Jani had a regular day at the office – except that this wasn’t his office. Jani had infiltrated a company. Meanwhile, Tommi casually walked into a building and grabbed a bunch of confidential documents. Moments later, Markku got inside the company network with targeted malware. What on earth was going on?
Red teaming on organisaatiosi kyberpaloharjoitus
May 25, 2020 at 09:45
Keskiviikon 20.5. kyberaamukahvien aiheena oli red teaming, jonka suosio organisaatioiden kyberpuolustuksen koetinkivenä kasvattaa suosiotaan vuosi vuodelta. Antti Niemelä ja Tommi Vihermaa olivat kertomassa red team -kokemuksistaan ja siitä, miten nämä hyökkäyssimulaatiot toteutetaan käytännössä.
Red team simuloi kyberhyökkäyksiä
Red teaming on kuin paloharjoitus: sen tarkoituksena on testata organisaation kykyä toimia tietoturvapoikkeamatilanteessa niin ihmisten toiminnan, prosessien kuin teknologiankin kannalta.
Red team pyrkii käyttämään samoja menetelmiä ja työkaluja kuin organisaatiosta kiinnostunut kyberrikollinenkin. Erona on se, että red team noudattaa tietosuojan ja muun lainsäädännön rajoituksia ja toimittaa raportin, jossa analysoidaan havainnot ja annetaan organisaatiolle suosituksia tietoturvan parantamiseksi. Sen lisäksi, että valvontateknologian toimivuutta koetetaan, red teaming voi myös opettaa ihmisiä toimimaan poikkeamatilanteissa paremmin.
Red team -harjoitus voi kohdistua organisaation rajattuun osaan tai tiettyihin tietojärjestelmiin, tai se voi olla jatkuvakestoista grillausta koko organisaation kyberpuolustukseen.
Suunnitelmallinen red teaming perustuu viitekehyksiin
Red teamingin näkyvimpien osa-alueiden, eli social engineeringin avulla toimitiloihin tunkeutumisen ja haavoittuvuuksien hyödyntämisen taustalla on vaiheistettu suunnitelma, jolla kyberrikollisten käyttämiä menetelmiä sovelletaan red teamin kohteena olevaan organisaatioon.
Yleisimmin käytetty ohjenuora red team -hyökkäyssimulaatioiden toteuttamiseen on MITRE:n kehittämä Adversarial Tactics, Techniques & Common Knowledge -viitekehys (ATT&CK). Se kuvaa hyökkäyksen vaiheet, menetelmät ja toimintatavat ja sitä voivat käyttää sekä hyökkäävä tiimi (red team) että puolustava tiimi (blue team).
Tuoreempi ohjeistus on Euroopan keskuspankin julkaisema TIBER-EU, josta Suomen Pankki on kehittänyt Suomen oman version, TIBER-FI:n. Lyhenne TIBER muodostuu sanoista ”Threat Intelligence-Based Ethical Red Teaming”, eli viitekehyksen pohjalla on ajankohtainen toimialaa koskeva uhkatieto. TIBER-FI on kehitetty finanssialaa varten, mutta se soveltuu myös muille toimialoille.
Ulkokuori kova, sisältä pehmeää
Antti kertoi kokemuksiaan red team -keikoista ja tyypillisesti paljastuvista tietoturvaongelmista. Ensimmäinen jalansija organisaatioon saadaan lähes aina ihmisen tekemän virheen seurauksena: joku klikkaa linkkiä ja suorittaa haittaohjelman, joka avaa takaportin. Samalla tosin myös tekniset kontrollit ovat pettäneet. Lisäksi organisaatioiden verkon ulkokuori on lähes aina kova, mutta sisus on pehmeää: kun sisäverkkoon pääsee, on siellä eteneminen helppoa vähäisen verkon segmentoinnin ja havainnointimekanismien puutteen vuoksi.
Sama pätee fyysiseen turvallisuuteen: kun aulavartijan on ohitettu, kaikki yleensä luottavat siihen, että henkilöllä on oikeus ja syy liikkua tiloissa.
Katso koko webinaaritallenne jälkikäteen
Tommi ja Antti keskustelivat myös siitä, mitä eroa on murtotestauksella ja red teamingillä, onko hyökkääjällä aina etulyöntiasema, miten kauan red team -keikka kestää työtunteina ja kalenteriajassa ja kannattaisiko punaisen tiimin sijasta palkata purppuranpunainen tiimi. Voit katsoa tästä koko webinaaritallenteen.
Katso myös tulevat kyberaamukahvimme ja ilmoittaudu mukaan:
- 28.5.2020 Deploying DevSecOps (englanninkielinen)
- 4.6.2020 Strategy for Secured and Connected Industrial Products (englanninkielinen)
Haluatko pysyä kärryillä kyberturvallisuuden uusista tuulista? Tilaa Nixun uutiskirje