Case Studies

Red teaming – organisaation kybervalmiuden ja reagointikyvyn happotestaus

Red teaming -harjoituksessa kyberasiantuntijat tekevät organisaatioon realistisen kyberhyökkäyksen hyödyntämällä aitoja rikollisten käytössä olevia menetelmiä. Tällä pyritään löytämään organisaatiokohtaiset heikkoudet − ja hyökkäys toimii samalla kyberturvallisuuden happotestinä. Red teaming -harjoituksen tavoitteena on päästä käsiksi organisaation tietojärjestelmiin, tietopääomaan, käyttöoikeuksiin tai verkkoon. Alla olevan käytännön esimerkin kautta selviää, miten Deloittella toteutamme tällaisen harjoituksen ja mitä niistä tyypillisesti paljastuu

7.10.2021

Red teaming -harjoituksella testataan yleensä yrityksen kannalta kriittisimmät kyberuhat ja organisaation valmius reagoida niihin. Kriittisimmät uhat ja testin tavoite kartoitetaan yhdessä asiakkaan kanssa. Tavoitteena voi esimerkiksi olla ulkopuolisen hyökkääjän pääsyn estäminen organisaation suojattuihin tuote-, asiakas- tai henkilötietoihin, johonkin yksittäiseen järjestelmään, verkkoon, identiteetin ja pääsynhallintaan tai fyysisesti organisaation tiloihin.

Hyökkäykseen sovelletaan tavoitteesta riippuen erilaisia menetelmiä ja yhdistelemme niitä saavuttaaksemme tavoitteemme mahdollisimman helposti – kuten rikollinenkin toimisi.

 

Tyypillisesti Suomessa halutaan ensisijaisesti suojata asiakkaan tietoihin pääsy ja estää haittaohjelmien levittäminen. Tällä pyritään välttämään liiketoiminnan keskeytykset.

 

 

Simuloimme tavoitteellista kyberhyökkäystä testaamalla organisaation teknistä kyberhaavoittuvuutta

Asiakkaallamme oli arkaluontoisia tuote-, asiakas- ja henkilötietoja, jotka haluttiin turvata. Organisaatio halusi lisäksi varmistaa, ettemme saa käyttöoikeuksia, joilla voisimme levittää haittaohjelmia ja rampauttaa asiakkaan IT-ympäristöä.

Aloitimme harjoituksen asiakkaan kanssa määrittelemällä, ketkä organisaation sisällä tietävät harjoituksesta. Yleensä vain muutama organisaation avainhenkilö tietää projektista. Näin päästään mahdollisimman realistisesti testaamaan kybervalmiutta eli niin sanottua detection and response -toimintoa.

Kävimme valittujen yhteyshenkilöiden kanssa uhkakartoituskeskustelun, jossa määritimme asiakkaalle keskeisimmät kyberuhat ja todennäköisimmät hyökkääjätyypit. Keskeisimpiä hyökkääjätyyppejä ovat valtiolliset toimijat, harrastelijat - lähinnä vandalisointi mielessä - erilaiset aktivistiryhmät, rikollisryhmät ja usein myös työntekijöistä aiheutuvat sisäiset uhat.

Seuraavaksi määrittelimme harjoitukselle tavoitteen ja rajasimme käytettävissämme olevat keinot ja menetelmät. Näiden tietojen pohjalta rakensimme skenaarion, jossa päätimme hyökkäämmekö organisaatioon ulkoa, kohdistammeko toimia fyysisiin toimitiloihin vai keskitymmekö sosiaaliseen manipulointiin.

Joonas Sundberg
Manager, Cyber Risk
joonas.sundberg@deloitte.fi
+358 50 454 3387

Antti Herrala

Antti Herrala
Partner, Cyber Risk
antti.herrala@deloitte.fi
+358 40 768 8397

Riippumattomalla asiantuntijalla huoletonta testausta

Harjoitusskenaario voidaan aloittaa tilanteesta, jossa hyökkääjällä ei ole minkäänlaista jalansijaa kohdeympäristössä tai vaihtoehtoisesti ns. ”assumed breach” -lähtötilanteesta, jossa hyökkääjä on jo päässyt sisälle yrityksen verkkoon. Molemmissa tapauksissa asiantuntijamme keräävät mahdollisimman paljon tietoa kohteesta ennen sopivimman menetelmän valintaa. Selvitystyö on tärkeä osa onnistunutta harjoitusta, jotta löydämme tehokkaimman keinon kyseiseen yritykseen ilman että jäisimme kiinni.

