Kyberharjoitusskenaariot: haavoittuvuudet ja tekniset riskit

Tuntematon laite verkossa

Tuotantojärjestelmien tietoturva ja laitehallinta sekä fyysinen turvallisuus.

Skenaario

Tuotantojärjestelmien käyttäjiltä tulee ilmoituksia, että tuotantodatassa on virheitä. Myös viimeisimmissä varmuuskopioissa havaitaan ongelmia. Samaan aikaan organisaation tiloista löytyy tuntematon laite, joka on kytketty verkkoon sellaisen työaseman läheisyyteen, jolla työskentelee pääkäyttäjäoikeuksilla varustettuja työntekijöitä. Kukaan ei tunnista laitetta. Laitteessa on useampi antenni, ja siinä olevat ledit vilkkuvat tiuhaan.

Soveltaminen

Skenaariossa korostuvat verkkoon kytkettyjen laitteiden hallinta sekä vieraiden laitteiden varalta valvominen. Lisäksi skenaariossa on fyysisen turvallisuuden ulottuvuus. Laitteen liittyminen havaittuun ongelmaan on epäselvää, skenaariossa voidaan myös soveltaa mahdollisuutta siihen, että laite on luvallisesti kytketty.

Lisähaaste

Laitteen päällä on pölykerros, joten se on ollut paikallaan selkeästi pitkään. Tuotantodatasta otetut varmuuskopiot on tarkoituksella korruptoitu. Laitteesta löytyy 4G-modeemi, jonka avulla organisaatiolta varastetaan dataa ohi verkon kontrollien.

Domain-kaappaus

Verkkoliikenteeseen liittyvien järjestelmien hallinnointi ja kyky reagoida reititysongelmiin.

Skenaario

Asiakas soittaa maanantaina puolen päivän aikaan tiedustellakseen, miksi kiireiseen sähköpostiin ei ole vastattu. Organisaatiossa paljastuu, että sen verkkotunnuksen DNS-asetuksiin on tehty muutoksia, joiden seurauksena sisään tuleva sähköposti ja verkkoliikenne ohjautuu vieraalle toimijalle. Hyökkääjä on onnistunut saamaan muutosoikeudet yrityksen domaintietoihin. IP-osoite, johon domain on asetettu osoittamaan sijaitsee ulkomailla. Sähköpostipalvelimelta ilmenee, että viimeinen sisään tullut sähköpostiviesti on torstai-aamupäivältä.

Soveltaminen

Skenaariossa ilmenee oman verkonhallinnan ulkopuolinen ongelma. Nimipalvelinasetusten muutos edellyttää kykyä nopeaan reagointiin. Organisaatio menettää kykynsä toimia oman verkkotunnuksensa alla.

Lisähaaste

Nimipalvelimen hallinnan muutosta varten tarvittavan tilin salasana on murrettu. Hallintatili on kuitenkin yrityksen oman domainin alla, jota hyökkääjä hallitsee. Salasanan palautussähköposti päätyy hyökkääjän haltuun.

Tuntematon tietoliikenne

Oman tietoliikenteen monitorointi ja poikkeamien tunnistaminen.

Skenaario

Organisaatiossa testataan uutta tietoturvaohjelmistoa verkon valvontaan. Testaamisen yhteydessä ohjelmisto havaitsee erikoista tietoliikennettä, jota ei tunnisteta. Salatulta vaikuttavaa liikennettä tulee useammalta työasemalta sekä muutamalta palvelimelta ja sen kohteena on ulkomainen palvelin. Liikenne käyttää useita eri protokollia (UDP, TCP, ICMP). Liikennettä tulee purskeittain välillä suuria määriä, ja välillä pienempiä, säännöllisen kokoisia paketteja. Työasemien haittaohjelmaskannaus ei tunnista haitallisia ohjelmia työasemilta.

Soveltaminen

Skenaario alkaa epäselvästä tilanteesta, jossa merkit viittaavat haittaohjelman toimintaan. On kuitenkin mahdollista, että liikenne on asianmukaista, mutta huonosti dokumentoitua. Asian selvittäminen edellyttää oman organisaation toimintaan syventymistä.

