Kyberharjoitusskenaariot: huijaukset ja haittaohjelmat

Salasanavuoto

Tietojenkalastelun ehkäisy ja mahdollisen tietomurtoepäilyn selvittäminen.

Skenaario

Organisaation johtaja soittaa tietohallinnon päivystykseen illalla ja kysyy, miksi hänen matkapuhelimeensa on tullut tekstiviestitse useita monivaiheisen tunnistautumisen kertakäyttökoodeja. Johtaja kertoo olevansa parhaillaan mökillä kalastamassa, ja ettei ole parhaillaan kirjautumassa mihinkään. Autentikaatiopyynnöt vaikuttavat saapuvan organisaation VPN-järjestelmästä.

Soveltaminen

Skenaariossa kuvattujen tapahtumien perusteella voidaan epäillä, että ainakin toimitusjohtajan salasana on joutunut vääriin käsiin. Onnistuneen hyökkäyksen selvittäminen edellyttää salasanavuodon tutkimista ja epäilyttävien kirjautumisyritysten lähteen selvittämistä.

Lisähaaste

Toimitusjohtaja kertoo välittäneensä saamiensa ohjeiden mukaan kertakäyttökoodin tekstiviestillä ”asiakaspalvelulle”. Tapauksesta on viikkoja aikaa.

Laskutushuijaus

Tilannetietoisuus omien tietojärjestelmien turvallisuudesta ja taloushallinnon prosessien seuranta.

Skenaario

Taloushallinnosta huomataan, että 250 000 euron maksu on jäänyt saamatta. Erääntyneestä laskusta huomautettaessa asiakas toimittaa kopion maksamastaan laskusta. Laskussa on väärä tilinumero, joka johtaa ulkomaalaiselle pankkitilille. Laskun saatteena on yrityksen sähköpostitililtä lähetetty viesti, jossa kerrotaan uudesta tilinumerosta. Tietohallinnon selvityksissä ilmenee, että hyökkääjä on saanut haltuunsa pilvipalveluna käytetyn sähköpostin tunnukset, ja lähettänyt ”korjattuja” virheellisiä tilinumeroita useille asiakkaille.

Soveltaminen

Skenaario kuvaa BEC-huijauksen (Business Email Compromise), jossa hyökkääjä on onnistunut tunkeutumaan sähköpostijärjestelmään ja lähettää valelaskuja asiakkaille yrityksen nimissä. Hyökkäysmenetelmää edeltää tietojenkalasteluhyökkäys, jossa käyttäjätunnukset saadaan haltuun.

Lisähaaste

Laskuja on lähetetty kymmenille eri asiakkaille. Hyökkääjät ovat olleet sähköpostijärjestelmässä pitkään, ja ovat todennäköisesti saaneet käsiinsä yrityssalaisuuksia.

Tuntematon USB-laite

Laitehallinta sekä fyysisen turvallisuuden ja kulunvalvonnan merkitys kybertoimintaympäristön suojaamisessa.

Skenaario

Työntekijä huomaa työpisteensä näytön takana sijaitsevassa USB-keskittimessä tuntemattoman laitteen. Laite on kytketty langattoman näppäimistön vastaanottimen ja USB-keskittimen väliin. Laitteessa ei ole merkintöjä, eikä työntekijä tunnista sitä. Työntekijä ei koske laitteeseen, vaan ilmoittaa asiasta tietohallinnolle ja pyytää toimintaohjeita.

Soveltaminen

Skenaariossa voidaan arvioida fyysisen turvallisuuden ja kulunvalvonnan merkitystä kybertoimintaympäristön suojaamiselle. Vakoilulaitteen käsittelyssä korostuu todistusaineiston säilyttäminen. Laitteen on voinut asentaa paikalleen joko yrityksen oma työntekijä tai muu tiloissa liikkuva henkilö, kuten siivooja tai huoltomies.

Lisähaaste

Työntekijä irrottaa laitteen ja vie sen kotiinsa tutkittavaksi. Työntekijä purkaa laitetta ja vioittaa sitä. Toimitilojen kameravalvonta tai kulunvalvonta ei ole toiminut tapahtuma-aikaan

Saastunut ohjelmistokomponentti

Tuotantoketjun laadunvarmistus ja turvallisuus. Toimitusketjuihin liittyvät sopimukset ja vastuut.

