Harjoitustoiminta - Kyberturvallisuuden selkäranka? Mikko Tuomi, CISSP asiantuntija, JAMK / JYVSECTEC 1
Suomen kyberturvallisuusstrategia Kyberturvallisuuden edellytys on tarkoituksenmukaiset ja riittävät turvallisuusratkaisut toteuttamista edesautetaan ja tuetaan yhteistoimintaan perustuvien rakenteiden ja harjoitusten avulla Jokainen toimija kehittää osallistumista harjoitustoimintaan Harjoitustoiminnan tavoitteena parantaa osallistujien mahdollisuuksia havaita oman toimintansa ja järjestelmiensä haavoittuvuuksia kehittää suorituskykyjään kouluttaa henkilöstöään Kustannustehokkain tapa lisa ta kansallista kyberturvallisuutta on osaamisen parantaminen www.jyvsectec.fi Twitter: @JYVSECTEC 2
Lähde: Verizon Data Breach Investigations Report 2013 Riittävät turvallisuusratkaisut? Havainnointikyvykkyys? (1/2) Kuinka monta prosenttia tietomurroista havaitsi uhrin ulkopuolinen taho kesti havaita kuukausia tai pidempään www.jyvsectec.fi Twitter: @JYVSECTEC 3
Riittävät turvallisuusratkaisut? Havainnointikyvykkyys? (2/2) Suomessa KPMG:n tekemän tutkimuksen mukaan Melkein puolessa tutkimukseen osallistuneissa organisaatioissa havaittiin tietomurto Onnistuneita hyökkäyksiä on meneillään Suomessa, eikä organisaatiot havaitse niitä Anti-Virus ja palomuuriratkaisut eivät riitä suojausmekanismeiksi Havainnointikyvykkyyttä ja oikeita toimintatapoja lisättävä www.jyvsectec.fi Twitter: @JYVSECTEC 4
Kyberharjoituksen toiminta pähkinänkuoressa Analysoi Uhat, toimijat, menetelmät Toteuta Etsi, hyödynnä Harjoitusympäristö Haavoittuvuudet Muodosta, vastaanota, jaa Tilannekuva Häiritse, estä tai vääristä Arvioi ja pienennä Havaitse ja estä Ohita Saavuta Suojausmekanismit Kohteet ja toiminta Muuta, kiistä, tuhoa, paljasta, havainnoi Toteuta Suojaa, korjaa, siedä ja palaudu Taustakuva: Codenomicon www.jyvsectec.fi Twitter: @JYVSECTEC 5
OODA-loop Etsi mahdollisuutta yhta avainhaavoittuvuutta Toteuta hyökkäys Toiminta (Action) Valitse menetelmä Havainnoi (Observe) Toteuta vastatoimi: korjaus, pinta-alan pienentäminen, harhautus Päätös (Decide) Valvo ja kerää tietoa Tilanteenarviointi (Orient) Sopeuta menetelmät ja työkalut Valitse vastatoimi Yhdistä ja analysoi tietoa, jonka perusteella toimia Taustakuva: Business Wire www.jyvsectec.fi Twitter: @JYVSECTEC 6
Kyberharjoituksen toteuttaminen 1 2 3 4 Tunnista ja määritä tarve Suunnittele Toteuta Evaluoi Tavoitteiden asettaminen Muoto ja laajuus Toimijat Ylätason skenaario Sidosryhmät Aikataulu Skenaarion laatiminen Tavoitteiden tarkentaminen Luottamuksellisuus Media Harjoitustoimijat Skenaarion hallinta ja syötteet Harjoituksen hallinta ja ohjaus Harjoituksen jälkeinen katselmus Tavoitteiden saavuttaminen Kehitettävien asioiden tunnistaminen Raportointi viikkoja - kuukausia - vuosia päiviä päiviä - viikkoja Aika www.jyvsectec.fi Twitter: @JYVSECTEC 7
