Improving the cybersecurity readiness and capabilities of SME-companies in Southwest Finland : implementing a focused cyber threat information sharing service using MISP
Rantala, Juuso (2021)
2021
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021110819427
https://urn.fi/URN:NBN:fi:amk-2021110819427
Tiivistelmä
COVID-19-pandemiasta aiheutuneiden toimien vuoksi useat yritykset joutuivat siirtymään täyteen tai osittaiseen etätyöskentelymalliin. Tämä nopea aikataulu pakotettuun siirtymiseen verkon yli työskentelyyn johti nousuun kyberuhka tilanteissa ja hyökkäyksissä verkkoja ja laitteita kohtaan. Osana Euroopan unionin pyrkimyksiä korjata pandemiasta aiheutuneita kuluja ja tuhoja suunniteltiin elvytystoimia talouden eheyttämiseksi ja totutun normin palauttamiseksi. Yhtenä pääkohtana näistä toimista on kehittää ja turvata yritysten digitalisaatiota ja etätyöskentelyä.
Tämä opinnäytetyö käsittelee kyberuhkatiedon merkitystä globaalista pandemiasta johtuvan etätyöskentelymallin aiheuttaneessa kyberuhkaympäristössä. Opinnäytetyössä esitetään ratkaisu kyberuhka tiedon standardisoimiseksi ja sen käsittelyn yhtenäistämiseksi käyttämällä avoimen lähdekoodin alustaa MISP. Tämän alustan avulla on mahdollista tarjota kestävän kehityksen mukaisia turvapalveluja pienille ja keskisuurille yrityksille Varsinais-Suomen alueella. Edellä mainittu MISP-alustaan pohjautuva palvelu alustetiin ja konfiguroitiin tomimaan itsenäisesälle palvelimella, josta laadittua kyberuhkatietoa voidaan turvallisesti jakaa eteenpäin käyttäjille. MISP-alustan käyttöönottoa varten laadittiin myös kattava käyttäjä- ja ylläpito-ohjeistus. Edellä kuvatun ulkoisen turvapalvelun käyttöönotto mahdollistaa yksityishenkilöiden ja yritysten kyberturvallisuden ylläpidon ja kehittämisen, tuottamatta lisäkustannuksia. Opinnäytetyö toteutettiin Turun Ammattikorkeakoulussa sijaitsevalla palvelimella, jolle asennettiin hallinto- sekä käyttöinstanssit MISP-alustasta. Opinnäytetyön tuloksena käynnistettiin palvelu jonka kautta sen käyttäjät saavat tarkennettua ja reaaliaikaista kyberuhkatietoa ja tukea omiin kyberturva toimiin ilman ylimääräisiä sovellus- tai laitekustannuksia. Opinnäytetyön tuloksena luotiin myös ohjeistukset käyttäjiä ja ylläpitäjiä varten. Näiden ohjeistusten avulla palvelun käyttäjät voivat tehokkaammin hyötyä MISP-alustan ominaisuuksista ja kyberuhkatiedosta, ohjeistus ”User manual” on lisätty liitteenä (Appendix 1) tähän opinnäytetyö dokumenttiin.
MISP-alustassa säilytettävää kyberturvatietoa on mahdollista visualisoida laajemmin ja rikastaa pidemälle moduuleilla käyttäjän tarpeiden mukaan. Alustan käyttäjien toimia voidaan pelillistää jatkamalla MISP-alustan toiminnalisuuksia MISP Dashboard moduulilla. Nämä jatkotoimenpiteet ovat tämän opinnäytetyön tavoitteiden ulkopuolella ja ovat tästä syystä lueteltu jatkokehitysmahdollisuuksina. Businesses and organizations were compelled to alter their work customs from in-house office employment to remote work over the internet to accommodate new health regulations set by governments due to the COVID – 19 pandemic. This sudden shift to remote working without proper digitalization options and online working support has been observed to be the leading cause to the increase in cybersecurity issues and threat actor activity. As a part of the European Union’s COVID -19 relief and recovery efforts a project has been proposed to ensure low – cost and sustainable digitalization solutions for organizations and companies to aid in restoring normal workflow and establishing comprehensible and secure cybersecurity measures and remote work connections.
The purpose of this thesis is to discuss the current demand for comprehensive and sustainable cybersecurity services and universally acknowledged cyber threat intelligence standards, and to document and illustrate the implementation of a new CTI sharing service using the MISP malware information sharing platform. The author describes the significance of CTI in ensuring security of devices and networks, and proposes a method of offering a coherent, sustainable and economical solution to cybersecurity measures for small to medium sized companies in Southwest Finland. By establishing a CTI sharing service using the aformentioned open-source software MISP, the author proposes to deliver targeted threat information and a venue for threat information and support sharing for the client companies involved in the project, with no or next to no added hardware or software cost on top of the companies normal networking costs. The steps taken by the author for setting up the service are discussed in this document with further discussion on possible steps that may be taken with the MISP platform and other services to automate security on networks and devices, and to further visualize the CTI generated in MISP.