Esimerkkitapauksessamme harjoitusskenaarioksi valikoitui tilanne, jossa hyökkääjä ei ollut vielä sisällä organisaatiossa. Mietimme aina organisaatio- ja profiilikohtaisesti, millainen huijausyritys voisi toimia ja keneen se tulisi kohdistaa. Yksi hyökkäyksen alkuvaiheen tyypillinen menetelmä on sosiaalinen manipulointi (social engineering). Siinä kohdeorganisaation henkilöstöä huijataan jollakin tavalla auttamaan hyökkääjää tai tekemään jotain organisaation edun vastaista. Hyökkääjä saattaa esimerkiksi seurata työntekijöitä ja pyrkiä organisaation fyysisiin toimitiloihin lukittujen ovien ohi. Muita tyypillisiä keinoja ovat myös tunnusten ja salasanojen kerääminen huijaussähköposteilla tai hyökkääjän kehittämää ohjelmakoodia sisältävät sähköpostiliitteet, joiden avulla hyökkääjä voi ajaa komentoja työntekijän työasemalla.

Tässä projektissa lähetimme valikoiduille taloushallinnon henkilöille räätälöidyt huijausviestit. Tätä ennen heidän taustansa selvitettiin tarkasti. Näin haluttiin varmistua siitä, mikä resonoi heihin parhaiten. Kuten rikolliset, myös me luotimme henkilöiden kiireeseen, joka usein on varmin ja helpoin tapa erehdyttää ihmistä. Päästyämme henkilön työasemaan selvitimme, miten se on konfiguroitu, millaisiin verkkoihin meillä oli pääsy ja haavoittuvuuksia hyväksikäyttämällä laajensimme käyttöoikeuksiamme. Kyseisen henkilön kautta pääsimme myös siirtymään kollegoiden työasemiin ja tekemään lisähyökkäyksiä.

Harjoituksen edetessä mietimme jatkuvasti mahdollisimman tehokasta tapaa edetä seuraavaan vaiheeseen. Teemme vaiheet hyvin hienovaraisesti, kuten ammattimaiset toimijat tekevät: mitä enemmän on melua, sitä varmemmin ja nopeammin jää kiinni. Projektimme kesti kokonaisuudessaan muutaman kuukauden, jonka aikana oli aktiivisia, mutta myös passiivia vaiheita kiinnijäämisen riskin madaltamiseksi − rikollistenkin projektit ovat usein pitkiä ja heillä on monta rautaa tulessa samanaikaisesti.
 

Päivitimme tilannetta asiakasorganisaation sovituille yhteyshenkilöille koko harjoituksen ajan. Aina kun uusia potentiaalisia etenemistapoja löydettiin, niistä keskusteltiin asiakkaan yhteyshenkilön kanssa. Näin pystyttiin välttämään tarpeetonta haittaa organisaatiolle ja etenemään turvallisesti ja kontrolloidusti.

Harjoituksen loppuraportti sisältää dokumentaation ja suositukset

Moni asiakasorganisaatioistamme investoi Red teaming -harjoitukseen, sillä sen avulla on mahdollista saada riippumattoman asiantuntijan arvio kyberturvallisuuden tasosta hyvin konkreettisen skenaarion kautta. Käytännössä testaamme yhdessä organisaation kanssa sen kykyä havaita, reagoida ja poistaa hyökkääjät ympäristöstään.

Toimitamme aina harjoituksen päätyttyä asiakkaallemme raportin, jossa dokumentoidaan tarkasti tehdyt toimenpiteet. Lopputuotos sisältää hyökkäysskenaariot, ylätason havainnot harjoituksen aikana ja jatkosuositukset tulevaa varten. Käymme tulokset aina erikseen läpi asiakasorganisaation johdon ja yrityksen kyberturvatiimin kanssa. Haluamme toimenpiteidemme olevan läpinäkyviä ja selkeitä teknisille osaajille, mutta ymmärrettäviä myös muille. Johto on tyypillisesti hyvin kiinnostunut tuloksista.

Tyypillisesti suurimmat haasteet löytyvät organisaation ja mahdollisen kumppanin välisistä sopimuksista tai viestinkulusta. Esimerkiksi tässä tapauksessa salasanat olivat heikot, mutta lisäksi hyökkääjän toimintaa helpotti se, että ulkoistetun toimijan aktiivinen valvonta kattoi vain toimistoajat. Tämän vuoksi pääsimme ilta-aikaan, pyhinä ja viikonloppuina rauhassa etenemään organisaation IT-ympäristössä kenenkään huomaamatta. Jouluaatto ja viikonloput ovatkin kyberrikollisten kulta-aikaa – onko teidän organisaationne tietoturva-asiat kunnossa?

Oliko tieto hyödyllistä?