Tietoturvan kehittämisen yhteydessä tulee säännöllisesti arvioida kehitettyjen suojausratkaisujen luotettavuutta uhkamallintamisen tai testauksen avulla. Esimerkiksi tietojärjestelmien suojaus varmennetaan auditoinnilla tai teknisellä murtotestauksella ennen tuotantokäytön aloittamista sekä vähintään aina muutosten yhteydessä. Testaustilanteet painottuvat erilaisten haavoittuvuuksien löytämiseen ja niiden hyödyntämismahdollisuuksien arviointiin.
2NS on kehittänyt uhkamallin, jonka avulla pyritään luomaan entistä realistisempia testaustilanteita kyberhyökkäyksiin. 2NS-uhkamallilla simuloidaan kehittyneiden uhkatoimijoiden (advanced persistent threat, APT) hyökkäyksiä suojattavaa kohdetta vastaan. 2NS-uhkamallin avulla suoritetaan eräänlainen testihyökkäys tarkastelun kohteena olevaa infrastruktuuria tai järjestelmää vastaan. Uhkamalli ottaa huomioon aikaisempaa paremmin hyökkääjän tavoitteet, motiivit, hyökkäyksen eri vaiheet sekä toimijat ja tarjoaa tätä kautta realistisemman tavan suunnitella, testata ja harjoitella kyberhyökkäysten torjuntaa.
Mistä uhkamalli muodostuu?
Uhkamalli, jota voidaan kutsua myös harjoitusvastustajaksi, rakentuu kehittyneen uhkatoimijan, eli APT:n:
- käyttötapauksista, joihin sisältyy aina tavoitteellinen toiminta
- organisaatiosta, jolla havainnollistetaan hyökkäyksen takana olevaa kokonaisuutta
- modulaarisista hyökkäysvaiheista
- hyökkäyksessä käytettävästä infrastruktuurista, toimitiloista, laitteista ja ohjelmistoista
- taktiikoista ja tekniikoista, joita hyökkääjä käyttää eri hyökkäyksen vaiheista
Uhkamallinnuksen 4 eri tapaa
Uhkamallinnusta voidaan tehdä eri näkökulmista ja useilla eri menetelmillä. Uhkamallinnus voidaan jakaa karkeasti neljään eri lähestymistapaan:
- Asset eli tieto-omaisuus näkökulmasta tehtävä uhkamallinnus on ehkä lähimpänä perinteistä riskienhallintaa. Tässä uhkamallinnus aloitetaan tunnistamalla omat suojattavat kohteet, jonka jälkeen arvioidaan suojattavaan tietoon kohdistuvia riskejä.
- Hyökkääjäsuuntautuneessa uhkamallinnuksessa asetutaan hyökkääjän saappaisiin ja mietitään, mitä hyökkääjä tavoittelee ja kuinka tavoite olisi hyökkääjän kannalta helpoiten saavutettavissa.
- Järjestelmä- tai ohjelmistosuuntautuneessa uhkamallinnuksessa voidaan esimerkiksi purkaa testauskohde komponenteiksi ja arvioida kuhunkin komponenttiin kohdistuvaa uhkaa.
- Tietosuuntautuneesta uhkamallinnuksesta hyvä esimerkki on mm. GDPR ja henkilötietojen suojaus. Tässä uhkamallinnus lähtee vahvasti liikkeelle suojattavasta tiedosta ja siihen kohdistuvista riskeistä. Näkökulma voidaan nähdä asset-suuntautuneen uhkamallintamisen alakategoriana.
2NS-kyberuhkamallit
2NS:n uhkamallit edustavat hyökkääjäsuuntautunutta uhkamallintamista. Uhkamallit on koottu eri lähteistä analysoimalla sekä kyberhyökkäyksiä että erikoisjoukkojen ja rikollisryhmien toimintaa. Tutkimuksen pohjalta on koottu muutama APT-malli, joissa on otettu huomioon eri toimijoiden käyttötapaukset, tavoitteet, organisaatio, henkilöstö, teknologiat, hyökkäysinfrastruktuuri sekä hyökkäyksen vaiheet. Kehitettyjä malleja parannetaan jatkuvasti projekteista saatujen kokemusten perusteella.
Uhkamalleja voidaan käyttää esimerkiksi:
- SOC:n havainnointikyvyn laajuuden määrittelyyn ja suunnitteluun
- SOC:n kyvykkyyden testaamiseen ja vastatoimien suunnitteluun
- Toiminnallisten harjoitusten ja työpöytäharjoitusten uhkamallina
- Kyberturvallisuuskoulutuksissa
- Riskityöpajoissa kyberuhkien tunnistamiseen ja kontrollien mitoituksessa
- Turvallisen arkkitehtuurin ja kovennusten suunnittelussa
- Redteamingin suunnittelussa ja toteutuksessa
- Purpleteamingin suunnittelussa ja toteutuksessa
Menetelmä ei välttämättä sovellu yksittäisen tietojärjestelmän tai sovelluksen tietoturvatestaukseen, johon taas voidaan hyödyntää esimerkiksi STRIDE-menetelmää.
Hyökkäyssimulointiin pohjautuvan uhkamallinnuksen hyödyt
Uhkamallin suurin hyöty on siinä, ettei hyökkäyssimulointia tehdessä tarvitse aina miettiä uudelleen kaikkia mahdollisia hyökkäysskenaarioita, eli mitä hyökkääjä mahdollisesti tekisi missäkin vaiheessa. Uhkamallin avulla toteutettu simulointi onkin aina lähempänä realistista tilannetta kuin ad hoc -testaus.
Uhkamallin avulla voidaan myös aina valita asiakkaan maturiteettiin soveltuvimmat testausvaiheet ja menetelmät. Kyberhyökkäyksen jakaantuminen vaiheisiin mahdollistaa sen simuloinnin modulaarisesti. Kokonaisen operaation sijaan hyökkäyssimulointi voidaan vaiheistaa ja oppeja voidaan jalkauttaa jokaisen opitun vaiheen jälkeen. Uhkamalliin perustuva simulointi mahdollistaa myös sujuvan siirtymän teknisestä testauksesta ja simuloinnista niin sanottuihin työpöytäharjoituksiin, eli tietoturvaharjoituksiin aina kulloisenkin tarpeen mukaisesti.
Mikäli uhkamalliin perustuva hyökkäyssimulointi kiinnostaa ja haluat hyötyä modulaariseen uhkamalliin pohjautuvasta tietoturvatestauksesta omassa organisaatiossasi, ole meihin yhteydessä. Toteutamme myös muita kirjoituksessa mainittuja palveluita, kuten STRIDE-uhkamallinnusta ja työpöytäharjoituksia, sekä toimimme kokonaisvaltaisena tietoturvakumppanina yrityksille tietoturvan johtamisessa, kehittämisessä ja testaamisessa.
Pasi Hakkarainen
Tietoturva-asiantuntija, 2NS