Lisähaaste

Lokitiedoista ilmenee, että ulkomaiseen palvelimeen on ollut liikennettä jo monta kuukautta. Asiaa selvitettäessä ilmenee, että kyseinen palvelin on raportoitu yhdeksi valtiollisen haittaohjelmakampanjan komentopalvelimista.

Firmware-haavoittuvuus

Laitehallinta ja päivityksiin liityvät prosessit.

Skenaario

Organisaation aktiiviverkkolaitteissa havaitaan vanhentuneita firmware-ohjelmistoja. Asiaa selvitettäessä ilmenee, että sisäverkossa on pitkään ilmennyt hitautta ja toimimattomuutta. Kyseisen laitemerkin toimittaja on lisäksi ilmoittanut useista kriittisistä haavoittuvuuksissa eri tuotteissa, jotka pitää päivittää viipymättä.

Soveltaminen

Skenaario soveltuu organisaation tietoverkon tietoturvan (saatavuus) ja tietoverkon asianmukaisen dokumentaation tarkasteluun.
A) Miten tunnistaa laitteet, jotka tarvitsevat päivitystä
B) Missä laitteet ovat ja kuka niitä hallinnoi
C) Miten päivitys tehdään hallitusti, kuka sen tekee ja milloin

Lisähaaste

Organisaation verkkolaitteiden firmware-ohjelmistossa on ilmennyt nollapäivähaavoittuvuus. Varastossa olevat varalaitteet ovat samoja, kuin tuotantoverkon laitteet.

Hajoavat kovalevyt

Laitehallinta ja tietosuoja tiedon eheyden näkökulmasta.

Skenaario

Organisaatio suhtautuu epäilevästi pilvipalveluihin ja siksi se pitääkin yllä omia fyysisiä palvelimia kellarissa (on premise). Eräänä aamuna töihin tullessa ylläpitäjä huomaa, että tiedostopalvelin on kaatunut ja alkaa selvittämään syytä. Ongelmaa selvitettäessä ilmenee, että myös muiden palvelinten RAID-levyjärjestelmissä on yksittäisiä kovalevyjä rikki. Muutama vuosi aiemmin organisaatio uusi lähes kaikki kovalevyt palvelimiinsa kertaheitolla. Nyt on ilmennyt, että kyseisessä tuotteessa on valmistusvirhe ja ne näyttävät hajoavan tietyn käyttötuntimäärän jälkeen. Valmistaja vahvistaa ongelmat.

Soveltaminen

Skenaariolla voidaan tarkastella tietoturvaan liittyvää tietojen eheyttä ja saatavuutta. Aika ajoin on hyvä testata tallennusjärjestelmien vikasietoa, varatallennusjärjestelmiä sekä tiedon palauttamista. Näin tiedon saatavuus ja liiketoiminnan jatkuvuus voidaan taata paremmin.

Lisähaaste

Sama ongelma alkaa ilmenemään myös työntekijöiden työasemissa.

Vanhat palvelimet

Laitehallinta ja laiteympäristön dokumentaatio.

Skenaario

Organisaatiolla on verkossa vanhoja palvelimia, joista on avoin yhteys internettiin. Osa palvelimista on täysin tarpeettomia ja unohdettuja, mutta osassa ajetaan ”mukavuussyistä” joitain ohjelmistoja, joita ehkä joku käyttää työasioissa. Ilmenee, että yksi tai useampi näistä palvelimista on joutunut tietomurron kohteeksi. Operaattori ilmoittaa, että yrityksen hallitsemasta verkosta lähtee haittaohjelman aiheuttamaa liikennettä internettiin ja operaattori uhkaa sulkea yhteydet.

Soveltaminen

Skenaariossa tarkastellaan oman verkkoinfrastruktuurin ja -liikenteen tuntemusta sekä dokumentaatiota. Skenaariossa korostuvat verkkoon kytkettyjen laitteiden hallinta ja tunnistaminen. Myös oman verkkoliikenteen monitorointi ja tunteminen on olennaista, jotta voidaan erottaa epänormaalit tapahtumat normaalista verkkoliikenteestä.

