Työkalut tietoverkon tietoturvan todentamiseen

Abstract

Yrityksien ja organisaatioiden tietojärjestelmiin kohdistuu aina tietoturvavaatimuksia. Vaatimukset voivat olla määrämuotoisia ja organisaation ulkopuolelta saneltuja tai organisaation itse määrittelemiä. Vaatimukset pyritään täyttämään hallinnollisin, fyysisin ja teknisin keinoin kuhunkin tilanteeseen ja käyttöympäristöön soveltaen. Jotta voidaan varmistua vallitsevasta tietoturvan tilasta, on se testattava käytännössä.

Tutkimuksen tavoite oli kehittää kohdeorganisaation tietämystä tietoverkkoon kohdistuvista hyökkäyksistä ja parantaa sen kykyä suorittaa säännöllisiä sisäisiä auditointeja valitun vaatimuskriteeristön mukaisesti. Tutkimus keskittyi tekniseen tietoturvaan ja jätti käsittelemättä hallinnollisen-, henkilöstö- ja fyysisen turvallisuuden sekä sosiaalisen hakkeroinnin. Tutkimuksen tuloksena saatujen työkalujen valintaan vaikuttivat kohdeorganisaation tarpeet, toimintaympäristö, valittu vaatimuskriteeristö ja käytettävissä olevat resurssit.

Tutkimus toteutettiin tapaustutkimuksena. Tutkimus aloitettiin perehtymällä hyökkääjän toimintatapoihin teoriatiedon avulla. Haastatteluiden ja uhka-analyysin avulla selvitettiin työkaluilta vaadittavat ominaisuudet. Valittujen työkalujen toiminta testattiin kaksivaiheisessa kontrolloidussa kokeessa. Ensin työkalujen toimintaa testattiin ja harjoiteltiin sekä niiden käyttöä vakioitiin erillisessä tiukasti kontrolloidussa testiympäristössä. Lopuksi työkalujen haluttu toiminta varmistettiin kohdeorganisaation tuotantoympäristössä, jolloin vain käytetyt työkalut olivat tiukasti kontrolloituja.

Tutkimus aloitettiin vuoden 2012 alussa ja se valmistui syksyllä 2013. Tutkimuksen tuloksena kohdeorganisaatio sai tarvitsemansa työkalut sisäisten auditointien suorittamiseen sekä tietoa tietoverkkoon kohdistuvista hyökkäyksistä.

Information systems of companies and organizations always face security requirements. Requirements can be formal and determined from outside of the organization or they can be defined by the organization itself. Requirements are fulfilled by administrative, physical and technical means and applied to each situation and environment. To be certain about current state of information security, it must be tested.

The focus of the research was to develop the target organization’s knowledge of network attacks opposed to information systems and to improve the organization’s ability to make internal audits based on chosen audit criteria. Research focuses on technical information security and it doesn’t go through administrative security, personnel security and physical security or social hacking. Results of the research were affected by target organizations demands, operating environment, chosen audit criteria and available resources.

The research was carried out as a case study. It was started by studying theory of the ways information systems are attacked. Using interviews and threat analysis information about the features required by the tools were gathered. Chosen tools were tested in two-phase controlled trial. First phase was conducted in a strictly controlled test environment. Purpose of the tests was to test and practice how the tools work and also to standardize and document the usage. Latter phase of the controlled trial verified the way tools were intended to operate. At this point the control of the test was extended only to the tools itself.

The research was started in the beginning of the year 2012 and it was finished in autumn 2013. As a result of the research target organization got the needed tools to conduct internal audits and information about network attacks was provided.