Pk-yrityksiin kohdistuvat kyberhyökkäykset ja niiden simulointi
Suhonen, Eelis Kalle Eerik (2025)
2025
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121737548
https://urn.fi/URN:NBN:fi:amk-2025121737548
Tiivistelmä
Kyberturvallisuus kehittyy jatkuvasti ja luo uusia haasteita varsinkin pk-yrityksille. Pienillä ja keskisuurilla yrityksillä varautuminen kyberuhkiin voi olla resurssipulan ja riittämättömän osaamisen vuoksi huonolla tasolla. Opinnäytetyössä selvitettiin yleisimpiä kyberuhkia pk-yrityksille ja miten niitä voidaan simuloida käytännössä avoimen lähdekoodin työkaluilla. Työn tavoitteena oli lisätä tietoa siitä, mitä kyberhyökkäyksiä juuri pk-yrityksiin kohdistuu ja miten ne vaikuttavat yritysten toimintaan. Simuloinnin tarkoituksena oli selvittää, miten hyvin avoimen lähdekoodin työkaluilla voidaan tutkia ja havaita yleisiä kyberhyökkäyksiä todenmukaisesti.
Työ tapahtui kahdessa osassa, teoria ja käytännön toimet. Työssä käytettiin kahta menetelmää, kuvailevaa kirjallisuuskatsausta tiedonhakuun pk-yritysten ajankohtaisimpiin kyberuhkiin liittyen ja toiminnallista tutkimusmenetelmää käytännön simuloinnissa. Kirjallisuuskatsauksessa käytettiin PRISMA 2020 ohjeistusta viitekehyksenä, jonka avulla voitiin varmistua mm. lähteiden luotettavuudesta. Kuvailevassa kirjallisuuskatsauksessa tunnistettiin yleisimmiksi uhkiksi phishing, haittaohjelmat, varastetut tunnukset ja ransomware. Havaintojen perusteella toteutettiin kyberhyökkäys-simulaatio Detectionlab-labraympäristössä. Hyökkäykset, jotka simuloitiin hyökkäyspolussa, olivat phishing, tunnusten väärinkäyttö, credential-dumping ja ransomware. Hyökkäykset dokumentoitiin kolmesta näkökulmasta: kyberhyökkääjä, uhri ja tietoturvavalvoja. Hyökkäyksiä havainnoitiin SIEM-järjestelmässä esim. Suricata ja Zeek lokien tietojen avulla.
Detectionlab-labran avulla simuloimalla pystyttiin havainnoimaan tiettyjä hyökkäyksiä ja verkkoliikennelokit näkyivät SIEM-järjestelmässä selkeästi, mutta lopulta kaikkia tarpeellisia lokeja ei saatu mukaan havainnointiin. Osa työkaluista toimi hyvin, mutta osa olisi vaatinut konfigurointia, joka ei ajan puutteen vuoksi lopulta ollut mahdollista. Kuitenkin hyökkäykset saatiin simuloitua ja dokumentoitua kaikista näkökulmista.
Johtopäätöksinä voitiin todeta teoriapohjan ja simuloinnin toimineen hyvin yhteen. Kun teoriapohja saatiin valmiiksi, oli tieto siitä, mitä uhkia on tärkeää simuloida käytännössä pk-yrityksiin liittyen. Näin voitiin parantaa ymmärrystä kyberuhkista ja niiden havaitsemisesta. Työn tuloksia voidaan hyödyntää koulutuskäytössä tai labraa voidaan kehittää eteenpäin SOC-ympäristöksi.
Työ tapahtui kahdessa osassa, teoria ja käytännön toimet. Työssä käytettiin kahta menetelmää, kuvailevaa kirjallisuuskatsausta tiedonhakuun pk-yritysten ajankohtaisimpiin kyberuhkiin liittyen ja toiminnallista tutkimusmenetelmää käytännön simuloinnissa. Kirjallisuuskatsauksessa käytettiin PRISMA 2020 ohjeistusta viitekehyksenä, jonka avulla voitiin varmistua mm. lähteiden luotettavuudesta. Kuvailevassa kirjallisuuskatsauksessa tunnistettiin yleisimmiksi uhkiksi phishing, haittaohjelmat, varastetut tunnukset ja ransomware. Havaintojen perusteella toteutettiin kyberhyökkäys-simulaatio Detectionlab-labraympäristössä. Hyökkäykset, jotka simuloitiin hyökkäyspolussa, olivat phishing, tunnusten väärinkäyttö, credential-dumping ja ransomware. Hyökkäykset dokumentoitiin kolmesta näkökulmasta: kyberhyökkääjä, uhri ja tietoturvavalvoja. Hyökkäyksiä havainnoitiin SIEM-järjestelmässä esim. Suricata ja Zeek lokien tietojen avulla.
Detectionlab-labran avulla simuloimalla pystyttiin havainnoimaan tiettyjä hyökkäyksiä ja verkkoliikennelokit näkyivät SIEM-järjestelmässä selkeästi, mutta lopulta kaikkia tarpeellisia lokeja ei saatu mukaan havainnointiin. Osa työkaluista toimi hyvin, mutta osa olisi vaatinut konfigurointia, joka ei ajan puutteen vuoksi lopulta ollut mahdollista. Kuitenkin hyökkäykset saatiin simuloitua ja dokumentoitua kaikista näkökulmista.
Johtopäätöksinä voitiin todeta teoriapohjan ja simuloinnin toimineen hyvin yhteen. Kun teoriapohja saatiin valmiiksi, oli tieto siitä, mitä uhkia on tärkeää simuloida käytännössä pk-yrityksiin liittyen. Näin voitiin parantaa ymmärrystä kyberuhkista ja niiden havaitsemisesta. Työn tuloksia voidaan hyödyntää koulutuskäytössä tai labraa voidaan kehittää eteenpäin SOC-ympäristöksi.