Kansallisen turvallisuusauditointikriteeristön antama suoja kohdistettuja haittaohjelmahyökkäyksiä vastaan

Abstract

Tässä tutkimuksessa tarkastellaan tapahtuneita kohdistettuja haittaohjelmahyökkäyksiä ja ehdotetaan vastatoimia niiden torjumiseksi. Tutkimuksen teoriaosuuden tarkoituksena on taustoittaa varsinaista tutkimusta ja antaa lukijalle riittävät perustiedot tutkimusaiheesta. Tutkimuksen empiirisessä osuudessa tutkittiin tapahtuneita kohdistettuja haittaohjelmahyökkäyksiä niiden toteutuksessa käytettyjen taktiikoiden ja tekniikoiden näkökulmasta. Tutkimuksessa pyrittiin myös selvittämään, onko kansallisessa tietoturvallisuusauditointikriteeristössä puutteita kohdistetuilta haittaohjelmahyökkäyksiltä suojautumiseksi. Tutkimuksen aihe on tärkeä, sillä tutkimuksessa voidaan löytää puutteita laajasti käytössä olevasta viranomaisten turvallisuusluokitellun tiedon suojaamiseksi käytettävästä auditointikriteeristöstä. Tutkimuksen empiirinen osuus toteutettiin monitapaustutkimuksena ja aineistoa analysoitiin aineistolähtöistä sisällönanalyysiä käyttäen. Tutkimusmateriaali kerättiin julkisesti saatavissa olevista lähteistä. Tutkimuksen empiirisessä osuudessa havaittiin, että kohdistetuille haittaohjelmahyökkäyksille on tyypillistä käyttää samankaltaisia taktiikoita ja tekniikoita. Tyypillisimmiksi taktiikoiksi paljastui avointen lähteiden tiedustelu, tietojenkalastelu ja nollapäivähaavoittuvuuksien hyödyntäminen. Tutkimuksen perusteella hyökkäysten torjumiseksi henkilöstön koulutus, poikkeamien havainnointikyky ja onnistunut riskienhallinta ovat olennaisessa osassa. Kansallista turvallisuusauditointikriteeristöä noudattamalla voidaan torjua niin teollisuusympäristöön kuin salassa pidettävään tietoon kohdistettuja hyökkäyksiä. Kriteeristön heikkouksiksi havaittiin vaatimusten yleisluontoisuus, puhelinten ja IOT-laitteiden vähäinen huomiointi sekä SOC-toiminnon puuttuminen.

This study examines the advanced persistent threat attacks that have occurred and suggests countermeasures to combat them. The purpose of the theory part of the research is to provide a background to the actual research and to give the reader sufficient basic information about the research topic. In the empirical part of the study, the advanced persistent threat attacks that have occurred were investigated from the perspective of the tactics and techniques used in their implementation. The study also sought to find out whether there are any shortcomings in the national security auditing criteria for protecting against advanced persistent threat attacks. The topic of the research is important because the research can find flaws in the widely used audit criteria used to protect information classified as security by the authorities. The empirical part of the research was carried out as a multi-case study and the material was analyzed using material-based content analysis. The research material was collected from publicly available sources. In the empirical part of the study, it was found that it is typical for advanced persistent threat attacks to use similar tactics and techniques. The most typical tactics turned out to be intelligence on open sources, phishing and exploiting zero-day vulnerabilities. Based on the research, personnel training, the ability to detect deviations and successful risk management are an essential part of combating attacks. By following the national security auditing criteria, attacks targeting the industrial environment as well as confidential information can be countered. Weaknesses of the criteria were found to be the general nature of the requirements and little consideration of telephones and IOT devices.