SlideShare una empresa de Scribd logo

Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama

Nixu Corporation
Nixu Corporation

Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama. Esitetty NamesDays -seminaarissa 2.10.2014 (c) Nixu Oy, Jussi Perälampi Lue Nixun sivuilta lisää tietoturvapoikkeaman hallintapalvelustamme: https://www.nixu.com/fi/ratkaisut/nixu-csirt

Presentaciones y charlas públicas
1 de 27
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama 02/10/14 © Nixu 2014 1
127.0.0.1 § Jussi Perälampi § Ollut mukana ATK-kuvioissa jo viime vuosituhannella. Koodannut, administroinut ja konsultoinut koko tuon ajan Microsoft-ympäristöjä § Senior Security Consultant, GCIH, GREM, CISSP @ Nixu DFIR team § Työnantaja Nixu Oy Espoossa, 25-vuotias tietoturvakonsultointitalo § Pohjoismaiden suurin tietoturvan asiantuntijayritys, yli 100 asiantuntijaa § Twitterissä: @JussiPeralampi § #NamesDays , #tietoturva 02/10/14 © Nixu 2014 2
Agenda § Tietoturvapoikkeamien hallinta vs. forensiikka § Varautuminen ja valmistautuminen – Mitä voit tehdä etukäteen? § Koska olisi hyvä vilkaista tarkemmin ja mitä sitten? Indicators Of Compromise (IOC) § Päräyttävää! Minä kanssa! 02/10/14 © Nixu 2014 3
Tietoturvapoikkeamien hallinta vs. forensiikka 02/10/14 © Nixu 2014 4
Tietoturvapoikkeamien hallinta vs. forensiikka § Digital Forensic Incident Response (DFIR) § Tietoturvapoikkeamien hallinta (IR) – tulipalon sammutus – Tilanteen haltuunotto – Vahinkojen minimointi – Tilanteen normalisointi § Tietomurtojen tutkinta / forensiikka (DF) – palosyyn tutkinta – Mitä tapahtui? – Mihin tietoon on päästy käsiksi? – Milloin tapahtui? – Kenen toimesta? § Poikkeamien hallinnan aikainen forensiikka – Nopeita tarkastuksia, kuten muistivedosten läpikäynti § Oikein tehtynä poikkeamien hallinta voidaan tehdä niin, että myöhemmin voidaan suorittaa forensiikkatutkimus 02/10/14 © Nixu 2014 5
Päätös tutkinnan laajuudesta § Tietoturvapoikkeaman havaitsemisen jälkeen tulisi tehdä päätös siitä, mihin tähdätään – Nopea toipuminen vs. täydellinen analyysi tapahtumista – Pidetäänkö tieto organisaation sisällä vai viedäänkö juttu oikeuteen? – Ei tehdä mitään? - Tämä on valitettavan yleistä § Tutkinnan keinot ja menettelytavat riippuvat tutkinnan tavoitteista § Monet poikkeamien hallinnan alussa tehdyistä valinnoista ovat sellaisia, että niitä ei voi muuttaa: – Turvataanko todistusaineisto? – Suoritetaanko tutkintaa suoraan epäilyksenalaisissa järjestelmissä? 02/10/14 © Nixu 2014 6
Tietoturvapoikkeaman hallinnan vaiheet § Tietoturvapoikkeamien ja -loukkausten kuvaamiseen, määrittelyyn ja nimeämiseen on useita viitekehyksiä – NIST SP800-61 rev2, Vahti 3/2005, ENISA Good Practice Guide for Incident Management… § Tietoturvapoikkeamien elinkaaren osat – Valmistautuminen (Preparation) – Tunnistaminen (Identification) – Eristäminen (Containment) – Hävittäminen (Eradication) – Palautuminen (Recovery) – Tapauksesta oppiminen (Lessons Learned) 02/10/14 © Nixu 2014 7
