Kehittyneet kyberuhat ja niiden valvonta : Microsoft Advanced Threat Analytics
Lylyoja, Sami (2017)
Lylyoja, Sami
Tampereen ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2017060812999
https://urn.fi/URN:NBN:fi:amk-2017060812999
Tiivistelmä
Opinnäytetyö toteutettiin Tampereen ammattikorkeakoulun tietojenkäsittelykoulutuksen WPK-verkolle, joka on tietojenkäsittelyn opiskelijoiden ja opettajien ylläpitämä ja kehittämä harjoitus- ja laboratorioverkko. Kirjoittaja suoritti harjoittelunsa verkon ylläpitäjänä ja idea opinnäytetyöstä syntyi harjoittelun aikana, kirjoittajan oman mielenkiinnon pohjalta.
Opinnäytetyön tavoitteena oli tutkia, onko verkko altis kehittyneiden kyberhyökkäysten uhille tai onko siinä heikkouksia jotka mahdollistavat kirjautumistunnusten väärinkäytön. Työn tarkoituksena oli asentaa Microsoftin Advanced Threat Analytics -ohjelmisto verkkoa valvomaan ja tarkastella kolmen kuukauden seurantajakson aikana ohjelman havaitsemia uhkia ja heikkouksia.
Työssä tutkittiin Windowsin todennusprotokollia, kyberhyökkäysketjujen vaiheita ja erilaisia kehittyneitä hyökkäysmenetelmiä, joita voidaan toteuttaa Mimikatz-ohjelman ja etätyökalujen avulla. Työ selvittää vaiheittain ja esimerkkien avulla, miten moderni kyberhyökkäys voi edetä kohdeverkossa yhdeltä laitteelta aina verkon toimialuepalvelimelle asti. Lisäksi se esittelee Microsoftin tarjoaman käyttäjien ja kohteiden valvontaohjelmiston, jonka avulla kyberhyökkäyksiä voidaan havaita.
Opinnäytetyön toteutuksen aikana WPK-verkossa havaittiin muutamia heikkouksia, joiden vuoksi hyökkääjän tai opiskelijan olisi helppo varastaa toisen käyttäjän kirjautumistietoja. Varastettujen kirjautumistietojen avulla hyökkääjän tai opiskelijan olisi mahdollista päästä käsiksi resursseihin, joihin hänellä ei ole oikeutta, tai pahimmassa tapauksessa lamauttaa koko verkon toiminta. Työn tuloksena verkossa saatiin korvattua osassa laitteista käytössä ollut heikko todennusprotokolla ja lisäksi havaittiin verkkoon tehty tiedusteluhyökkäysharjoitus.
Nykyään mikään tietoturvaratkaisu ei pysty tarjoamaan täydellistä suojaa kyberhyökkäyksiltä. Hyökkääjä voi olla myös sisäpiiriläinen, jolloin käyttäjien ja kohteiden käyttäytymisanalyysiin perustuva valvontasovellus on tehokas tapa havaita hyökkäykset ja käyttäjien poikkeava toiminta verkossa. Tärkeimpänä kehitysehdotuksena kirjoittaja suosittaa WPK-verkon Windows 7 -laitteiden päivittämistä uudempiin käyttöjärjestelmiin mahdollisimman nopeasti, koska uudemmat käyttöjärjestelmät ovat huomattavasti paremmin suojattuja erityisesti kirjautumistietojen varastamishyökkäyksiä vastaan.
Opinnäytetyön tavoitteena oli tutkia, onko verkko altis kehittyneiden kyberhyökkäysten uhille tai onko siinä heikkouksia jotka mahdollistavat kirjautumistunnusten väärinkäytön. Työn tarkoituksena oli asentaa Microsoftin Advanced Threat Analytics -ohjelmisto verkkoa valvomaan ja tarkastella kolmen kuukauden seurantajakson aikana ohjelman havaitsemia uhkia ja heikkouksia.
Työssä tutkittiin Windowsin todennusprotokollia, kyberhyökkäysketjujen vaiheita ja erilaisia kehittyneitä hyökkäysmenetelmiä, joita voidaan toteuttaa Mimikatz-ohjelman ja etätyökalujen avulla. Työ selvittää vaiheittain ja esimerkkien avulla, miten moderni kyberhyökkäys voi edetä kohdeverkossa yhdeltä laitteelta aina verkon toimialuepalvelimelle asti. Lisäksi se esittelee Microsoftin tarjoaman käyttäjien ja kohteiden valvontaohjelmiston, jonka avulla kyberhyökkäyksiä voidaan havaita.
Opinnäytetyön toteutuksen aikana WPK-verkossa havaittiin muutamia heikkouksia, joiden vuoksi hyökkääjän tai opiskelijan olisi helppo varastaa toisen käyttäjän kirjautumistietoja. Varastettujen kirjautumistietojen avulla hyökkääjän tai opiskelijan olisi mahdollista päästä käsiksi resursseihin, joihin hänellä ei ole oikeutta, tai pahimmassa tapauksessa lamauttaa koko verkon toiminta. Työn tuloksena verkossa saatiin korvattua osassa laitteista käytössä ollut heikko todennusprotokolla ja lisäksi havaittiin verkkoon tehty tiedusteluhyökkäysharjoitus.
Nykyään mikään tietoturvaratkaisu ei pysty tarjoamaan täydellistä suojaa kyberhyökkäyksiltä. Hyökkääjä voi olla myös sisäpiiriläinen, jolloin käyttäjien ja kohteiden käyttäytymisanalyysiin perustuva valvontasovellus on tehokas tapa havaita hyökkäykset ja käyttäjien poikkeava toiminta verkossa. Tärkeimpänä kehitysehdotuksena kirjoittaja suosittaa WPK-verkon Windows 7 -laitteiden päivittämistä uudempiin käyttöjärjestelmiin mahdollisimman nopeasti, koska uudemmat käyttöjärjestelmät ovat huomattavasti paremmin suojattuja erityisesti kirjautumistietojen varastamishyökkäyksiä vastaan.