Windows technical hardening against the most prevalent threats

Abstract

Tutkielmassa selvitettiin tärkeimpiä Windowsin suojausmenetelmiä kaikkein yleisimpiä kyberuhkia vastaan. Tavoitteena oli tunnistaa tämän hetken tärkeimmät ja yleisimmät kyberuhat ja löytää sopivat Windowsin tietoturvakontrollit vastaamaan näihin uhkiin. Tutkimuskysymyksiksi asetettiin ”Mitä ovat tämän hetken yleisimmät kyberuhkien käyttämät taktiikat?” ja ”Mitä ovat tärkeimmät tietoturvakontrollit Windowsissa yleisimpiä uhkia vastaan suojautuessa?”. Tutkimus toteutettiin konstruktiivisena tutkimuksena. Tutkimuksen ongelma on se, että organisaatiot eivät tiedä, mihin Windowsin suojausmekanismeihin tulisi keskittää resurssit. Lopputuloksena konstruktiivisella tutkimuksella on kehittää lista suojausmekanismeista, joihin resurssit tulisi keskittää suojautuakseen yleisimmiltä kyberuhilta. Viitekehyksenä tutkielmassa käytettiin laajalti käytettyä ja tunnettua MITRE ATT&CK Enterprise matriisia, joka sisältää kattavan listan kyberuhkatoimijoiden käyttämistä tekniikoista ja tekniikoiden yläkategorioista eli taktiikoista. MITRE ATT&CK viitekehys käytiin läpi syvällisemmin omassa teorialuvussaan. Tämän hetken yleisempien uhkien analyysissä valittiin kolme tunnettua viime aikoina laadittua raporttia tämän hetken kyberuhkakuvista. Raporteista pystyttiin tunnistamaan yleisimmin käytetyt MITRE ATT&CK taktiikat, joista yhteensä kuuteen kaikki raportit viittasivat: Initial Access, Execution, Credential Access, Lateral Movement, Command and Control ja Impact. Nämä kuusi valittiin jatkoanalyysiin. Myös Windowsin tekninen tietoturva käytiin läpi omana lukunaan, jonka perusteella pystyttiin valita sopivia tietoturvakontrolleja. Kuutta yleisimmin käytettyä taktiikkaa käytiin läpi tekniikoidensa puolesta sisältöluvussa. Jokaiselle tekniikalle pyrittiin löytämään sopiva tietoturvakontrolli Windowsissa. Tutkimuksen lopputuloksena tärkeimmät tietoturvaominaisuudet, jotka kattavat mahdollisimman monta tekniikkaa valituista taktiikoista, ovat Windowsin palomuuri, Windows Defender virustorjunta, sovellusten suorituksen rajoittaminen AppLocker tai Windows Defender Application Control -ominaisuuksilla, käyttöoikeuksien rajaaminen ja Attack Surface Reduction -säännöstö.

This thesis identified the most essential hardening measures in Windows to combat the current most prevalent threats. The goal was set to identify the tactics used by the current most prevalent threats and to identify the suitable security controls in Windows to answer these threats. The research questions were set to “What are the tactics used by the current most prevalent threats?” and “What are the most important security controls that should be hardened in Windows to be protected against the most prevalent threats?” The research method in this thesis is constructive, where the identified problem is that organizations do not know on which Windows security features to focus their resources. The outcome of the research is to figure out a list of the most important security mechanisms in Windows that an organization should focus on to be protected against the most prevalent threats. A widely known and used framework MITRE ATT&CK Enterprise matrix was used for the research. The framework contains the techniques used by known threat actors and tactics, which are the categories for the techniques. MITRE ATT&CK was examined closer in its own chapter. Three current threat landscape reports were chosen for the analysis of tactics used by the current most prevalent threats. The MITRE ATT&CK tactics were identified from those reports. Six of the tactics, Initial Access, Execution, Credential Access, Lateral Movement, Command and Control, and Impact, were selected for further analysis as they were referenced by all the reports. Windows technical hardening was also examined in its own chapter to form an understanding of the available Windows security features. The six most used tactics most used by threat actors were examined closer in the actual content chapter, where each technique within those tactics were examined. The attempt was to find suitable security features in Windows to mitigate each of the techniques. As an outcome, five security features were identified that covered the largest number of MITRE ATT&CK techniques. They were Windows Firewall, Windows Defender antivirus, application allowlisting using AppLocker or Windows Defender Application Control, access control and user rights, and Attack Surface Reduction rules.