Kuinka tulee toimia, kun ympäristössäsi havaitaan tietomurto tai -poikkeama, siten etteivät murtautujan jäljet katoa? § Se riippuu… mutta jos henkiä ei ole vaarassa, mieti hetki ennen kuin alat toimia § Jos on syytä epäillä yritysvakoilua tai valtiollista toimijaa – Jos sinulla ei ole valmista suunnitelmaa, ota yhteys poliisiin ja tietomurtojen tutkimiseen erikoistuneeseen firmaan. Soitto ei ole rikosilmoitus ja firmatkin yleensä arvioivat tilannetta alkuun ilman laskua. § Jos tilanne tulee vastaan vaikkapa auditoinnissa ja on selkeää, että tilanne on ollut päällä jo pitempään – Malta ja harkitse à Poliisi & ammattilaiset auttavat § Kun kyseessä on palomuuri, AV, proxy tai muu ”normaali” havainto / hälytys – Tästä seuraavaksi 02/10/14 © Nixu 2014 8
Toiminta hälytyksen sattuessa § Tee tiketti tai muistiinpano, josta ilmenee: – Mistä hälytys tuli, mistä syystä ja milloin § Jos joku pääsee itse koneelle – Ota muistivedos (jonka jälkeen koneen voi kytkeä verkoista) – Ota eventlokit talteen (security, application ja system) – Jos et voi ottaa muistivedosta, laita kone Hibernate-tilaan. Kopioi hiberfil.sys talteen. § Aja IR-työkalu koneella (tämä vaatii jo valmisteluja) – Esim. Google Grr tai Mandiant Redline – Talleta tulokset ja analysoi / lähetä analysoitavaksi § Kokeile, jos AV tai vastaava löytää jotain § Talleta tulokset USB-muistille ja laita lukkojen taakse talteen odottamaan tutkintaa – Kun kerran epäillään haitaketta tai hakkeria, ÄLKÄÄ käyttäkö samaa USB-muistia eri koneilla ilman turvallista välityhjäystä 02/10/14 © Nixu 2014 9
Varautuminen ja valmistautuminen 02/10/14 © Nixu 2014 10
Millaiseen ympäristöön DFIR-tapauksissa tullaan § Asiakkaalla… – Yleensä: Antivirus on asennettu, palomuuri, meili gateway, web proxy, puhelinnumerot käyttöpalvelutoimittajalle ja operaattorille – Ehkä: IDS/IPS, SIEM, haavoittuvuus- & päivitysskannauksia sisäverkkoon, DLP, FIM, whitelisting, yhteystiedot NOC, SOC, CSOC, Viestintävirastoon, poliisille – Tuskin: verkko ATP (web, mail), kehittyneitä endpoint prevention -tuotteita, endpoint incident response- tai forensiikkatuotteita, DFIR-ammattilaisia tai DFIR-prosessia 02/10/14 © Nixu 2014 11
Mitä voi yleensä tehdä omassa ympäristössä § Lue tietoturvaan vaikuttavat raportit ja vaadi ne tarvittaessa käyttöpalvelun toimittajalta – Joissakin ympäristöissä sadat päivittäiset AV-hälytykset ovat niin normaaleja, että niistä ei edes ilmoiteta asiakkaalle – Pelkkä executive summary -raportti ei riitä – Jos raportti tuntuu liian tekniseltä, laita joku selittämään se § Vaadi tietoturvabudjettia – Kirstunvartijat yleensä kysyvät miksi? à Raportit? – Teetä POC/POV tai Nixun APT Health Check § Melko usein ympäristön perusasetukset ovat ”perus”- tilassa. Pienillä muutoksilla saadaan jo olemassa olevasta ympäristöstä paljon uutta irti. 02/10/14 © Nixu 2014 12
Antivirus § Kannattaa edelleen asentaa, myös palvelimille § Microsoft tehnyt valmiit exclude-ohjeet omille tuotteilleen § Lue AV-raportit, oikeasti § Kun AV löytää haitakkeen, laita haitake karanteeniin § Tarkasta AD:sta koneiden määrä ja vertaa AV-raportin konemäärään § Ajasta full scan vähintään viikoittaiseksi ja tarkasta raportit seuraavana aamuna – Jos tulee havaintopiikki, on AV missannut jotain aikaisemmin § Lue tuotteen manuaalit kokonaan, saatat saada uusia ominaisuuksia samalla rahalla § Tarkista ostetut lisenssit, onko kaikki mistä maksetaan käytössä 02/10/14 © Nixu 2014 13
