Kyberturvallisuuden pilviportaalien kautta tehtävät reagoivat vastatoimet
Rinta, Joel (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023121537628
https://urn.fi/URN:NBN:fi:amk-2023121537628
Tiivistelmä
Kyberuhkia ei voida täydellisesti poistaa ja täysin suojattu järjestelmä ei ole mahdollinen, kun järjestelmä yhdistetään Internetiin tai mihin tahansa muuhun verkkojärjestelmään. Tietoturvavalvomoilla on tärkeä rooli organisaatioissa kyberuhkien yleistyessä. Tietoturvavalvomo mahdollistaa reaaliaikaisen uhkien havainnoinnin, nopean reagoinnin poikkeamiin ja riskien hallinnan.
Opinnäytetyön toimeksiantajana oli Insta Advance Oy. Opinnäytetyön tehtävänä oli kartoittaa kyberturvallisuuden pilviportaalien kautta tehtäviä reagoivia vastatoimia ja niiden teknistä toteutusta. Työn tavoitteena oli kehittää tietoturvavalvomon reagoivaa toimintaa ja luoda ohjeistus vastatoimiin eri tilanteissa. Luotujen ohjeiden avulla pienennetään vasteaikaa tapahtumien reagointiin. Lisäksi ohjeiden tarkoitus on vahvistaa oikeanlaista ja samalla tehokasta toimintaa kutakin havaittua poikkeamaa kohtaan.
Opinnäytetyön tietoperustassa tarkasteltiin tietoturvavalvomon toimintaa, pilvipalveluiden tietoturvaa, Microsoftin pilvipalveluita, poikkeamienhallintaa sekä pelikirjoja. Käytännön osuudessa kartoitettiin Microsoftin pilviportaaleissa tehtäviä vastatoimia sekä varmistettiin niiden toiminnallisuus käytännössä testityöasemalla ja testikäyttäjällä. Testauksien ja havaintojen pohjalta luotiin pelikirja vastatoimien suorittamiseen.
Työn tuloksena syntyi ohjeistus vastatoimiin taulukkomallisena pelikirjana. Taulukkomallinen pelikirja piti ohjeet järjestelmällisinä ja selkeinä. Pelikirjaa on myös tärkeää pitää ajan tasalla uusien havaintojen ja oppien pohjalta, jotta tapahtumiin reagointi pysyy tehokkaana. Cyber threats cannot completely be eliminated, and achieving a fully secure system is not possible when the system is connected to the Internet or any other network. Security Operations Center plays a crucial role in organizations as cyber threats become more prevalent. Security Operations Center provides real-time threat detection, quick response to anomalies and effective risk management.
The thesis was commissioned by Insta Advance Oy, with the task of mapping reactive countermeasures through cybersecurity portals and their technical implementation. The objective was to enhance the reactive actions of the Security Operations Center and create guidelines for responding to various situations. The created guidelines aim to reduce response time to incidents and reinforce the appropriate and effective actions for each detected anomaly.
In the theoretical part of the thesis, the functioning of Security Operations Center, cloud service security, Microsoft’s cloud services, anomaly management, and playbooks were examined. In the practical part, countermeasures in Microsoft’s cloud portals were identified and their functionality was verified through practical testing on a test workstation and with a test user. Based on testing and observations, a playbook for performing countermeasures was created.
As a result of the thesis, guidelines for countermeasures were developed in the form of a tabular playbook. The tabular playbook was chosen to keep the instructions systematic and clear. It is crucial to keep the playbook up-to-date based on new observations and learnings to ensure effective response to incidents.
Opinnäytetyön toimeksiantajana oli Insta Advance Oy. Opinnäytetyön tehtävänä oli kartoittaa kyberturvallisuuden pilviportaalien kautta tehtäviä reagoivia vastatoimia ja niiden teknistä toteutusta. Työn tavoitteena oli kehittää tietoturvavalvomon reagoivaa toimintaa ja luoda ohjeistus vastatoimiin eri tilanteissa. Luotujen ohjeiden avulla pienennetään vasteaikaa tapahtumien reagointiin. Lisäksi ohjeiden tarkoitus on vahvistaa oikeanlaista ja samalla tehokasta toimintaa kutakin havaittua poikkeamaa kohtaan.
Opinnäytetyön tietoperustassa tarkasteltiin tietoturvavalvomon toimintaa, pilvipalveluiden tietoturvaa, Microsoftin pilvipalveluita, poikkeamienhallintaa sekä pelikirjoja. Käytännön osuudessa kartoitettiin Microsoftin pilviportaaleissa tehtäviä vastatoimia sekä varmistettiin niiden toiminnallisuus käytännössä testityöasemalla ja testikäyttäjällä. Testauksien ja havaintojen pohjalta luotiin pelikirja vastatoimien suorittamiseen.
Työn tuloksena syntyi ohjeistus vastatoimiin taulukkomallisena pelikirjana. Taulukkomallinen pelikirja piti ohjeet järjestelmällisinä ja selkeinä. Pelikirjaa on myös tärkeää pitää ajan tasalla uusien havaintojen ja oppien pohjalta, jotta tapahtumiin reagointi pysyy tehokkaana.
The thesis was commissioned by Insta Advance Oy, with the task of mapping reactive countermeasures through cybersecurity portals and their technical implementation. The objective was to enhance the reactive actions of the Security Operations Center and create guidelines for responding to various situations. The created guidelines aim to reduce response time to incidents and reinforce the appropriate and effective actions for each detected anomaly.
In the theoretical part of the thesis, the functioning of Security Operations Center, cloud service security, Microsoft’s cloud services, anomaly management, and playbooks were examined. In the practical part, countermeasures in Microsoft’s cloud portals were identified and their functionality was verified through practical testing on a test workstation and with a test user. Based on testing and observations, a playbook for performing countermeasures was created.
As a result of the thesis, guidelines for countermeasures were developed in the form of a tabular playbook. The tabular playbook was chosen to keep the instructions systematic and clear. It is crucial to keep the playbook up-to-date based on new observations and learnings to ensure effective response to incidents.