Palvelinympäristöön kohdistuvasta kiristysohjelmahyökkäyksestä palautuminen

Abstract

Tässä tutkielmassa käsitellään kiristysohjelmahyökkäyksestä palautumista. Tutkimuksen teoriaosuuden tarkoituksena oli selvittää miten kiristysohjelmat toimivat ja millaisia uhkia niistä aiheutuu. Tämän lisäksi esiteltiin kiristysohjelmien havainnointia ja ennaltaehkäisyä. Kiristysohjelmien lisäksi selvitettiin nykyaikaiset varmistus- ja palautusmenetelmät ja niiden hyödyntäminen kiristysohjelmahyökkäyksestä palautumisessa. Tutkimuksen empiirisessä osuudessa tutkittiin palautumismenetelmiä käytännössä ja vertailtiin palautumisessa käytettäviä menetelmiä. Tutkimuksen aihe on tärkeä, koska kiristysohjelmat aiheuttavat jatkuvan ja vakavan uhan kaikille verkotetuille tietojärjestelmille. Kirjallisuustutkimus toteutettiin kirjallisuuskatsauksena, käyttäen olemassa olevaa tutkimustietoutta. Empiirisessä osiossa toteutettiin palautumistestaus, jossa pyrittiin vertailemaan erilaisia palautumismenetelmiä. Tutkimuksen teoriaosuudessa havaittiin, että kiristysohjelmahyökkäyksestä palautuminen on monimutkainen kokonaisuus ja palautumisen suunnitelmat tulisi sisällyttää organisaatioiden liiketoiminnan jatkuvuussuunnitteluun. Tutkimuksen empiirisessä osioissa havaittiin, miten erilaiset palautumismenetelmät vaikuttavat palautumisaikaan ja sitä kautta organisaatioiden kyvykkyyteen palautua mahdollisesta kiristysohjelmahyökkäyksestä

This study discusses recovering from a ransomware attack. The purpose of the theoretical part of the study was to find out how ransomware programs work and what kind of threats they pose. In addition, the detection and prevention of ransomware were presented. In addition to ransomware, modern backup and recovery methods and their use in recovering from a ransomware attack were investigated. In the empirical part of the study, recovery methods were studied in practice and the methods used in recovery were compared. The topic of the research is important because ransomware pose a constant and serious threat to all networked information systems. The literature review was conducted as a literature analysis, using existing research information. In the empirical section, recovery testing was carried out in an attempt to compare different recovery methods. In the theoretical part of the study, it was found that recovery from a ransomware attack is a complex entity and recovery plans should be included in the business continuity planning. The empirical sections of the study found how different recovery methods affect recovery time and thereby the ability of organizations to recover from a possible ransomware attack.