Web proxy § Jos mahdollista, käytä autentikointia – Sinänsä helppo ohittaa, mutta jää taas jälki ja vihje lokiin § Vähintään URL- tai mainekategoria ja AV-filtteröinti – GeoIP-ominaisuus on näppärä estoissa ja raporteissa § Omien esto-URL:ien lisäämisen olisi oltava mahdollista § Lue raportit päivittäin § Lokit talteen lokipalvelimelle 02/10/14 © Nixu 2014 14
Palomuuri § Tilanpitävä ”Cisco ASA v1999” EI ole nykypäivää § Next Generation FireWall erittäin suositeltava – Sovellusnäkyvyys, IDS/IPS (varauksin), AV, SSL-purku, URL-filtteri,… § Exgress-säännöt käyttöön. Esim: – Ainoastaan sisäiset nimipalvelimet voivat liikennöidä ISP DNS -palvelimelle TCP/UDP 53 – Muu DNS-liikenne ulospäin on poikkeama – HTTP/S-liikenteen pitäisi mennä proxyn kautta Internetiin – Suoraan muurille (DefaultGateway) tuleva HTTP/S poikkeama § Hyvät raportointiominaisuudet tärkeitä – Lue raportit 02/10/14 © Nixu 2014 15
Palvelimet ja työasemat § Kasvata OS-lokien kokoa – Ainakin security, application ja system § Laita Task Scheduler Task History päälle § Asenna MS Sysmon (ja kasvata lokin kokoa) § Asenna MS EMET § Ota AppLocker käyttöön (Audit mode, kasvata lokin kokoa) § Käyttöoikeudet kuntoon § Ainakin palvelimien lokit keskitettyyn lokivarastoon, SIEM plussaa 02/10/14 © Nixu 2014 16
Seuraavan sukupolven tietoturvakyvykkyydet § Haittaohjelmien analysointikyky (Malware analysis) – Web, sähköposti ja forensiikka § Työasemien ja palvelimien tutkiminen (Endpoint analysis and control) – Koneen tarkastaminen IOC:ta vasten (sweep) – Koneen tutkiminen etänä – Koneen eristäminen § Suojaus työasemille ja palvelimille (Endpoint prevention) – Exploit protection – Whitelisting – Sandbox 02/10/14 © Nixu 2014 17
Koska olisi hyvä vilkaista tarkemmin ja mitä sitten Indicators Of Compromise (IOC) 02/10/14 © Nixu 2014 18
Milloin voisi alkaa selvittelemään § Palomuuri tai proxy antaa toistuvia hälytyksiä koneesta – Erityisesti jos/kun AV ei löydä mitään ko. koneelta § Tietokone infektoituu uudelleen – AV ei huomaa dropperia § Joku haitakehavainto ”lisääntyy” samalla alueella – AV havaitsee ehkä haitakkeen, mutta ei dropperia tai pivotointia – Tiedostojako, intranet, USB tai vastaava levittää haitaketta § AV-raporttiin tulee piikki ajastetun skannauksen jälkeen – Haitake on kerennyt useammalle koneelle ennen kuin AV-tuote on saanut kuvauksen siitä – Tarkista onko koneilla jotain muutakin, jota AV ei havaitse § Jokin lokeissa pistää silmään – Lokeja kannattaa vilkaista erityisesti kun maailmalla tapahtuu jotain jännää à esim. Shellshock 02/10/14 © Nixu 2014 19
Kun on vahva epäilys poikkeamasta (kertauksena) § Kirjoita muutaman rivin README.txt § Ota muistivedos § Ota lokit talteen § Aja koneella IR-työkalu § Laita muistivedos, lokit ja IR-työkalun tulokset talteen 02/10/14 © Nixu 2014 20
Mitä lokeilla ja muistivedoksella tekee § Muistidumppi tai hiberfil.sys analysoidaan – Volatility (ilmainen, hyvä ja ”helppo” päästä alkuun) – Mandiant Redline (muistivedos / IR-tiedon keräys) § Lokeista tehdään timeline ja/tai etsitään poikkeamia – MS Logparser (+logparser lizard gui) – SANS SIFT (virtuaalikone) – Nixun inhouse-työkalut § Grr- ja Redline-tulosten analysointi / poikkeamien etsiminen § Analysointi vaatii melkoisesti osaamista :-/ – Kirjoja, kursseja ja blogeja löytyy runsaasti 02/10/14 © Nixu 2014 21
