon

Transkriptio:

Live demo miten tietomurto toteutetaan? Jussi Perälampi, Senior Security Consultant Saku Vainikainen, Lead Consultant Nixu Oy 2.4.2014 1.4.2014 Nixu 2014 1

Esitys Kohderyhmän valinta Kohdennettu viesti Demo tietomurrosta Mitä tapahtuu seuraavaksi? Tilanne hallinnassa vai onko? Varautuminen ja ennakkotoimet Toiminta tilanteessa 1.4.2014 Nixu 2014 2

Tämän esityksen sisältö on täysin fiktiivinen, mutta teknisesti toteutettavissa. Kaikki esityksessä näytetty valtiohallinnon materiaali on julkisesti saatavilla.

LinkedIn boikotointi ei auta 1.4.2014 Nixu 2014 4

Asia joka mahdollisesti vaikuttaa työhösi From: Jussi Perälampi (Virasto) jussi.peralampi@virasto.fi>! Date: keskiviikko 2. Huhtikuuta 2014 12.06! To: Hallinto Henkilö <hallinto.henkilo@virasto.fi>! Subject: Talous- ja henkilöstöhallinnon uudistuksen jatkovaiheet valtion virastoissa!! Tiedoksi : Hallintohenkilöstö! Liitteenä päivitetty versio! Ohjeistus_kirje_210610.pdf! http://www.virasto.fi/download/noname/%7bd28953d5-a42f-4c15-a12d- A25EE282B79F%7D/82065! Terveisin,! Jussi Perälampi!!! 1.4.2014 Nixu 2014 5

Ihan asiallisen oloinen dokumentti 1.4.2014 Nixu 2014 6

Näin se etenee Jonkun työ on päästä muiden järjestelmiin Sähköposti, web -sivu ja USB laite Asentuu ja piilottaa itsensä Keylogger Dumppaa muistista salasanan Varastaa salasana HASH:t Soittaa kotiin 1.4.2014 Nixu 2014 7

Tietomurto havaitaan Haitake löytää tiedostojaon ja saastuttaa tiedostoja toisella haitakkeella Tiedostojen käyttäjien koneet saastuvat Koneet soittavat kotiin HAVARO tunnistaa C&C liikenteen ja tekee hälytyksen 1.4.2014 Nixu 2014 8

Kaikki kunnossa? HAVAROn tietojen perusteella tunnistetaan saastuneet työasemat Saastuneet työasemat eristetään karanteeni verkkoon ja aloitetaan DFIR Tiedostopalvelin havaitaan lähteeksi ja se eristetään. Itse palvelinkäyttöjärjestelmä ei ole saastunut, vain tiedostot. Onko tutkinta valmis kun ei tule enää hälytyksiä? 1.4.2014 Nixu 2014 9

Analysointi Miksi tiedostot saastuivat alun perin? Tiedostopalvelimen lokeista löytyy poikkeavia tapahtumia koskien yksittäistä työasemaa. Henkilöllä joka käyttää ko. työasemaa on pääsy laajaan materiaaliin. AV skannaus koneella ei tuota havaintoja, homma kunnossa? Koneesta otetaan muistidumppi josta löytyy tuntematon haittaohjelma joka analysoidaan. Piiloutuminen, persistenssi, lisätoiminnallisuudet, kuinka etäkäytettään, URL:t ja IP:t, 1.4.2014 Nixu 2014 10

Jatkotoimet Keylogger, salasanojen dumppaus ja HASH varkaus à salasanat vaihtoon Lokien tarkastus alkaa! Mistä lokeista ja mitä lokeista pitäisi etsiä? Tekninen jälkivalvonta ja itse hyökkäyksen analysointi tärkeää 1.4.2014 Nixu 2014 11

Kyberissä tapahtui Läheltä piti? Varautuminen, ennakkotoimet ja toiminta tilanteessa 1.4.2014 Nixu 2014 12

Tiedettiinkö mitä tapahtuu? vaa6mustenmukaisuuden valvonta pykälätapahtuma indikoi vaa6musten vastaista toimintaa tai sellaisen uhkaa petosten valvonta petostapahtuma indikoi petollista toimintaa tai sellaisen uhkaa palveluneston valvonta lamautustapahtuma indikoi valvo7ua toimintaa estävää toimintaa tai sellaisen uhkaa 6etomurtojen valvonta murtotapahtuma indikoi 6etomurtoa tai sellaisen uhkaa 6etovuotojen valvonta vuototapahtuma indikoi 6etovuotoa tai sellaisen uhkaa haavoi7uvuuden valvonta haavatapahtuma indikoi haavoi7uvuu7a ja sellaisen vakavuu7a infrastruktuurin valvonta infratapahtuma indikoi poikkeavuu7a tai muuta tarkemmin kohdistamatonta tapahtumaa ja sellaisen vakavuu7a pykälä- tapahtuma petos- tapahtuma lamautus- tapahtuma murto- tapahtuma vuoto- tapahtuma haava- tapahtuma infra- tapahtuma normaali normaali normaali normaali normaali normaali normaali ei havaintoja tai lievä uhka/vakavuus huomio huomio huomio huomio huomio huomio huomio uhkataso tai tilanteen vakavuus on kohonnut mutta tilanteeseen ei tarvitse vielä varautua varaudu varaudu varaudu varaudu varaudu varaudu varaudu uhkataso tai tilanne on vakava ja tilanteeseen varautuminen täytyy aloittaa hälytys hälytys hälytys hälytys hälytys hälytys hälytys tilanne vaatii aktiivisia toimenpiteitä 1.4.2014 Nixu 2014 13

Tiedettiinkö mikä on vaarassa/vahingoittunut? Ministeriö X Val6on toiminta Ministeriö Y Virasto X1... Virasto Xn Perustehtävä #1 Perustehtävä 2... Perustehtävä #n Virasto Y1... Virasto Yn Laitos 1... Laitos Xnn Toiminto 1 Toiminto 2 Toiminto 3... toiminto #n Laitos 1... Laitos Ynn Vaikuttavuusarvio ICT-infra ICT- palvelu 1 ICT- palvelu 2... ICT- palvelu #n ICT- palvelu #n taustapalvelu #1... taustapalvelu #n TIETOMURTO! TIETOVUOTO! taustapalvelu #nn... taustapalvelu #nm 1.4.2014 Nixu 2014 14

Hoidettiinko tärkein ensin? 1.4.2014 Nixu 2014 15

Tiedettiinkö kuka päättää? Kun: tilanteeseen liittyy rikos tilanteella on julkisuusarvoa toimenpiteet vaativat hallinnonalojen välistä yhteistyötä toimenpiteet vaativat rahoitusta yli NN k toimenpiteet vaikuttavat negatiivisesti kriittisten kohteiden luottamuksellisuuteen, eheyteen ai saatavuuteen Kun: Tarvitaan ulkopuolista asiantuntija-apua tilanteen selvittämiseen (esim. CSIRT ja forensiikkapalveluita) 1.4.2014 Nixu 2014 16

Kiitos! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 1.4.2014 Nixu 2014 17

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute