Ads 468x60px

torstai 7. kesäkuuta 2018

Tietoturva Roadshow 2018

Tietoturva roadshow on ilmainen tietoturvaseminaari, joka on järjestetty yhteistyössä Optimesys:n kanssa. Tämän vuoden roadshow:ssa teemana oli leikkimielinen ystävyysottelu RedTeam (KPMG) VS BlueTeam (OptimeSys). KPMG:n tekninen tietoturvatiimi esitteli Red Teaming palvelua, sekä demosi samalla miten hyökkääjä toimii yrittäessään murtautua kohdeyritykseen. Vastaavasti BlueTeam esitteli, miten erilaiset tekniset ratkaisut voivat auttaa hyökkäysten havainnoimisessa ja estämisessä.

Roadshow seminaari järjestettiin Tampereella 29.5, Turussa 30.5, Helsingissä 31.5 ja Jyväskylässä 5.6.2018. Tapahtuman pääkohdat painoittuivat yrityksen prosesseihin, käyttäjän tietoisuuteen ja koulutukseen, koska itse hyökkäyksen kohteena oli teknologian heikoin lenkki - ihminen.


Monelle tuntematon Red Teaming on metodi, jolla yritetään luoda mahdollisimman aito simulaatio oikeasta kyberhyökkäyksestä, jossa testataan organisaation kykyä puolustautua tietoturvapoikkeamien sattuessa. Red Teaming ei rajoitu ainoastaan teknologioihin, vaan sillä voidaan myös testata fyysinen turvallisuus, sekä organisaation henkilöstön toiminta poikkeamatilanteissa. "Mitä on Red Teaming?" - esityksessä tuotiin esille, millaisia Red Teaming palveluita KPMG tarjoaa, sekä miten voimme parantaa organisaatiota kykyä toimia kyberuhan sattuessa.

Jyväskylän teknisen tiimin Ville ja Mikael kertoivat, kuinka julkisesti saatavilla olevaa tietoa (OSINT) voidaan hyödyntää hyökkääjän näkökulmasta. Hyökkääjä kerää kohdeyrityksestä tietoa esimerkiksi sosiaalisesta mediasta, julkisisen sektorin tiedoista, ammatillisista- ja akateemisista julkaisuista, joita voidaan käyttää hyökkäyksen myöhemmissä vaiheissa.


Demossa näytettiin hyökkääjän näkökulmasta, kuinka kohdennetulla "Phishing" kampanjalla voidaan saada jalansija kohdeyrityksestä huijaamalla käyttäjää. Demossa käytettiin hyväksi GDPR tietosuojasetusta, jonka pohjalta luotiin kalastelu-sähköposti, joka varasti käyttäjien syöttämiä sähköpostitunnuksia ja salasanoja. Aiheena varmasti ajankohtainen, sillä jokainen on varmasti saanut GDPR-aiheisia viestejä ja sähköposteja.

Kalastelu kohdennettiin yritykseen nimeltä "tietoturvapalvelu.net", sillä tietojen mukaan yritys oli hakenut Microsoft SQL Server Adminia töihin ja Linkedin mukaan "Matti Meikalainen" oli juuri aloittanut työt kyseisessä roolissa yrityksessä. Kalastelusivu pyysi käyttäjiä kirjautumaan sisään yrityksen sähköposti tunnuksilla ja hyväksymään uudet GDPR muutokset, jonka jälkeen uhri ohjautui yrityksen omaan portaaliin. Kalasteluun lankesi "Matti Meikalainen", jonka sähköpostia hyökkääjä kävi tarkastelemassa saamillaan tunnuksilla.

Lähetettyjen ja saapuneiden sähköpostien perusteelta hyökkääjä pystyi valmistelemaan uuden kohdennetun kalastelusähköpostin Matille. Sähköposti sisälsi aidon, mutta haitallisen PDF-liitteen, jonka Matti kiireisenä avasi. Esittäjät huomauttivat, että sähköpostiin tulleita kirjautumisvaatimuksia ei tulisi koskaan avata mukana tulleen linkin kautta ja lähettäjän nimi tulisi aina tarkastaa ennen liitteiden päätöntä avaamista. Esittäjät kertoivat syyksi, että hyökkääjä voi huijata käyttäjää esim. Evilginx "Advanced Phishing" työkalulla. Työkalulla voidaan luoda täysin autenttisen näköinen TLS salattu kalastelusivu, mikä varastaa käyttäjätunnuksia ja session tokeneita, siksi kirjautumisvaatimuksia ei tulisi avata sähköpostin kautta koskaan.


KPMG:n hyökkääjät saivat jalansijan valitun kohteen verkosta, jota käytettiin hyödyksi lateraalisessa liikehdinnässä. Esityksessä tuotiin esille, miten hyökkääjä voi hyödyntää työntekijöiden työasemia verkon sisällä liikkumiseen ja sitä kautta tärkeiden tiedostojen varastamiseen. Tärkeä huomio esittäjien suusta oli, että on tärkeätä rajata työntekijöiden käyttöoikeuksia työtehtäviin kuuluviksi. Hyvänä esimerkkinä kerrottiin, että työntekijä voi saastuttaa työkoneensa vapaa-ajalla omassa kodissaan ja tuoda sitä kautta haittakkeen yrityksen sisään. Viimeisenä hyökkääjät demonstroivat, kuinka helppoa on varastaa tärkeät tiedostot kohteelta.


KPMG Best Practices

Varmista aina lähettäjän autenttisuus, sekä mieti onko tämä viesti tullut tarkoituksenmukaisesti minulle. Älä koskaan kirjaudu sähköpostiin tulleiden linkkien kautta mihinkään palveluun. Käytä palveluntarjoajan suositeltuja tietoturva-asetuksia, kuten kaksivaiheinen todentaminen. Testaa organisaatiosi henkilökunnan tietoturvatietoisuutta.

- Mikään teknologia ei tuo 100% turvaa
- Varmista aina linkkien ja liitteiden oikeellisuus
- Kouluta henkilöstö käyttämään sosiaalista mediaa vastuullisesti
- Tarkasta kuinka paljon yrityksestäsi löytyy mahdollisesti haitallista tietoa internetistä
- Testaa ja kouluta henkilöstö erilaisilla tietoturvaharjoitteilla

Suuret kiitokset osallistujille ja Optimesys:lle yhteistyöstä.