Toward cyber situational awareness with open source software

Abstract

Kohti kybertilannetietoisuutta avoimen lähdekoodin ohjelmistojen avulla.

Tilannetietoisuuden konsepti ja sen kriittisyys päätöksenteossa ymmärrettiin alun perin ilmailussa kuvaamaan olennaisten elementtien havaitsemista, niiden merkityksen ymmärtämistä sekä niiden käyttäytymistä ajan kuluessa. Tilannetietoisuus modernissa kybermaailmassa voidaan määritellä kybermaailman ymmärtämiseksi, siellä piilevien uhkien havaitsemiseksi sekä niiden merkityksen käsittämiseksi valtiollisella, organisatorisella sekä jopa yksilöllisellä tasolla. Organisaation tasolla tuloksia tuottava kybertilannetietoisuus tarjoaa vastauksia kysymyksiin: Mitä järjestelmiä ja sovelluksia on käytössä? Olemmeko haavoittuvaisia? Mitä tulisi tehdä? Tietomurron jälkeen kybertilannetietoisuus tarjoaa vastauksia kysymyksiin: Mitä on tapahtunut? Kuinka se vaikuttaa organisaation toimintaan ja mitä tulisi tehdä tilanteen korjaamiseksi?

Ajantasainen tilannetietoisuus mahdollistaa organisaatiolle nopean havainnointi- ja reagointikyvyn uusia haavoittuvuuksia ja hyökkäyksiä vastaan, mahdollistaen tehokkaamman ja faktapohjaisen päätöksenteon organisaation uniikissa kyberympäristössä. Kybertilannetietoisuus on tärkeässä roolissa puolustauduttaessa kehittyneitä hyökkäyksiä ja jatkuvasti paremmin varustautuneita hyökkääjiä vastaan. Tehokas kybertilannetietoisuuskyky on edellytys nopeille ja täsmällisille päätöksille.

Tämä tutkielma pyrkii kuvaamaan, kuinka kybertilannetietoisuuskyky saavutetaan hyödyntämällä avoimen lähdekoodin ohjelmistoja. Tutkielmassa kuvataan tarvittavat elementit, datan kerääminen, analysointi ja visualisointi, sekä kybertilannetietoisuuden hyödyt päätöksentekijöille.

Tutkielmassa hyödynnetään suunnittelutieteellistä tutkimusmenetelmää suunniteltaessa ja rakennettaessa ratkaisua, jonka demonstroinnilla todennetaan sen sopivuus kybertilannetietoisuuden luomiseksi. Tuloksena on avoimen lähdekoodin ohjelmistoja hyödyntävä järjestelmä kybertilannetietoisuuden luomiseksi ympäristössä, joka koostuu hallintapalvelimesta sekä kahdesta asiakaspalvelimesta. Tutkielman tuloksena syntyy kuvaus avoimen lähdekoodin ohjelmistojen hyödyntämisessä kybertilannetietoisuuden rakentamisessa. Tutkielmassa listataan myös aiheita jatkotutkimukselle.

The concept of situational awareness and its criticality to decision-making was initially recognized in the context of aviation to describe the perception of relevant elements, comprehension of their meaning and finally, projecting their near future states. Bringing this concept into modern cyber environment, cyber situational awareness can be simply expressed as knowing the cyber environment, what the threats are and what their potential impact is on a state, organizational or even individual level. On an organizational level, effective cyber situational awareness yield answers to questions such as: What systems and applications we currently have? Are we vulnerable? What should we do? After an incident, effective cyber situational awareness provides input for questions such as: What has happened? How it affects the organization’s performance and what actions should be taken in order to remediate the situation?

Up-to-date situational awareness enables organizations to detect, respond and prioritize remediation efforts to emerging threats such as new vulnerabilities and ongoing attacks, resulting in more efficient decision-making based on facts and the unique characteristics of the organization’s cyber environment. Cyber situational awareness plays a crucial role in defending against today’s sophisticated attacks and increasingly more resourceful adversaries. Effective cyber situational awareness capability is a prerequisite for swift and accurate decisions.

This study aims to describe how cyber situational awareness capability can be achieved using open source software. It details the necessary elements, data collection, analysis and visualization, as well as the benefits cyber situational awareness brings to decision-makers.

The study utilizes design science research process to design and develop a solution used in demonstration to verify its suitability for achieving cyber situational awareness. The end result is a system utilizing open source software to form cyber situational awareness on a network consisting of manager server and two client servers. Research findings have practical significance by detailing one open source solution for building cyber situational awareness. Topics for future research avenues are also discussed.