Windows technical hardening against the most prevalent threats
Authors
Date
2023Copyright
© The Author(s)
Tutkielmassa selvitettiin tärkeimpiä Windowsin suojausmenetelmiä kaikkein yleisimpiä kyberuhkia vastaan. Tavoitteena oli tunnistaa tämän hetken tärkeimmät ja yleisimmät kyberuhat ja löytää sopivat Windowsin tietoturvakontrollit vastaamaan näihin uhkiin. Tutkimuskysymyksiksi asetettiin ”Mitä ovat tämän hetken yleisimmät kyberuhkien käyttämät taktiikat?” ja ”Mitä ovat tärkeimmät tietoturvakontrollit Windowsissa yleisimpiä uhkia vastaan suojautuessa?”.
Tutkimus toteutettiin konstruktiivisena tutkimuksena. Tutkimuksen ongelma on se, että organisaatiot eivät tiedä, mihin Windowsin suojausmekanismeihin tulisi keskittää resurssit. Lopputuloksena konstruktiivisella tutkimuksella on kehittää lista suojausmekanismeista, joihin resurssit tulisi keskittää suojautuakseen yleisimmiltä kyberuhilta. Viitekehyksenä tutkielmassa käytettiin laajalti käytettyä ja tunnettua MITRE ATT&CK Enterprise matriisia, joka sisältää kattavan listan kyberuhkatoimijoiden käyttämistä tekniikoista ja tekniikoiden yläkategorioista eli taktiikoista. MITRE ATT&CK viitekehys käytiin läpi syvällisemmin omassa teorialuvussaan.
Tämän hetken yleisempien uhkien analyysissä valittiin kolme tunnettua viime aikoina laadittua raporttia tämän hetken kyberuhkakuvista. Raporteista pystyttiin tunnistamaan yleisimmin käytetyt MITRE ATT&CK taktiikat, joista yhteensä kuuteen kaikki raportit viittasivat: Initial Access, Execution, Credential Access, Lateral Movement, Command and Control ja Impact. Nämä kuusi valittiin jatkoanalyysiin. Myös Windowsin tekninen tietoturva käytiin läpi omana lukunaan, jonka perusteella pystyttiin valita sopivia tietoturvakontrolleja.
Kuutta yleisimmin käytettyä taktiikkaa käytiin läpi tekniikoidensa puolesta sisältöluvussa. Jokaiselle tekniikalle pyrittiin löytämään sopiva tietoturvakontrolli Windowsissa. Tutkimuksen lopputuloksena tärkeimmät tietoturvaominaisuudet, jotka kattavat mahdollisimman monta tekniikkaa valituista taktiikoista, ovat Windowsin palomuuri, Windows Defender virustorjunta, sovellusten suorituksen rajoittaminen AppLocker tai Windows Defender Application Control -ominaisuuksilla, käyttöoikeuksien rajaaminen ja Attack Surface Reduction -säännöstö.
...
This thesis identified the most essential hardening measures in Windows to combat the current most prevalent threats. The goal was set to identify the tactics used by the current most prevalent threats and to identify the suitable security controls in Windows to answer these threats. The research questions were set to “What are the tactics used by the current most prevalent threats?” and “What are the most important security controls that should be hardened in Windows to be protected against the most prevalent threats?”
The research method in this thesis is constructive, where the identified problem is that organizations do not know on which Windows security features to focus their resources. The outcome of the research is to figure out a list of the most important security mechanisms in Windows that an organization should focus on to be protected against the most prevalent threats. A widely known and used framework MITRE ATT&CK Enterprise matrix was used for the research. The framework contains the techniques used by known threat actors and tactics, which are the categories for the techniques. MITRE ATT&CK was examined closer in its own chapter.
Three current threat landscape reports were chosen for the analysis of tactics used by the current most prevalent threats. The MITRE ATT&CK tactics were identified from those reports. Six of the tactics, Initial Access, Execution, Credential Access, Lateral Movement, Command and Control, and Impact, were selected for further analysis as they were referenced by all the reports. Windows technical hardening was also examined in its own chapter to form an understanding of the available Windows security features.
The six most used tactics most used by threat actors were examined closer in the actual content chapter, where each technique within those tactics were examined. The attempt was to find suitable security features in Windows to mitigate each of the techniques. As an outcome, five security features were identified that covered the largest number of MITRE ATT&CK techniques. They were Windows Firewall, Windows Defender antivirus, application allowlisting using AppLocker or Windows Defender Application Control, access control and user rights, and Attack Surface Reduction rules.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29556]
License
Related items
Showing items with similar title or keywords.
-
Reducing the Time to Detect Cyber Attacks : Combining Attack Simulation With Detection Logic
Myllyla, Juuso; Costin, Andrei (FRUCT Oy, 2021)Cyber attacks have become harder to detect, causing the average detection time of a successful data breach to be over six months and typically costing the target organization nearly four million dollars. The attacks are ... -
HALE-IoT : HArdening LEgacy Internet-of-Things devices by retrofitting defensive firmware modifications and implants
Carrillo-Mondejar, J.; Turtiainen, Hannu; Costin, Andrei; Martinez, J.L.; Suarez-Tangil, G. (IEEE, 2022)Internet-Of-Things (IoT) devices and their firmware are notorious for their lifelong vulnerabilities. As device infection increases, vendors also fail to release patches at a competitive pace. Despite security in IoT being ... -
Cyber-Attacks Against Critical Infrastructure
Lehto, Martti (Springer, 2022)In the cyber world, the most important threat focuses on critical infrastructure (CI). CI encompasses the structures and functions that are vital to society’s uninterrupted functioning. It comprises physical facilities and ... -
Protecting against social engineering attacks in a corporate environment
Ali-Kovero, Jouni (2020)Tämän Pro gradu –tutkielman tarkoitus on tutkia yritysten tapoja suojautua käyttäjän manipulointiin (eng. Social Engineering) pyrkiviltä hyökkäyksiltä. Tutkielma toteutettiin kirjallisuuskatsauksen ja haastatteluihin ... -
Detection of distributed denial-of-service attacks in encrypted network traffic
Hyvärinen, Mikko (2016)Tausta: Hajautetut palvelunestohyökkäykset ovat jo kaksi vuosikymmentä vanhoja. Useita strategioita on kehitetty taistelemaan niiden kasvavaa määrää vastaan vuosien varrella. Sovelluskerroksen protokollien hyökkäykset ...