Voidaan tutkia tarkemmin (tarvittaessa) § Koneen kovalevystä otetaan forensiikkaimage – Tai ainakin levyimage livekoneesta § Etsitään todisteita tapahtumista ja tuntematonta haittaohjelmaa (SANS DFIR pdf poster 2012) – Imagesta ajetaan timeline – Kaikki koneen tapahtumat aikajanalle (kirjautumiset, ajot, lokit, tiedostot, rekisterit, MFT, aika-anomalioiden etsiminen, …) § Jos löytyy haitake muistista tai kovalevyltä analysoidaan se § Tutkitaan muita lokeja (DC:t, palomuuri, VPN, AV, DNS,…) 02/10/14 © Nixu 2014 22
Mitä löydöksillä tehdään § Todetaan tilanne ja päätetään jatkotoimista § Tehdään IOC:t (Indicator Of Compromise) – FQDN, IP, Mutex, rekisteri tai tiedosto artifakti, meili,… § IOC:lla etsitään merkkejä aikaisemmasta tai meneillään olevasta samanlaisesta tapahtumasta – FQDN, IP, DNS, etc… laitetaan verkkokavereille – Konekohtaisia voi yrittää etsiä scripteillä – Mukavinta on toki käyttää kaupallista softaa § Poliisiin voi olla yhteydessä ja kysyä neuvoa § Kyberturvakeskus (CERT-FI) ottaa tietoa vastaan 02/10/14 © Nixu 2014 23
Kun se on joka paikassa § Ikävämpi juttu ja melko varmasti myös kallista § Isossa ympäristössä saatetaan aloittaa perusasioilla – Päivitykset kuntoon, verkon segmentointi kuntoon, vanhojen tietoturvalaitteiden ja -ohjelmien korvaaminen, uusia laitteita ja ohjelmistoja, prosessien ja käytäntöjen tarkastaminen ja päivittäminen, henkilöstön kouluttamista, ulkopuolista konsultointia ja lista jatkuu § Kun perusasiat on kunnossa, niin.. – Näkyvyys verkkoon – Seurataan endpointteja – Koneiden tutkiminen § Siivous yhdellä rysäyksellä, jos mahdollista 02/10/14 © Nixu 2014 24
Siivouskyvykkyys esimerkkejä § Kykenetkö vaihtamaan KAIKKI salasanat AD:ssa ja paikallisilla koneilla? § Tiedätkö mitä tunnuksia AD:ssa ja paikallisilla koneilla pitäisi olla? § Montako työasemaa kykenet palauttamaan vuorokaudessa? 1, 10, 100, 1000? § Onko palvelimista varmuuskopiot? Data ja konfiguraatiot. § Kykenetkö palauttamaan verkkolaitteisiin tunnetut hyvät versiot? Kykenetkö uudelleenasentamaan verkkolaitteen käyttöjärjestelmän tunnetusta hyvästä lähteestä? § Tiedätkö koneassettisi, entä tiedätkö mitä ohjelmistoja ympäristössäsi on? 02/10/14 © Nixu 2014 25
Melko päräyttäviä juttuja! Minä kanssa!! § Jonoon vaan, tätä riittää kaikille § Lataa SANS-forensiikkaposterit ja SANS SIFT -virtuaalikone § Muistianalyysin kanssa pääsee helposti alkuun – Lataa itsellesi Volatility – Netistä löytyy paljon muistisampleja, joissa on haitake – Melkoinen määrä blogijuttuja ja ohjeita analyysiin § IR-työkalut vaativat jo hieman enemmän – Windows-ihmiset helposti alkuun Mandiant Redline:llä – GRR vaatii jo hieman enemmän § Asenna / hanki malware sandbox § SANS DFIR -kurssit § Tonneittain kirjoja Amazonissa § Twitter #dfir, #tietoturva, #kyberturvallisuus 02/10/14 © Nixu 2014 26
Thank you! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 02/10/14 © Nixu 2014 27

Recomendados

Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
CASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisuCASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisu3 Step IT Suomi
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 rierjarv
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
Hyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluunHyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluun2NS
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 

Recomendados

Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
CASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisuCASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisu3 Step IT Suomi
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 rierjarv
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
Hyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluunHyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluun2NS
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
Mitä minun pitäisi tietää tietokoneiden tietoturvasta
Mitä minun pitäisi tietää tietokoneiden tietoturvastaMitä minun pitäisi tietää tietokoneiden tietoturvasta
Mitä minun pitäisi tietää tietokoneiden tietoturvastaTowo Toivola
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Nixu Corporation
 
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenTietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenValtiokonttori / Statskontoret / State Treasury of Finland
 
Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013Mainostoimisto Kanava.to
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998japijapi
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Tomppa Järvinen
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenTomppa Järvinen
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 
Tietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaaTietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaaTeemu Tiainen
 
Lahden aamiaistilaisuus 2014-11-27
Lahden aamiaistilaisuus 2014-11-27Lahden aamiaistilaisuus 2014-11-27
Lahden aamiaistilaisuus 2014-11-27Pirkka Paronen
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
IT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitusIT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitus3 Step IT Suomi
 
Tietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössäTietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössäHarto Pönkä
 
Fmi avoin lahdekoodi
Fmi avoin lahdekoodiFmi avoin lahdekoodi
Fmi avoin lahdekoodiMikko Rauhala
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tomppa Järvinen
 
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaari
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaariPikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaari
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaariTeemu Tiainen
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaFinceptum Oy
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Tieturi Oy
 

Más contenido relacionado

La actualidad más candente

Mitä minun pitäisi tietää tietokoneiden tietoturvasta
Mitä minun pitäisi tietää tietokoneiden tietoturvastaMitä minun pitäisi tietää tietokoneiden tietoturvasta
Mitä minun pitäisi tietää tietokoneiden tietoturvastaTowo Toivola
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Nixu Corporation
 
Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013Mainostoimisto Kanava.to
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998japijapi
 

La actualidad más candente (6)

Mitä minun pitäisi tietää tietokoneiden tietoturvasta
Mitä minun pitäisi tietää tietokoneiden tietoturvastaMitä minun pitäisi tietää tietokoneiden tietoturvasta
Mitä minun pitäisi tietää tietokoneiden tietoturvasta
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?
 
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
 
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenTietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
 
Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013Mainostoimisto Kanava.to – Webortaasi2013
Mainostoimisto Kanava.to – Webortaasi2013
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998
 

Similar a Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama

Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Tomppa Järvinen
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenTomppa Järvinen
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 
Tietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaaTietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaaTeemu Tiainen
 
Lahden aamiaistilaisuus 2014-11-27
Lahden aamiaistilaisuus 2014-11-27Lahden aamiaistilaisuus 2014-11-27
Lahden aamiaistilaisuus 2014-11-27Pirkka Paronen
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
IT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitusIT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitus3 Step IT Suomi
 
Tietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössäTietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössäHarto Pönkä
 
Fmi avoin lahdekoodi
Fmi avoin lahdekoodiFmi avoin lahdekoodi
Fmi avoin lahdekoodiMikko Rauhala
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tomppa Järvinen
 
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaari
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaariPikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaari
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaariTeemu Tiainen
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaFinceptum Oy
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Tieturi Oy
 
