APT-operaation inhimilliset tekijät : operaation tarkastelu päätöksenteon näkökulmasta

Abstract

Tietoverkkohyökkäysten määrä, niiden kehittyneisyys ja vaikutukset ovat kasvaneet merkittävästi viime vuosina. Erityisesti edistyneistä ja pitkäkestoisista uhkista (Advanced Persistent Threat, APT) on muodostunut turvallisuusuhka yksilöille ja organisaatioille, kuten Iranin ydinaseohjelman hidastaminen 2010, ukrainalaiseen sähkövoimalan järjestelmiin tunkeutuminen 2015 ja Yhdysvalloissa demokraattipuolueeseen kohdistunut tietomurto 2016. Havaituista operaatioista laaditut raportit ovat luonteeltaan teknisiä ilman inhimillisen ulottuvuuden arviointia ja keskittyvät operaatiossa käytettyjen haittaohjelmien, toimittamismenetelmien sekä hyökkääjän ja kohteen välisen verkkoliikenteen analysointiin. Tämän tutkimuksen tavoitteena on laajentaa tarkastelukulmaa tutkimalla hyökkääjän inhimillistä ulottuvuutta päätöksenteossa. Erittelemällä operaation päätöksentekoprosessia ja siihen vaikuttavia tekijöitä voidaan hyökkääjästä saada merkityksellistä tietoa suojautumismenetelmien kehittämiseksi. Operaation vaiheiden mallintamiseksi on valittu seitsemänvaiheinen Intrusion Kill Chain (IKC) malli. Malli perustuu periaatteeseen, jonka mukaan operaatio koostuu toisiaan seuraavista vaiheista ja siirtyminen seuraavaan vaiheeseen edellyttää onnistumista edellisessä. Päätöksentekoprosessin mallintamiseen on valittu John Boydin esittelemä nelivaiheinen OODA-loop (Observation, Orientation, Decision, Action). Tämä on kvalitatiivinen tutkimus, joka pyrkii teoriasidonnaisen sisällönanalyysin keinoin vastaamaan tutkimustehtävään. Tutkimus on luonteeltaan kartoittava. Analyysiaineisto koostuu APT-ryhmien toimintaa käsittelevistä julkisista raporteista. Tutkimuksen keskeisin tulos on, että tässä tutkimuksessa esiteltävää IKC-mallin ja OODA-loopin yhdistävää teoreettista viitekehystä voidaan soveltaa APT-operaation päätöksentekoprosessin jäsentämiseen ja analysoimiseen. Lisäksi johtopäätöksinä esitetään, että hyökkääjän päätöksentekoprosessin tunnistaminen mahdollistaa suojautumismenetelmien kehittämisen.

The number of cyberattacks, as well as their sophistication and impact, has risen significantly in recent years. Especially Advanced Persistent Threat (APT) presents a security threat against individuals and organizations, such as in the cases of the deceleration of Iran's nuclear weapons program in 2010, the intrusion to Ukraine's power plant system in 2015, and the targeted data breach in the Democratic Party of the United States in 2016. Reports on detected operations are technical in nature and do not consider the human aspect, focusing instead on the malware used, the delivery methods, and the analysis of network traffic between attackers and targets. The purpose of this study is to broaden the scope of current research by examining the human aspects of an attacker's decision-making. By analyzing the decision-making process behind an operation, as well as the factors influencing the said process, one can extract relevant information from the attacker to support the development of protective measures. The seven-step Intrusion Kill Chain (IKC) model is used as a theoretical framework for APT operations and its phases. The model rests on the principle that an operation consists of consecutive stages which must each be completed before moving to the next. The decision-making process is analyzed through John Boyd’s OODA-loop framework (Observation, Orientation, Decision, and Action). This exploratory qualitative study aims to utilize theory-driven content analysis to answer research questions. The analyzed literature consists of publicly available reports on the activities of APT groups. The main conclusion is that the theoretical framework presented in this study, which combines the IKC model and the OODA-loop, can be used to parse and analyze the decision-making process behind an APT-operation. Furthermore, it is suggested that identifying an attacker's decision-making process enables the development of defences and protective measures.