Kiristyshaittaohjelma kasvavana uhkana - kasvun syyt sekä reagointi SOC-tiimissä
Aarnio, Arttu (2022)
2022
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202204225685
https://urn.fi/URN:NBN:fi:amk-202204225685
Tiivistelmä
Kiristyshaittaohjelmien aiheuttamien hyökkäysten uutisointi mediassa on arkipäivää ja ilmiö vaikuttaa tällä hetkellä kyberturvallisuuden tilanteeseen kansainvälisesti. Monet asiantuntijalausunnot sekä tietoturvallisuudessa vaikuttavat tekijät ovat tuoneet esille kiristyshaittaohjelmien muodostaman todellisen uhan jopa yhteiskunnan toimivuuteen kannalta. SOC-toiminnalla on yhä jokapäiväisempi sekä entistä vastuullisempi
rooli kasvavassa kiristyshaittaohjelmauhan hallinnassa. Opinnäytetyön toimeksiantajana toimi Telia Cygate Oy. Opinnäytetyön toimeksiantona oli selvittää kiristyshaittaohjelmien aiheuttamien hyökkäyksien ajankohtaista kehityssuuntaa maailmalla sekä miten SOC-toimintaa voisi kehittää vastaavien kyberhyökkäyksien varalle ja onko SOC-toiminnalla merkitystä kiristyshaittaohjelmahyökkäysten estämiseen ja reagointiin. Työn tavoitteena oli muodostaa kehitysnäkymä kiristyshaittaohjelmien havaintojen määrästä sekä niiden muutoksesta viimeisen viiden vuoden aikana. Lisäksi SOC-toiminnan osalta oli tavoitteena koostaa havaittujen yhteisten piirteiden avulla selkeitä käytänteitä sekä suosituksia kiristyshaittaohjelmien aiheuttamien kriisitilanteiden välttämiseksi. Opinnäytetyössä hyödynnettiin soveltavaa monimenetelmällistä tutkimusta, jossa on myös piirteitä tutkivasta kehittämistoiminnasta. Työn alussa kattavalla tietoperustalla tarkasteltiin yleisesti ajankohtaista kyberturvallisuustilannetta, kiristyshaittaohjelmaa sekä SOC-toimintaa. Tietoperustan jälkeen selvitettiin viimeaikaisen esimerkkitapauksen avulla kiristyshaittaohjelman vaikutusta organisaation ja kansallisen tason näkökulmasta. Myös kiristyshaittaohjelmien tulevaisuuden kehityskulkua arvioitiin julkisten lähteiden avulla. Arvioinnin jälkeen tarkasteltiin kerätyn tutkimusmateriaalin avulla toimeksiannossa esille tuotuja selvitettäviä kehityskulkuja sekä muutoksia. Lopputuloksena opinnäytetyössä saatiin kuvattua tarkasti useisiin eri lähteisiin sekä tutkimusmateriaaleihin vedoten kiristyshaittaohjelmien muutokset työn tavoitteiden mukaisesti. Kiristyshaittaohjelmien hyökkäyksissä havaittujen yhteisten piirteiden selvitys saatiin toteutettua hyökkääjän sekä puolustajan näkökulmat huomioiden. Lisäksi SOC-toiminnan kehityskohteita ja reagoinnin parantamista kiristyshaittaohjelmia vastaan tuotiin esille eri toimijoiden yksityiskohtainen tilanne huomioiden. Tuloksista pystyttiin päättelemään kiristyshaittaohjelmien kasvumuutos sekä ajankohtaiset piirteet hyökkäyksissä. Myös SOC-toiminnassa tarvitaan jatkuvaa kehittämistä kyberturvallisuustilanteen nopeissa muutoksissa tehokkuuden ylläpitämiseksi. Media coverage of attacks caused by ransomware is commonplace and the phenomenon is currently affecting the state of cyber security internationally. Expert opinions and factors affecting information security have highlighted the real threat posed by ransomware even to the functioning of society. Security Operation Center actors are playing increasingly more responsible and everyday role in the growing management
of ransomware attacks. The thesis was commissioned by Telia Cygate Oy. The assignment of the thesis was to find out the current trend of ransomware attacks in the world and how Security Operation Center could be developed for similar cyber attacks and whether SOC play a role in preventing and responding to ransomware attacks. The
aim of the work was to make a perspective on the number of findings of ransomwares and their changes during the last 5 years. Regarding to SOC actions, the aim was also to compile clear practices and recommendations with using the common features identified to avoid crisis situations caused by ransomware attacks. The thesis was carried out as an applied multi-method research, which also has features of exploratory development activities. At the beginning of the work, a comprehensive knowledge base was used to examine the current cybersecurity situation, the ransomware attacks, and the SOC-actions. Following the knowledge base, a recent case study was used to investigate the impact of a ransomwares from an organizational and national perspective. The future development of ransomware was also assessed using public sources. After the assessed, the developments and changes presented in the assignment were examined with the help of the collected research material. As a result, the changes in the ransomware attacks were described with several different sources and research materials. The analysis of the common features detected in the ransomware attacks was carried out considering the views of the attacker’s side and the defender’s side. In addition, the detailed situation of
SOC-actors was highlighted. From the results, it was possible to deduce the change in the growth of ransomware attacks and the current features of the attacks. SOC also need continuous development in the face of rapid changes in the cyber security situation to maintain level.
