Tietoturvapoikkeaman havaitseminen suuressa organisaatiossa

Abstract

Organisaatioiden tietoturvassa on usein puutteita havaita tietoturvapoikkeamat ajoissa tai kokonaan. Tämä opinnäytetyö tarkastelee, mitä keskeisiä tietoturvauhkia yrityksiin kohdistuu ja miten niitä voidaan havaita keskitetyn lokienhallinnan, sekä ulkoistetun valvomon avulla. Keskitetyssä järjestelmässä asiakasorganisaatiolla on mahdollisuus seurata valmiiksi muodostettuja raportteja havainnoista ja niiden perusteella aloittaa lisäselvitykset poikkeaman korjaamiseksi.

Opinnäytetyö käsittelee asiakasorganisaation tietojärjestelmästä löydettyä poikkeamaa, jonka tutkintaa vaikeutti kohdejärjestelmään kirjatun tapahtumatiedon vajavaisuus. Opinnäytetyössä pyrittiin kehittämään ja helpottamaan lokitietojen automatisoitua analysointia tutkimalla tarkemmin alkuperiä Windows-käyttöjärjestelmän lokitietoihin kirjatuista tietotietoturvatapahtumista.

Työn teoriaosuudessa käydään läpi tietoturvaa ja suojautumisen merkitystä, sekä syvennytään lähemmin käyttäjien kirjautumisista syntyviin tapahtumatietoihin Windows-järjestelmässä. Tämän jälkeen teoriaosuudesta siirrytään käsittelemään löydetyn tietoturvapoikkeaman tutkinnan prosessia.

Poikkeaman alkuperän selvittämisen haasteesta huolimatta työssä päädyttiin onnistuneeseen lopputulokseen, jossa asiakasorganisaation tietoturvasuunnitelman mukainen tavoitetila saatiin palautettua ennalleen.

Opinnäytetyön tavoitteessa kehittää valvontatyökaluja ja avata merkityksiä Windows-tietoturvatapahtumille onnistuttiin ja lopputuloksena samankaltaisten tapausten läpikäyminen on huomattavasti nopeampi prosessi.

Organizations information security often lacks the abilities to detect security deviations in time or at whole. Thesis examines the key security threats facing businesses and how the threats can be detected by centralized log management and an external security operations center. In a centralized system the customer organization can inspect the completed reports of the findings. The findings are crucial in order to further investigate and correct the found security deviations.

The thesis handles a deviation found in a customer organization's information system. The investigation was complicated by incompleteness of event information recorded in the target system. The aim of the thesis was to develop and facilitate the automated analysis of log data by investigating the origin of the information security events recorded in the Windows operating system logs.

The theoretical part of this thesis examines information security as a concept and the importance of protective measures. This part focuses on the authentication protocols used on Windows-based operating systems and the security events containing account logon information. The next part focuses on further inspecting the process of the found security deviation.

Despite the challenge of finding out the source of origin, a successful outcome was achieved, and target status of the customer organization's security plan was restored.

The aim of the thesis to develop monitoring tools and to emphasize the significance of Windows security events was achieved. Processing similar events in the future is going to be considerably faster.