TIBER-FI on finanssialan toimijoille tehty Red Teaming -tietoturvatestauksen malli. TIBER-FI on suomalainen sovellus Euroopan Unionissa kehitetystä TIBER-EU-kehyksestä, jolla pyritään yhdenmukaistamaan finanssialan toimijoiden tietoturvatestaamista Unionissa. Nimi tulee sanoista Threat Intelligence Based Red Teaming.
Finanssialan tietoturvan tasoa määrittävät regulaatiot kuten DORA-asetus ohjaavat tietoturvan säännölliseen tekniseen uhkapohjaiseen testaamiseen ja tällä hetkellä nimenomaan TIBER-FI -kehys on suositeltu malli testauksen toteuttamiseen.
TIBER-FI-kehys määrittää Red Teaming -harjoituksen rakenteen ja sen, millaisten uhkatekijöiden tekniikoita sekä taktiikoita hyökkäystä toteuttava palveluntarjoaja soveltaa toimeksiannon aikana. Kehys määrittää myös vaatimuksia harjoitukseen osallistuville osapuolille. Esimerkkinä tästä on vaatimus siitä, että simuloidun hyökkäyksen toteuttavan Red Teamin on oltava riippumaton, kohdeorganisaatiosta ulkopuolinen ja neutraali osapuoli, jolla ei ole suoria kytköksiä organisaation kyberpuolustuksen suunnitteluun ja valvontaan.
Avainasemassa tähän ovat kehikon nimen ensimmäiset kaksi kirjainta T ja I (Threat Intelligence). Uhkatoimijat, joiden käyttämiä menetelmiä hyökkääjän toimintaa simuloiva Red Team -toimija mallintaa, perustuvat aitoon viranomaisten tuottamaan uhkatietoon siitä, millaisia kyberuhkia finanssialan erilaisiin toimijoihin juuri nyt kohdistuu. Suomessa pohjana on Suomen Pankin tilauksesta toimitettu Nordic Financial CERT:in (NFCERT) yhteispohjoismainen uhkatietoraportti.
Uhkatieto TIBER-FI-harjoituksen pohjana
Viranomaisten tuottamaa uhkatietoa täydennetään harjoituksen kohteena olevaa organisaatiota vastaan suoritetun avoimen lähteiden tiedustelun (OSINT) sekä muun valmistelevan työn ja tiedustelun pohjalta. Uhkatieto suhteutetaan myös siihen, millaisia suojattavia kohteita sekä kriittisiä toimintoja (critical functions) juuri kohteena olevalla organisaatiolla on.
Uhkatiedon avulla kartoitetaan testauksen kohteena olevaan yritykseen kohdistuvia uhkaskenaarioita ja näiden pohjalta suunnitellaan testauksessa toteutettavat hyökkäysskenaariot. Hyökkäyssimulaation tavoitteena on mallintaa mahdollisten hyökkääjien taktiikoita, tekniikoita ja prosesseja (TTP-ajattelu).
TIBER-projektin suunnittelussa ovat osapuolina tiedustelusta vastaava toimija, hyökkääjän toimintaa mukaileva Red Team -organisaatio, tilaajaorganisaatiota edustava White Team, joka hyväksyy harjoituksen kulun ja sen, mitä uhkaskenaarioita itse toteutuksessa lähdetään simuloimaan. Testauksen tilaavan organisaation puolustusta edustava Blue Team ei saa harjoituskehyksen mukaan olla ennakkoon tietoinen hyökkäyssimulaatioista, jotta testattu vaste olisi mahdollisimman todenmukainen.
TIBER-kehys vaatii mahdollisimman todenmukaisen testauksen, jonka takia hyökkääjien toteuttama eskalaatio rajataan tarkasti projektin valmisteluvaiheessa. Projektin suunnittelua tukee myös Suomen Pankin tarjoama erityisasiantuntija.
Suunnitteluvaiheen jälkeen TIBER-FI-projekti etenee varsinaiseen hyökkäyssimulaatioon, jonka tuloksista harjoituksen toteuttava Red Team raportoi projektin kohdeorganisaatiolle. Raportoinnin tulosten perusteella kohdeorganisaatio saa arvokasta ja TIBER-kehyksen sisällä yhteismitallista tietoa kriittisten kohteidensa tietoturvan tilasta.
2NS eli Second Nature Security on kokenut Red Teaming -tietoturvatestausten toteuttaja. Olemme testanneet asiakkaidemme tietoturvaa myös TIBER-FI -toimeksiannoissa.