Work on the thesis produced the dedicated CTI sharing service, detailed in this document, running on the TUAS premises which includes the main instance of MISP from which data is shipped to connected MISP nodes. The service provides its users with CTI data which has been targeted to their industry needs and standards and which can be accessed and benefitted from in real-time, improving and maintaining the security awareness of the user organizations. In addition to the MISP service cluster the work produced instructional documents for users and administrators of the service to aid in operating the service.
Tämä opinnäytetyö käsittelee kyberuhkatiedon merkitystä globaalista pandemiasta johtuvan etätyöskentelymallin aiheuttaneessa kyberuhkaympäristössä. Opinnäytetyössä esitetään ratkaisu kyberuhka tiedon standardisoimiseksi ja sen käsittelyn yhtenäistämiseksi käyttämällä avoimen lähdekoodin alustaa MISP. Tämän alustan avulla on mahdollista tarjota kestävän kehityksen mukaisia turvapalveluja pienille ja keskisuurille yrityksille Varsinais-Suomen alueella. Edellä mainittu MISP-alustaan pohjautuva palvelu alustetiin ja konfiguroitiin tomimaan itsenäisesälle palvelimella, josta laadittua kyberuhkatietoa voidaan turvallisesti jakaa eteenpäin käyttäjille. MISP-alustan käyttöönottoa varten laadittiin myös kattava käyttäjä- ja ylläpito-ohjeistus. Edellä kuvatun ulkoisen turvapalvelun käyttöönotto mahdollistaa yksityishenkilöiden ja yritysten kyberturvallisuden ylläpidon ja kehittämisen, tuottamatta lisäkustannuksia. Opinnäytetyö toteutettiin Turun Ammattikorkeakoulussa sijaitsevalla palvelimella, jolle asennettiin hallinto- sekä käyttöinstanssit MISP-alustasta. Opinnäytetyön tuloksena käynnistettiin palvelu jonka kautta sen käyttäjät saavat tarkennettua ja reaaliaikaista kyberuhkatietoa ja tukea omiin kyberturva toimiin ilman ylimääräisiä sovellus- tai laitekustannuksia. Opinnäytetyön tuloksena luotiin myös ohjeistukset käyttäjiä ja ylläpitäjiä varten. Näiden ohjeistusten avulla palvelun käyttäjät voivat tehokkaammin hyötyä MISP-alustan ominaisuuksista ja kyberuhkatiedosta, ohjeistus ”User manual” on lisätty liitteenä (Appendix 1) tähän opinnäytetyö dokumenttiin.
MISP-alustassa säilytettävää kyberturvatietoa on mahdollista visualisoida laajemmin ja rikastaa pidemälle moduuleilla käyttäjän tarpeiden mukaan. Alustan käyttäjien toimia voidaan pelillistää jatkamalla MISP-alustan toiminnalisuuksia MISP Dashboard moduulilla. Nämä jatkotoimenpiteet ovat tämän opinnäytetyön tavoitteiden ulkopuolella ja ovat tästä syystä lueteltu jatkokehitysmahdollisuuksina.
The purpose of this thesis is to discuss the current demand for comprehensive and sustainable cybersecurity services and universally acknowledged cyber threat intelligence standards, and to document and illustrate the implementation of a new CTI sharing service using the MISP malware information sharing platform. The author describes the significance of CTI in ensuring security of devices and networks, and proposes a method of offering a coherent, sustainable and economical solution to cybersecurity measures for small to medium sized companies in Southwest Finland. By establishing a CTI sharing service using the aformentioned open-source software MISP, the author proposes to deliver targeted threat information and a venue for threat information and support sharing for the client companies involved in the project, with no or next to no added hardware or software cost on top of the companies normal networking costs. The steps taken by the author for setting up the service are discussed in this document with further discussion on possible steps that may be taken with the MISP platform and other services to automate security on networks and devices, and to further visualize the CTI generated in MISP.
Work on the thesis produced the dedicated CTI sharing service, detailed in this document, running on the TUAS premises which includes the main instance of MISP from which data is shipped to connected MISP nodes. The service provides its users with CTI data which has been targeted to their industry needs and standards and which can be accessed and benefitted from in real-time, improving and maintaining the security awareness of the user organizations. In addition to the MISP service cluster the work produced instructional documents for users and administrators of the service to aid in operating the service.