Lisähaaste

Tutkittaessa ilmenee, että murrettu palvelin on aikanaan toiminut dokumentinhallinnan testipalvelimena, jossa on käytetty organisaation oikeaa tietoa sovellusten testaamiseen. Testaaminen on tehty konsulttiyhtiön toimesta, jonka toiminta on jo lopetettu.

IPv4-IPv6

Verkkoliikenteen valvonta ja hallinnointi.

Skenaario

Organisaatiolla on perinteisesti ollut tiukat ja hyvin hallitut IPv4-palomuurisäännöt. Valkohattuhakkeri ilmoittaa, että kaikki automaatioverkon laitteet kommunikoivat verkkoon IPv6:lla ja löytyvät Shodanin avulla..

Soveltaminen

Skenaariossa korostuu oman verkkoliikenteen tunteminen ja verkkoon kytkettyjen laitteiden oikeiden asetusten tekeminen. Verkkoliikenteen perusasioiden ja tietoliikenneprotokollien ymmärtäminen auttaa organisaatiota tekemään asiat tietoturvallisesti.

Kysymyksiä tarkasteltavaksi: Voidaanko IPv6 ottaa pois käytöstä kaikista laitteista vai onko käytössä palveluita, jotka sitä ehdottomasti vaativat? Voiko muutokset tehdä vain palomuurilla? Miten vaikutuksia testataan?

Lisähaaste

Tuotantoverkon laajuuden ja monimukaisuuden vuoksi testiverkon pystyttäminen ei ole mahdollista. Muutokset joudutaan tekemään suoraan tuotantoverkkoon.

Tietoliikenneprotokollan haavoittuvuus

Verkkoliikenteen valvonta ja IoT-laitteiden käyttämät tietoliikenneprotokollat.

Skenaario

Mittaustietoa kentältä lähettävän IoT-laitteen tietoliikenneprotokolla osoittautuu niin haavoittuvaksi, että tietoliikenteen voidaan katsoa muuttuneen salaamattomaksi. Laitteita on käytössä satoja. Kaikkien laiteiden vaihtaminen ei kustannussyistä ole mahdollista.

Soveltaminen

Skenaariossa käsitellään IoT-laitteiden erityisominaisuuksiin liittyvää tietoturvaa. Lähtökohtaisesti IoT-laitteita ei ole suunniteltu tietoturva edellä. Erityisesti vanhoissa laitteissa saattaa olla suuriakin tietoturva-aukkoja, joiden paikkaaminen voi olla haastavaa.

Kysymyksiä tarkasteltavaksi: Onnistuuko laitteiden päivitys? Miten päivitys turvallisesti tehdään? Manuaalisesti vai esim. etäyhteydellä OTA-tyyppisesti (Over The Air)?

Lisähaaste

Skenaarion laitteiden käyttämää tietoliikenneprotokollaa ei voida tehdä tietoturvalliseksi. Keksi jokin muu keino.

Kriittisen haavoittuvuuden tunnistaminen

Haavoittuvuuksien tunnistamiseen ja haittaohjelmien havainnointiin ja leviämiseen liittyvät haasteet.

Skenaario

Organisaatiosi järjestelmistä löytyy kriittinen haavoittuvuus vaikka haavoittuvuusskannauksia on tehty jo aiemmin ja silloin löydetyt haavoittuvuudet saatiin korjattua. Haavoittuvuus on ohjelmistossa, joka on laajasti käytössä monissa muissa ohjelmissa, kirjastoissa, ICT-ympäristöissä ja pilvipalveluissa.

Löydät listan ajantasaisista kriittisistä haavoittuvuuksista Kyberturvallisuuskeskuksen Haavoittuvuudet-sivulta (Ulkoinen linkki).

Soveltaminen

Haavoittuvuuden tunnistaminen eri järjestelmistä. Skenaario laittaa organisaation miettimään, voiko haavoittuvuus jäädä latentiksi haavoittuvuudeksi heidän organisaatiossaan. Miten varmistutaan siitä, että järjestelmissä ei enää ole mainittua haavoittuvuutta?

Lisähaaste

Palvelimelta löytyy kryptovaluuttaa louhiva haittaohjelma. Tunkeutuja on päässyt järjestelmään edellä mainitua haavoittuvuutta hyväksikäyttämällä. Löytyyköhän ympäristöstä mahdollisesti vielä muitakin haitallisia ohjelmia?