Skenaario

Ohjelmistokehittäjä on ottanut vahingossa käyttöön haittaohjelmalla saastuneen ohjelmistokomponentin. Ohjelmistokomponentti on osa organisaation tuotetta. Haittakoodia ei ole havaittu organisaation omissa prosesseissa. Tuote on julkistettu, ja siinä oleva haittakoodi mahdollistaa luvattoman pääsyn tuotetta käyttävien asiakkaiden järjestelmiin. Haitallinen koodi on ollut ohjelmistossa useamman kuukauden, ja se on jaeltu useille asiakkaille. Asiakasyritys havaitsi haittakoodin tietoturvaohjelmiston päivityksen jälkeen, ja raportoi siitä heti organisaatiolle.

Soveltaminen

Skenaariossa käsitellään tuotantoketjun laadun ja turvallisuuden varmistamista. Skenaarion keskeinen piirre on tuotteen valmistajan vastuu asiakkaille toimitettujen tuotteiden päivittämisestä turvallisiksi.

Lisähaaste

Asiakas ei ilmoita suoraan organisaatiolle haittakoodista, vaan puhuu asiasta ensin julkisuudessa. Tuotteen päivittäminen verkon yli on vaikeaa tai mahdotonta. Ohjelmistokomponenttiin ei ole saatavilla korjaavaa päivitystä, koska sitä ei enää ylläpidetä.

Kryptolouhintaa palvelimilla

Havainnointi ja haittaohjelmatartunnan mitigaatio-toimet.

Skenaario

Maanantaina töihin tullessa asiakaspalvelun inbox on täynnä viestejä siitä, että organisaation palvelut toimivat hitaasti. Organisaation controller huomaa myös, että automaattisesti skaalautuvien pilvipalveluiden kustannukset ovat kasvaneet valtavasti viikonlopun aikana, ja välittää tiedon tietohallintopäällikölle. Tutkittuaan tilannetta tietohallinto huomaa, että organisaatiolle kriittisissä järjestelmissä on havaittu kryptovaluuttaa louhiva haittaohjelma. Haittaohjelma rampauttaa palveluiden toimintakykyä ja kuluttaa palvelinten resursseja.

Soveltaminen

Skenaariossa tapahtunut haittaohjelmasaastuminen ei vaaranna yrityksen tietoja, mutta kuluttaa sen resursseja. Saastumisen juurisyiden selvittäminen edellyttää työtä. Taustalla on tietoturva-aukko, jonka kautta saastuminen on tapahtunut.

Lisähaaste

Automaattisesti skaalautuvat pilvipalvelut aiheuttavat ison rahallisen kustannuksen. Pilvipalveluntuottaja vaatii, että lasku maksetaan, vaikka syy on rikollisessa toiminnassa. Haittaohjelma on kuluttanut resursseja kuukausien ajan matalammalla intensiteetillä.

Emotet

Uhkatilanteiden havainnointi ja haittaohjelmien tunnistaminen sekä poistaminen.

Skenaario

Ainakin yhdeltä organisaation työasemalta havaitaan epämääräistä verkkoliikennettä, jonka epäillään liittyvän Emotet-haittaohjelmaan.

Soveltaminen

Skenaariossa käsitellään organisaation havainnointikykyä ja kykyä löytää poikkeamia verkkoliikenteestä. Myös haittaohjelmatartunnan tekninen selvityskyky ja sen tutkinnan dokumentointi sekä työasemien uudelleen asennus ja toiminnan jatkuvuuden takaaminen korostuvat.

Lisähaaste

Havaintoja alkaa tulemaan kasvavaan tahtiin useilta työasemalta.

Open source -komponentin tahallinen saastuttaminen

Ohjelmistoturvallisuus, havainnointi ja forensiikka sekä päivitysten hallintaan liittyvät prosessit.

Skenaario

Haktivisti-koodari on räätälöinyt open source-komponenttiin haitallisen ominaisuuden, joka aktivoituu tiettyjen parametrien (esimerkiksi kyrillinen näppäimistö, geolokaatio, ym.) täyttyessä ohjelmaa käyttävässä laitteessa. Haittaohjelmaa on mahdollisesti ollut tarkoitus käyttää yksilöityä valtiollista toimijaa vastaan, mutta ohjelmointivirheen vuoksi uhka kohdistuu laajemmin parametrit täyttäviin laitteisiin. Suomalaisorganisaatio lataa ja asentaa edellä mainitun haitallisen komponentin omaan järjestelmään viimeisimmän päivityksen myötä. Julkisista lähteistä ei löydy tietoa päivityksen haitallisuudesta.

Soveltaminen

Skenaariossa testataan organisaation teknistä havainnointi- ja forensiikka-kykyä. Skenaario haastaa organisaatiota miettimään open source -komponenttien valvontaa sekä omiin päivityskäytäntöihin liittyviä prosesseja. Kriittisyys ohjelmistojen toimitusketjujen läpinäkyvyyteen nousee skenaariossa myös keskiöön.

