Information security incident analysis in Finland : based on pseudonymized open data published by the Finnish Transport and Communications Agency
Kiuru, Mikko (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024051010702
https://urn.fi/URN:NBN:fi:amk-2024051010702
Tiivistelmä
Organisaatioiden tilannetietoisuus tietoturvatapahtumien osalta on ajankohtaisempaa kuin koskaan. Suomessa Liikenne- ja viestintävirasto Traficom julkaisee suomalaisten palveluntarjoajien verkoissa havaittuja tietoturvatapahtumia avoimena datana Autoreporter palvelussaan. Tämän työn tavoitteena oli luoda työkalu, jolla julkaistua dataa kyetään analysoimaan ja siten parantamaan tilannetietoisuutta Suomen sisällä.
Tutkimusmenetelmänä tässä työssä käytettiin suunnittelutiedettä, jossa tavoitteena on ratkaista tutkimuskysymyksiä IT-toteutusten avulla. Työkalun ohjelmiston osat, hyödynnetyt protokollat sekä konfiguraatiot on kuvattu yksityiskohtaisesti, mikä edesauttaa asiantuntijoita ja tutkijoita hyödyntämään työkalua omissa töissään.
Työn lopputuloksena syntyi Elasticsearch-ohjelmistokomponentteihin perustuva työkalu, jonka avulla kyettiin analysoimaan julkaistua dataa ja parantamaan tilannetietoisuutta. Käyttötapauksina työkalulla suoritettiin historiallinen ja maantieteellinen analyysi, sekä trendianalyysi.
Työkalun avulla onnistuttiin hakemaan ja visualisoimaan julkaistua dataa analysointia varten. Automaattisesti päivittyvää datankeruuta ei kyetty toteuttamaan yrityksistä huolimatta. Tietoturvatapahtumat onnistuttiin visualisoimaan maantieteellisesti, mutta lähdeaineiston paikkatiedon epäluotettavuus heikensi maantieteellisen analyysin merkityksellisyyttä. The requirement for better situational awareness regarding information security related threats is growing constantly. In Finland, Transport and Communications Agency Traficom publishes information security incidents detected in Finnish service provider networks as open data through Autoreporter web application interface. The objective of this thesis was to implement a tool that ingests the open data and enables incident analysis, which enhances the situational awareness.
The research method used in the thesis was design science. Design science aims to solve problems through developing an IT construct, which in the context of this thesis was the tool. The building blocks of the tool: free software components, protocols and configurations are communicated in detail, which allows specialists and researchers to implement the tool in their own environments.
As the result of this thesis, we were able to construct a tool based on Elasticsearch software components, that could be used to perform analysis on the incident data and thus increase situational awareness. Historical, geographical and trend analysis were used as use cases for the tool.
Using the tool, we were able to retrieve and visualize the data published by Traficom so that the data could be analyzed. Automatic real-time data retrieval was not successful despite efforts. Geographical visualization of the incidents was successful, but the unreliability of the location information in the source data undermined the relevance of the geographical analysis.
Tutkimusmenetelmänä tässä työssä käytettiin suunnittelutiedettä, jossa tavoitteena on ratkaista tutkimuskysymyksiä IT-toteutusten avulla. Työkalun ohjelmiston osat, hyödynnetyt protokollat sekä konfiguraatiot on kuvattu yksityiskohtaisesti, mikä edesauttaa asiantuntijoita ja tutkijoita hyödyntämään työkalua omissa töissään.
Työn lopputuloksena syntyi Elasticsearch-ohjelmistokomponentteihin perustuva työkalu, jonka avulla kyettiin analysoimaan julkaistua dataa ja parantamaan tilannetietoisuutta. Käyttötapauksina työkalulla suoritettiin historiallinen ja maantieteellinen analyysi, sekä trendianalyysi.
Työkalun avulla onnistuttiin hakemaan ja visualisoimaan julkaistua dataa analysointia varten. Automaattisesti päivittyvää datankeruuta ei kyetty toteuttamaan yrityksistä huolimatta. Tietoturvatapahtumat onnistuttiin visualisoimaan maantieteellisesti, mutta lähdeaineiston paikkatiedon epäluotettavuus heikensi maantieteellisen analyysin merkityksellisyyttä.
The research method used in the thesis was design science. Design science aims to solve problems through developing an IT construct, which in the context of this thesis was the tool. The building blocks of the tool: free software components, protocols and configurations are communicated in detail, which allows specialists and researchers to implement the tool in their own environments.
As the result of this thesis, we were able to construct a tool based on Elasticsearch software components, that could be used to perform analysis on the incident data and thus increase situational awareness. Historical, geographical and trend analysis were used as use cases for the tool.
Using the tool, we were able to retrieve and visualize the data published by Traficom so that the data could be analyzed. Automatic real-time data retrieval was not successful despite efforts. Geographical visualization of the incidents was successful, but the unreliability of the location information in the source data undermined the relevance of the geographical analysis.