Hyökkäyspolkukartoitus simuloidussa ympäristössä
Raiskio, Teijo (2026)
2026
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202603114171
https://urn.fi/URN:NBN:fi:amk-202603114171
Tiivistelmä
Opinnäytetyön tavoitteena oli arvioida kohdeorganisaation hybridiympäristön kyberturvallisuutta jatkuvan hyökkäyspolkujen hallinnan (CAPM) mallia hyödyntäen. Arviointi toteutettiin viisiviikkoisena Red Team -operaationa Zero Knowledge -lähtökohdasta, mukaillen kehittyneen uhkatoimijan Unified Kill Chain (UKC) -viitekehystä.
Hyökkäyssimulaatio eteni avoimien lähteiden tiedustelusta (OSINT) Adversary-in-the-Middle (AiTM) -kalasteluun, jolla ohitettiin monivaiheinen tunnistautuminen (MFA) ja saavutettiin pysyvyys uuden FIDO2-avaimen avulla. Sisäverkon kartoitus paljasti kriittisiä konfiguraatiopuutteita Active Directory Certificate Services (AD CS) -infrastruktuurissa (ESC4, ESC8, ESC11, ESC15) sekä vanhentuneen RC4-salauksen mahdollistaman Kerberoasting-haavoittuvuuden ylioikeutetuilla palvelutileillä. Lisäksi työssä mitattiin tietoturvavalvomon (SOC) havainnointikyvykkyyden nykytila käytännön testeillä.
Tulokset osoittivat, että vaikka identiteetinhallinnassa oli systeemisiä haavoittuvuuksia, organisaation syväpuolustus (Defense in Depth) erityisesti verkkosegmentointi ja päätelaitteiden palomuurit esti hyökkäysketjujen välittömän hyödyntämisen. Työn johtopäätöksenä todetaan, että modernin hybridiympäristön suojaaminen vaatii rajoittavien verkkokontrollien lisäksi proaktiivista näkyvyyttä, CAPM-prosessin jalkauttamista osaksi jatkuvaa toimintaa sekä identiteetinhallinnan juurisyiden järjestelmällistä korjaamista.
Hyökkäyssimulaatio eteni avoimien lähteiden tiedustelusta (OSINT) Adversary-in-the-Middle (AiTM) -kalasteluun, jolla ohitettiin monivaiheinen tunnistautuminen (MFA) ja saavutettiin pysyvyys uuden FIDO2-avaimen avulla. Sisäverkon kartoitus paljasti kriittisiä konfiguraatiopuutteita Active Directory Certificate Services (AD CS) -infrastruktuurissa (ESC4, ESC8, ESC11, ESC15) sekä vanhentuneen RC4-salauksen mahdollistaman Kerberoasting-haavoittuvuuden ylioikeutetuilla palvelutileillä. Lisäksi työssä mitattiin tietoturvavalvomon (SOC) havainnointikyvykkyyden nykytila käytännön testeillä.
Tulokset osoittivat, että vaikka identiteetinhallinnassa oli systeemisiä haavoittuvuuksia, organisaation syväpuolustus (Defense in Depth) erityisesti verkkosegmentointi ja päätelaitteiden palomuurit esti hyökkäysketjujen välittömän hyödyntämisen. Työn johtopäätöksenä todetaan, että modernin hybridiympäristön suojaaminen vaatii rajoittavien verkkokontrollien lisäksi proaktiivista näkyvyyttä, CAPM-prosessin jalkauttamista osaksi jatkuvaa toimintaa sekä identiteetinhallinnan juurisyiden järjestelmällistä korjaamista.