Lisähaaste

Haittaohjelma on nopeasti järjestelmässä leviävä aiemmin tunnistamaton kiristyshaittaohjelma joka sen lisäksi, että se kryptaa tiedostoja, on mahdollistanut myös niiden siirtämisen takaportin kautta rikollisten haltuun.

Toimitusjohtajahuijaus

Toimeksiantoihin liittyvä henkilöllisyyksien tarkastaminen ja rahaliikenteen turvallisuuteen liittyvät prosessit.

Skenaario

Organisaation taloushallinto vastaanottaa kiireellisen puhelun, joka tulee suomen ulkopuolella sijaitsevasta pääkonttorin vaihteen numerosta. Soittaja esittäytyy organisaation toimitusjohtajaksi. Hän ilmoittaa tekeillä olevasta salaisesta yrityskaupasta, johon tarvitaan pikainen käsiraha (xx euroa). Toimitusjohtajaksi esittäytynyt henkilö esittää vahvistusmekanismin toimenpiteelle, ja ehdottaa lähettävänsä pikaviestimen kautta tiedot pankkitilistä ja maksutiedoista, koska hänen sähköposti ei kuulemma toimi tällä hetkellä.

Soveltaminen

Skenaarion kautta voidaan tarkastella organisaation olemassa olevia maksu- ja varainsiirtoprosesseja. Organisaation on hyvä skenaarion kautta miettiä muun muassa henkilöllisyyden tarkistamiseen liittyviä käytäntöjä. Skenaarion avulla organisaatio voi miettiä, mitä tapoja esimerkiksi soittajan henkilöllisyyden tarkistamiseksi on käytössä eri tilanteissa.

Lisähaaste

Puhelu tulee tilintarkastusajankohtana, kesäkuukausina tai muuna ajanjaksona, jolloin organisaation taloushallinto on kiireinen tai muutoin vajaamiehitetty.

Sähköpostiosoitteiden mustalle listalle joutumisesta kiristäminen

Sähköpostipalvelun tietoturvaan liittyvien prosessien harjoittelu.

Skenaario

Organisaatio saa kiristysviestin, jossa hyökkääjä uhkaa mustata organisaation maineen lähettämällä organisaation sähköpostiosoitteista miljoonittain roskapostia. Tällöin organisaatiota uhkaa päätyminen sähköpostipalvelimien mustalle listalle, eikä organisaation sähköpostiliikennettä enää välitetä. Seurauksena mahdollinen toiminnan vaikeutuminen ja mainehaitta.

Soveltaminen

Organisaation on selvitettävä oman organisaationsa turvalliset sähköpostikonfiguraatioasetukset. Skenaario harjoituttaa muun muassa prosesseja ja toimenpiteitä, joiden avulla ongelma saadaan ratkaistua.

Lisähaaste

Organisaatio on jo joutunut mustalle listalle, josta sen on päästävä pois. Organisaation on selvitettävä ne tahot, joille on ilmoitettava, jotta listalta pääsee pois. Lisäksi on selvitettävä, miten jo mahdollisesti syntynyt mainehaitta korjataan.

Sosiaalisen median käyttäjätilin salasanavuoto

Organisaation salasanakäytännöt ja ohjeistukset sekä tietosuojaprosessit.

Skenaario

Organisaation virallisen sometilin pääkäyttäjäoikeudet on liitetty työntekijän henkilökohtaiseen sometiliin. Työntekijä kirjautuu omilla tunnuksillaan haitalliselle sivustolle, jolloin myös yrityksen tunnukset joutuvat vääriin käsiin. Työntekijä ei itse huomaa käyttäjätunnusten vuotoa. Organisaation sometilillä aloitetaan pian tapahtuneen jälkeen organisaation mainetta tahraava viestintäkampanja, joka uhkaa tulevaa yrityskauppaa.

Soveltaminen

Skenaariolla voidaan harjoitella yrityksen sisäistä ja ulkoista viestintää sekä maineen hallintaa. Harjoituksessa voidaan myös testata tietosuojaan liittyvien prosessien hallintaa. Skenaariota voidaan käyttää myös käyttäjätunnusten hallinnan prosessien sekä organisaation sisäisten tapahtumapolkujen tunnistamiseen juurisyyharjoituksen muodossa.

Lisähaaste

Yrityksen työntekijä, jonka tilin kautta yritystili on kaapattu, ei ole tavoitettavissa viikkoon.