rooli kasvavassa kiristyshaittaohjelmauhan hallinnassa. Opinnäytetyön toimeksiantajana toimi Telia Cygate Oy. Opinnäytetyön toimeksiantona oli selvittää kiristyshaittaohjelmien aiheuttamien hyökkäyksien ajankohtaista kehityssuuntaa maailmalla sekä miten SOC-toimintaa voisi kehittää vastaavien kyberhyökkäyksien varalle ja onko SOC-toiminnalla merkitystä kiristyshaittaohjelmahyökkäysten estämiseen ja reagointiin. Työn tavoitteena oli muodostaa kehitysnäkymä kiristyshaittaohjelmien havaintojen määrästä sekä niiden muutoksesta viimeisen viiden vuoden aikana. Lisäksi SOC-toiminnan osalta oli tavoitteena koostaa havaittujen yhteisten piirteiden avulla selkeitä käytänteitä sekä suosituksia kiristyshaittaohjelmien aiheuttamien kriisitilanteiden välttämiseksi. Opinnäytetyössä hyödynnettiin soveltavaa monimenetelmällistä tutkimusta, jossa on myös piirteitä tutkivasta kehittämistoiminnasta. Työn alussa kattavalla tietoperustalla tarkasteltiin yleisesti ajankohtaista kyberturvallisuustilannetta, kiristyshaittaohjelmaa sekä SOC-toimintaa. Tietoperustan jälkeen selvitettiin viimeaikaisen esimerkkitapauksen avulla kiristyshaittaohjelman vaikutusta organisaation ja kansallisen tason näkökulmasta. Myös kiristyshaittaohjelmien tulevaisuuden kehityskulkua arvioitiin julkisten lähteiden avulla. Arvioinnin jälkeen tarkasteltiin kerätyn tutkimusmateriaalin avulla toimeksiannossa esille tuotuja selvitettäviä kehityskulkuja sekä muutoksia. Lopputuloksena opinnäytetyössä saatiin kuvattua tarkasti useisiin eri lähteisiin sekä tutkimusmateriaaleihin vedoten kiristyshaittaohjelmien muutokset työn tavoitteiden mukaisesti. Kiristyshaittaohjelmien hyökkäyksissä havaittujen yhteisten piirteiden selvitys saatiin toteutettua hyökkääjän sekä puolustajan näkökulmat huomioiden. Lisäksi SOC-toiminnan kehityskohteita ja reagoinnin parantamista kiristyshaittaohjelmia vastaan tuotiin esille eri toimijoiden yksityiskohtainen tilanne huomioiden. Tuloksista pystyttiin päättelemään kiristyshaittaohjelmien kasvumuutos sekä ajankohtaiset piirteet hyökkäyksissä. Myös SOC-toiminnassa tarvitaan jatkuvaa kehittämistä kyberturvallisuustilanteen nopeissa muutoksissa tehokkuuden ylläpitämiseksi.
of ransomware attacks. The thesis was commissioned by Telia Cygate Oy. The assignment of the thesis was to find out the current trend of ransomware attacks in the world and how Security Operation Center could be developed for similar cyber attacks and whether SOC play a role in preventing and responding to ransomware attacks. The
aim of the work was to make a perspective on the number of findings of ransomwares and their changes during the last 5 years. Regarding to SOC actions, the aim was also to compile clear practices and recommendations with using the common features identified to avoid crisis situations caused by ransomware attacks. The thesis was carried out as an applied multi-method research, which also has features of exploratory development activities. At the beginning of the work, a comprehensive knowledge base was used to examine the current cybersecurity situation, the ransomware attacks, and the SOC-actions. Following the knowledge base, a recent case study was used to investigate the impact of a ransomwares from an organizational and national perspective. The future development of ransomware was also assessed using public sources. After the assessed, the developments and changes presented in the assignment were examined with the help of the collected research material. As a result, the changes in the ransomware attacks were described with several different sources and research materials. The analysis of the common features detected in the ransomware attacks was carried out considering the views of the attacker’s side and the defender’s side. In addition, the detailed situation of
SOC-actors was highlighted. From the results, it was possible to deduce the change in the growth of ransomware attacks and the current features of the attacks. SOC also need continuous development in the face of rapid changes in the cyber security situation to maintain level.