Harjoitusmuodoista Keskustelupohjaiset Seminaarit, työpajat, tabletopit Käytännön toimintaa sisältävät Toimintamallien, -ohjeiden ja -tapojen harjoittaminen käytännössä ja oikeilla järjestelmillä Tekninen kyberharjoitus Yksittäinen organisaatio -> kansallinen usean viranomaisen ja sidosryhmän harjoitus -> kansainvälinen harjoitus www.jyvsectec.fi Twitter: @JYVSECTEC 8
Mallinnettujen hyökkäyksen komponentit Hyökkääjät Menetelmät Haavoittuvuudet Toimenpide Harrastelijat Haktivistit Kyberrikolliset Kyberterroristit Sisäiset toimijat Suorat Epäsuorat Suunnittelussa Toteutuksessa Asetuksissa Prosesseissa Havainnoi Estä Muuta Paljasta Tuhoa Kohde Tulos Tavoite Sähköinen identiteetti Sovellukset Verkkopalvelut Laitteet Palvelunesto Datan anastaminen, muuttaminen, tuhoaminen Pysyminen kohteessa Jännityksen haku Poliittiset, ideologiset tai eettiset tarkoitusperät Taloudellisten edut www.jyvsectec.fi Twitter: @JYVSECTEC 9
Mallinnettujen hyökkäysten luonteesta (1/2) Avoimuus Peitellyt hyökkäykset Jalansijan saaminen Arkaluonteisen tiedon anastaminen Avoimet hyökkäykset Sivustojen sotkemiset, palvelunestohyökkäykset, kiristäminen, lunnaiden vaatiminen Ja näiden yhdistelmät Ensimmäinen osa hyökkäyksestä peiteltyä, kuten asiakastietokannan anastaminen Toinen osa hyökkäyksestä avoin, kuten asiakastietokannan julkaisu suurelle yleisölle www.jyvsectec.fi Twitter: @JYVSECTEC 10
Mallinnettujen hyökkäysten luonteesta (2/2) Odotusarvo hyökkäykselle vs. skenaario Yllätykselliset, odottamattomat Ennakkovaroitus tulevasta Odotettavissa oleva Hyökkäysten intensiteetti Monia erillisiä hyökkäyksiä Valtava yhdenaikainen isku Pitkäkestoisen hyökkäys www.jyvsectec.fi Twitter: @JYVSECTEC 11
Näkökulmia harjoitustoimintaan Suojausmekanismit Mitä niillä estetään tai havaitaan? Mihin niitä on järkevä sijoittaa? Mitä suojataan ja miten? Tekniikka ei ole taktiikkaa, vaan väline jolla vaikutetaan toimintaympäristöön Tiedon olomuodot Tilannekuva Tiedetäänkö mitä ei tiedetä? Kuinka tilannetietoa jaetaan? Entä kenelle? Mitä tietoa itse tarvitsen? Päätöksenteon tueksi! www.jyvsectec.fi Twitter: @JYVSECTEC 12
Demonstraatio DDoS-hyökkäyksestä RGCEkybertoimintaympäristössä www.jyvsectec.fi Twitter: @JYVSECTEC 13
Kiitos, kysymyksiä? www.jyvsectec.fi
Lähteet Cyber Warfare. 2013. Editor J. Vankka. National Defence University, Department of Military Technology Hale B. Cybersecurity - A Practical Approach to Actionable Intelligence. http://content.solarwinds.com/creative/pdf/whitepapers/ WP_FED_Cybersecurity- A_Practical_Approach_to_Actionable_Intelligence.pdf Good Practice Guide for Incident Management. ENISA. Good Practice Guide on National Exercises. ENISA. KPMG. 2013. Unknown Threat in Finland. Van Loon C. 2012. Offensive Cyber. Master s Thesis. Norwegian Defence University College Verizon Data Breach Investigations Report. 2013. http://www.verizonenterprise.com/dbir/2013/ www.jyvsectec.fi Twitter: @JYVSECTEC 15