Tietoturvakäytäntöjen kiertäminen

Oikeanlaisen tietoturvatason asettamiseen liittyvät haasteet ja niistä viestiminen.

Skenaario

Organisaatiossa on tietoturvasyistä rajoitettu sovellusten asennuksia, eikä organisaatio tarjoa työntekijöilleen muun muassa pikaviestintä helpottamaan työtekijöiden välistä kommunikointia. Johtoryhmä on kuitenkin saanut it-tuen asentamaan toimintaansa helpottaakseen pikaviestisovelluksen omiin laitteisiinsa. Ohjelmistosta löytyy haavoittuvuus, jolla pystytään muun muassa katselemaan ryhmien välistä viestivaihtoa. Paljastuu, että johtoryhmän välinen viestinvaihto on ollut pitkäaikaisen ja laajamittaisen vakoilun kohteena.

Soveltaminen

Skenaariossa pohditaan tietoturvakäytäntöjen mahdollisesti liian tiukkoja määräyksiä, jotka saattavat johtaa ohjeiden ja sääntöjen kiertämiseen. Käyttäjien tarpeet eivät kohtaa tietoturvatarpeiden kanssa.

Lisähaaste

Pikaviestinohjelmaan liittyvä internet-selaimen lisäosa mahdollistaa tietoturvakontrollien ohittamisen.

Kielletyt laitteet

Laitehallinta ja varajärjestelmät jatkuvuudenhallinnan näkökulmasta.

Skenaario

Organisaatiolla on turvallisuussopimus erään valtion viraston kanssa, joka liittyy organisaation tuottamiin palveluihin. Viranomaistaholta tulee kielto käyttää tietyn tuotemerkin tuotteita/laitteita. Organisaation toiminta ja sen tuottamat palvelut nojaavat vahvasti tämän tuotemerkin laitteiden käyttöön. Toiminnan jatkaminen edellyttää tuotteiden vaihtoa.

Soveltaminen

Skenaario haastaa organisaation liiketoiminnan jatkuvuuden ja sen käyttämän laitevalikoiman. Miten toiminnan resilienssiä parannetaan esimerkiksi hajauttamalla laitehankintoja ja käyttämällä usean toimittajan tuotteita? Voiko kieltoon perustuvasta laitteiden käytön lopettamisesta saada kompensaatiota valtiolta? Entä voiko yritys joutua maksamaan sopimussakkoa laitetoimittajalle sopimusten ennenaikaisesta päättämisestä?

Lisähaaste

Myös muihin toimijoihin kohdistuu samoja vaateita. Korvaavien laitteiden voimakkaasti kasvaneen kysynnän takia toimitusajat venyvät pitkiksi.

Valkohattuhakkeri ilmoittaa haavoittuvuudesta

Ohjelmistohaavoittuvuuksien hallintaan liittyvät prosessit ja viestintä.

Skenaario

Tuntemattoman nimimerkin takaa operoiva henkilö ilmoittaa organisaation asiakaspalvelun sähköpostilaatikkoon löytäneensä organisaation tuotteesta vakavan haavoittuvuuden. Valkohattuhakkeri on antanut organisaatiolle 90 päivää aikaa julkaista korjauksen haavoittuvuuteen ja viestiä tilanteesta ennen kuin haavoittuvuus tulee julkiseksi. Alustavan arvion mukaan haavoittuvuuden korjaamisessa menee ainakin neljä kuukautta.

Soveltaminen

Skenaariossa käsitellään tilannetta, jossa tuotehaavoittuvuuden julkistusaikataulu on kireämpi kuin korjaamiseen vaadittava aika. Skenaario edellyttää haavoittuvuuskoordinaatiota hakkerin ja viranomaisten kanssa.

Lisähaaste

Tieto valkohattuhakkerin yhteydenotosta on viipynyt asiakaspalvelussa kuukauden, ja tulee ilmi sattumalta kahvipöytäkeskustelussa. Haavoittuvuus on konkurssiin menneen alihankkijan toimittamassa komponentissa.