Hyvä hyökkääjä tietää, miten puolustetaan
Tietoturva Nyt!
Virolaisen Clarified Securityn kyberturvallisuusasiantuntija Sille Laksilla on kokemusta kyberharjoittelusta sekä puolustajan että hyökkääjän roolissa. Punaisen tiimin jäsenenä hän pääsee ampumaan kovilla aitoja maaleja kohti. Laks esiintyi Tietoturva 2019 -seminaarissamme toukokuun puolivälissä.
Viron julkishallinnolla ja virolaisilla yrityksillä on runsaasti käytännön kokemusta kyberhyökkäyksen kohteeksi joutumisesta. Toistaiseksi vakavin tapaus oli vuonna 2007 tapahtuneet koordinoidut ulkomaiset palvelunestohyökkäykset, jotka kohdistuivat muun muassa Viron parlamenttiin ja ministeriöihin sekä pankkeihin ja joukkotiedostusvälineisiin. Hyökkäyksen jälkimainingeissa Viroon perustettiin Naton kybersuojaamisen osaamiskeskus CCDCOE, jonka kanssa myös Suomi tekee yhteistyötä. Yksityiselle tietoturvaosaamiselle on maassa paljon kysyntää.
Sille Laks järjestää Clarified Securityn leivissä tietoturvaharjoituksia ja koordinoi erityisesti punaisen tiimin eli hyökkääjien toimintaa. Kuten arvata saattaa, puolustava osapuoli eli sininen tiimi koostuu varsinaisista harjoittelijoista, joiden valmiutta vastata ulkoa tuleviin uhkiin harjoitus koettelee.
Kovat piippuun ja kilvet yhteen
Laks on ollut usean vuoden ajan mukana Locked Shields -kyberharjoitukessa, jonka järjestää CCDCOE. Vuodesta 2010 järjestettyä Locked Shieldsiä kutsutaan sotilaspiireistä lainatulla termillä "live fire", ja tässä kategoriassa se on tiettävästi maailman suurin harjoitus, jossa niin sanotusti ammutaan kovilla. Tämä tarkoittaa, että hyökkääjät yrittävät todella tunkeutua kohteina oleviin järjestelmiin erilaisia aitoja haavoittuvuuksia käyttäen eivätkä vain raportoi niistä.
Locked Shields 2019 -harjoitukseen osallistui 23 sinistä tiimiä, joissa oli 30-100 jäsentä. Punainen tiimi koostui 77 hyökkääjästä. Lisäksi mukana oli infrastruktuurista vastaava vihreä tiimi, ulkomaailmaa simuloiva valkoinen tiimi ja tilannekuvaa muodostava keltainen tiimi. Kaikkiaan harjoitukseen osallistui yli 1200 ammattilaista kolmestakymmenestä eri maasta.
Sille Laks aloitti Locked Shieldsissä harjoittelun Viron sinisessä tiimissä, mutta vaihtoi myöhemmin punaiselle puolelle. "Hyvä hyökkääjä tietää, miten puolustaja toimii, ja osaa siksi ennakoida näiden liikkeitä jo etukäteen", Laks kertoi.
Laks nosti esityksessään esiin muun muassa sen, että harjoituksen kuluessa on erittäin hyödyllistä poistaa tiimin johtaja vahvuudesta. "Tositilanteissa johtaja on joka tapauksessa usein poissa esimerkiksi hoitamassa asioita median suuntaan tai raportoimassa ylemmilleen, joten ryhmät joutuvat tulemaan toimeen ilman johtoa tai väliaikaisen johdon varassa", hän mainitsi.
Hyvä vastaan loistava harjoitus
Locked Shieldsissä siniset tiimit joutuvat puolustamaan hyökkäyksen kohteeksi joutuvan fiktiivisen maan infrastruktuuria, joka koostuu tuhansista koneista ja muista järjestelmistä. Myös harjoituksena aikana tapahtuvien yksittäisten hyökkäysten määrä nousee tuhansiin. Haasteet eivät ole pelkästään teknisiä, vaan niihin liittyy myös etsiväntyötä, laillisia kiemuroita ja medianhallintaa.
"Hyvässä harjoituksessa pystytään testaamaan organisaation sisäisiä käytäntöjä. Loistavassa harjoituksessa taas päästään kokeilemaan todellista valmiutta aitojen uhkien edessä", Laks summasi, ja jatkoi: "Tässä mielessä todellinen punaiset vastaan siniset -kyberharjoitus on lyömätön työkalu."
Teksti ja kuvat: Aleksi Vähimaa