Sisäpiiriuhkan hyökkäysketju : sisäpiiriuhkan hyökkäysvaiheiden mallintaminen

Abstract

Tässä tutkielmassa tutkittiin sisäpiiriuhkaa ja sen hyökkäysvaiheita. Organisaatioihin ja niiden käyttämään tietoon kohdistuu monenlaisia uhkia, joista osa syntyy organisaatioiden sisältä. Organisaation omaisuuteen luvallisen pääsyoikeuden saaneita yksilöitä voidaan kutsua sisäpiiriläisiksi. Sisäpiiriläisten toimenpiteet voivat aiheuttaa haittaa organisaatiolle, jolloin puhutaan sisäpiiriuhkasta. Sisäpiiriuhka voi olla joko tahatonta tai pahantahtoista. Kyberturvallisuuden alalta löytyy useita malleja pahantahtoisten hyökkääjien tekemien hyökkäysten mallintamiseen. Sisäpiiriuhkan osalta malleissa on kuitenkin puutteita, mikä tekee tutkielmasta tärkeän. Tutkielman päätavoitteena oli kehittää malli, jolla voidaan kuvata tietoon kohdistuvan sisäpiiriuhkan hyökkäysvaiheita. Tutkielmassa analysoitiin julkisista lähteistä saatavilla olevia sisäpiiriuhkan tapausaineistoja laadullisen sisällönanalyysin keinoin. Analyysin tavoitteena oli selvittää, millaisia vaiheita sisäpiiriuhkan hyökkäyksissä oli. Analyysissä käytettiin hyödyksi aiempaa teoriaa kyberhyökkäysten vaiheista. Analyysin tuloksia hyödynnettiin kehittämällä uusi malli, joka kuvaa tietoon kohdistuvan sisäpiiriuhkan hyökkäysvaiheita. Uuden mallin kehittäminen tehtiin kehittämistutkimuksen keinoin ja mallin toimivuutta verrattiin olemassa oleviin hyökkääjien toimenpiteitä kuvaaviin malleihin. Tutkimuksessa havaittiin, että aiemmat mallit eivät kykene kattavasti kuvaamaan sisäpiiriuhkan hyökkäysvaiheita. Uuden mallin avulla voidaan kuvata sisäpiiriuhkan hyökkäysvaiheita kattavammin ja mallia voidaan hyödyntää sisäpiiriuhkan hallinnassa organisaatioissa.

This study examined insider threat and the attack phases involved in insider threat cases. Organizations need to protect their information assets from multiple different threat actors, including those from within the organization. Individuals who have been given authorized access to the assets of an organization can be called insiders. Insiders can cause damage to an organization through their actions. The potential for such actions is called “insider threat”. Insider threat can be either malicious or unintentional. The field of cyber security has multiple models which illustrate phases of malicious attacks on organizations. Such models are known to have issues regarding insider threat, which makes this study important. The main purpose of this study was to create a model which illustrates the attack phases of insider threat targeting information assets. In the study, a qualitative analysis was conducted on publicly available insider threat case studies. The purpose of the analysis was to find out what kind of phases are involved in attacks caused by insider threat, utilizing previous theory on cyberattack phases. The results of the analysis were used in developing a new model for insider threat attacks targeting information assets. The development of the new model was conducted through design science research, and the model was evaluated against earlier attack models. The study found that the coverage of earlier models regarding insider attack phases was lacking. The new model has better coverage of all the phases of insider attack phases and the model can be utilized in insider threat management in organizations.