Hunajapurkit kyberturvallisuuden tukena: tiedonkeruusta tilannekuvaan
Nousiainen, Eetu; Kasanen, Miro (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024121636141
https://urn.fi/URN:NBN:fi:amk-2024121636141
Tiivistelmä
Opinnäytetyössä tutustuttiin hunajapurkkeihin ja niistä kerättyyn dataan sekä tutkittiin hunajapurkkien hyödyntämistä laajemmin kyberturvallisuudessa. Hunajapurkki (engl. honeypot) on tarkoituksellisesti haavoittuva järjestelmä, jolla pyritään houkuttelemaan hyökkääjiä ja samalla keräämään tietoa heidän toimistaan järjestelmää kohtaan. Työ tehtiin esimiehemme toiveesta ja tavoitteena oli löytää vastauksia tutkimuskysymyksiin etenkin yrityksen näkökulmasta. Tutkimuskysymyksiksi valikoituivat:
Kuinka hunajapurkeista kerättyä dataa voidaan analysoida SIEM-ratkaisuilla?
Mitä analysoinnin kannalta keskeistä tietoa saadaan hunajapurkeista?
Kuinka hunajapurkeista kerättyä dataa tulisi rikastaa muista lähteistä?
Analyysi: Mitä lisäarvoa hunajapurkkidata tuo tilannekuvaan?
Työn teoriaosiossa käsiteltiin hunajapurkkeja, niiden historiaa ja toimintamalleja sekä perehdyttiin tilannekuvaan ja uhkatiedusteluun tutkimuskirjallisuuden avulla. Teknisessä osuudessa asennettiin useista hunajapurkeista koostuva alusta Linoden pilvipalveluympäristöön ja tarkasteltiin hunajapurkkien keräämiä tietoja Elastic Stackin avulla. Tutkimusosuudessa yhdistettiin tutkimuskirjallisuudesta saatu tieto, kerätty data ja omat havainnot vastaamaan tutkimuskysymyksiin.
Tuloksena saatiin kehitettyä toimiva hunajapurkkijärjestelmä, joka oli integroitu SIEM-ratkaisun kanssa. Järjestelmä keräsi runsaasti hyökkäys- ja tunkeutumisyrityksiä, tarjoten monipuolista ja mielenkiintoista dataa analysoitavaksi. Tätä dataa hyödynnettiin tutkimuskysymyksiin vastatessa. Työ antaa arvokasta tietoa hunajapurkkiteknologian hyödyistä ja mahdollisuuksista, sekä se voi toimia apuna aidon simuloidun ympäristön luomisessa.
Kuinka hunajapurkeista kerättyä dataa voidaan analysoida SIEM-ratkaisuilla?
Mitä analysoinnin kannalta keskeistä tietoa saadaan hunajapurkeista?
Kuinka hunajapurkeista kerättyä dataa tulisi rikastaa muista lähteistä?
Analyysi: Mitä lisäarvoa hunajapurkkidata tuo tilannekuvaan?
Työn teoriaosiossa käsiteltiin hunajapurkkeja, niiden historiaa ja toimintamalleja sekä perehdyttiin tilannekuvaan ja uhkatiedusteluun tutkimuskirjallisuuden avulla. Teknisessä osuudessa asennettiin useista hunajapurkeista koostuva alusta Linoden pilvipalveluympäristöön ja tarkasteltiin hunajapurkkien keräämiä tietoja Elastic Stackin avulla. Tutkimusosuudessa yhdistettiin tutkimuskirjallisuudesta saatu tieto, kerätty data ja omat havainnot vastaamaan tutkimuskysymyksiin.
Tuloksena saatiin kehitettyä toimiva hunajapurkkijärjestelmä, joka oli integroitu SIEM-ratkaisun kanssa. Järjestelmä keräsi runsaasti hyökkäys- ja tunkeutumisyrityksiä, tarjoten monipuolista ja mielenkiintoista dataa analysoitavaksi. Tätä dataa hyödynnettiin tutkimuskysymyksiin vastatessa. Työ antaa arvokasta tietoa hunajapurkkiteknologian hyödyistä ja mahdollisuuksista, sekä se voi toimia apuna aidon simuloidun ympäristön luomisessa.