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelut
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelutCisco Tulevaisuuden ICT- ja tietoliikennepalvelut
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelutKatariina Kolehmainen
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalJukka-Pekka Sorvisto
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Jukka-Pekka Sorvisto
 
Yrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössäYrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössä2NS
 

Similar a Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama (20)

Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
 
Tietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaaTietoturvallinen tulostaminen säästää rahaa
Tietoturvallinen tulostaminen säästää rahaa
 
Lahden aamiaistilaisuus 2014-11-27
Lahden aamiaistilaisuus 2014-11-27Lahden aamiaistilaisuus 2014-11-27
Lahden aamiaistilaisuus 2014-11-27
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
 
IT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitusIT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitus
 
Tietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössäTietosuoja ja tietoturva etätyössä
Tietosuoja ja tietoturva etätyössä
 
Fmi avoin lahdekoodi
Fmi avoin lahdekoodiFmi avoin lahdekoodi
Fmi avoin lahdekoodi
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012
 
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaari
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaariPikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaari
Pikkusovellusten päivittämisen parhaat käytännöt SCCM-maailmassa -webinaari
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturva
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajana
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
 
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelut
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelutCisco Tulevaisuuden ICT- ja tietoliikennepalvelut
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelut
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto final
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto
 
Yrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössäYrityksen tietoturvan varmentaminen käytännössä
Yrityksen tietoturvan varmentaminen käytännössä
 

Más de Nixu Corporation

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

Más de Nixu Corporation (14)

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo Nixu
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology Presentation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identities
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjille
 

Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama

  • 1. Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama 02/10/14 © Nixu 2014 1
  • 2. 127.0.0.1 § Jussi Perälampi § Ollut mukana ATK-kuvioissa jo viime vuosituhannella. Koodannut, administroinut ja konsultoinut koko tuon ajan Microsoft-ympäristöjä § Senior Security Consultant, GCIH, GREM, CISSP @ Nixu DFIR team § Työnantaja Nixu Oy Espoossa, 25-vuotias tietoturvakonsultointitalo § Pohjoismaiden suurin tietoturvan asiantuntijayritys, yli 100 asiantuntijaa § Twitterissä: @JussiPeralampi § #NamesDays , #tietoturva 02/10/14 © Nixu 2014 2
  • 3. Agenda § Tietoturvapoikkeamien hallinta vs. forensiikka § Varautuminen ja valmistautuminen – Mitä voit tehdä etukäteen? § Koska olisi hyvä vilkaista tarkemmin ja mitä sitten? Indicators Of Compromise (IOC) § Päräyttävää! Minä kanssa! 02/10/14 © Nixu 2014 3
  • 4. Tietoturvapoikkeamien hallinta vs. forensiikka 02/10/14 © Nixu 2014 4
  • 5. Tietoturvapoikkeamien hallinta vs. forensiikka § Digital Forensic Incident Response (DFIR) § Tietoturvapoikkeamien hallinta (IR) – tulipalon sammutus – Tilanteen haltuunotto – Vahinkojen minimointi – Tilanteen normalisointi § Tietomurtojen tutkinta / forensiikka (DF) – palosyyn tutkinta – Mitä tapahtui? – Mihin tietoon on päästy käsiksi? – Milloin tapahtui? – Kenen toimesta? § Poikkeamien hallinnan aikainen forensiikka – Nopeita tarkastuksia, kuten muistivedosten läpikäynti § Oikein tehtynä poikkeamien hallinta voidaan tehdä niin, että myöhemmin voidaan suorittaa forensiikkatutkimus 02/10/14 © Nixu 2014 5
  • 6. Päätös tutkinnan laajuudesta § Tietoturvapoikkeaman havaitsemisen jälkeen tulisi tehdä päätös siitä, mihin tähdätään – Nopea toipuminen vs. täydellinen analyysi tapahtumista – Pidetäänkö tieto organisaation sisällä vai viedäänkö juttu oikeuteen? – Ei tehdä mitään? - Tämä on valitettavan yleistä § Tutkinnan keinot ja menettelytavat riippuvat tutkinnan tavoitteista § Monet poikkeamien hallinnan alussa tehdyistä valinnoista ovat sellaisia, että niitä ei voi muuttaa: – Turvataanko todistusaineisto? – Suoritetaanko tutkintaa suoraan epäilyksenalaisissa järjestelmissä? 02/10/14 © Nixu 2014 6
  • 7. Tietoturvapoikkeaman hallinnan vaiheet § Tietoturvapoikkeamien ja -loukkausten kuvaamiseen, määrittelyyn ja nimeämiseen on useita viitekehyksiä – NIST SP800-61 rev2, Vahti 3/2005, ENISA Good Practice Guide for Incident Management… § Tietoturvapoikkeamien elinkaaren osat – Valmistautuminen (Preparation) – Tunnistaminen (Identification) – Eristäminen (Containment) – Hävittäminen (Eradication) – Palautuminen (Recovery) – Tapauksesta oppiminen (Lessons Learned) 02/10/14 © Nixu 2014 7
  • 8. Kuinka tulee toimia, kun ympäristössäsi havaitaan tietomurto tai -poikkeama, siten etteivät murtautujan jäljet katoa? § Se riippuu… mutta jos henkiä ei ole vaarassa, mieti hetki ennen kuin alat toimia § Jos on syytä epäillä yritysvakoilua tai valtiollista toimijaa – Jos sinulla ei ole valmista suunnitelmaa, ota yhteys poliisiin ja tietomurtojen tutkimiseen erikoistuneeseen firmaan. Soitto ei ole rikosilmoitus ja firmatkin yleensä arvioivat tilannetta alkuun ilman laskua. § Jos tilanne tulee vastaan vaikkapa auditoinnissa ja on selkeää, että tilanne on ollut päällä jo pitempään – Malta ja harkitse à Poliisi & ammattilaiset auttavat § Kun kyseessä on palomuuri, AV, proxy tai muu ”normaali” havainto / hälytys – Tästä seuraavaksi 02/10/14 © Nixu 2014 8
  • 9. Toiminta hälytyksen sattuessa § Tee tiketti tai muistiinpano, josta ilmenee: – Mistä hälytys tuli, mistä syystä ja milloin § Jos joku pääsee itse koneelle – Ota muistivedos (jonka jälkeen koneen voi kytkeä verkoista) – Ota eventlokit talteen (security, application ja system) – Jos et voi ottaa muistivedosta, laita kone Hibernate-tilaan. Kopioi hiberfil.sys talteen. § Aja IR-työkalu koneella (tämä vaatii jo valmisteluja) – Esim. Google Grr tai Mandiant Redline – Talleta tulokset ja analysoi / lähetä analysoitavaksi § Kokeile, jos AV tai vastaava löytää jotain § Talleta tulokset USB-muistille ja laita lukkojen taakse talteen odottamaan tutkintaa – Kun kerran epäillään haitaketta tai hakkeria, ÄLKÄÄ käyttäkö samaa USB-muistia eri koneilla ilman turvallista välityhjäystä 02/10/14 © Nixu 2014 9
  • 10. Varautuminen ja valmistautuminen 02/10/14 © Nixu 2014 10
  • 11. Millaiseen ympäristöön DFIR-tapauksissa tullaan § Asiakkaalla… – Yleensä: Antivirus on asennettu, palomuuri, meili gateway, web proxy, puhelinnumerot käyttöpalvelutoimittajalle ja operaattorille – Ehkä: IDS/IPS, SIEM, haavoittuvuus- & päivitysskannauksia sisäverkkoon, DLP, FIM, whitelisting, yhteystiedot NOC, SOC, CSOC, Viestintävirastoon, poliisille – Tuskin: verkko ATP (web, mail), kehittyneitä endpoint prevention -tuotteita, endpoint incident response- tai forensiikkatuotteita, DFIR-ammattilaisia tai DFIR-prosessia 02/10/14 © Nixu 2014 11
  • 12. Mitä voi yleensä tehdä omassa ympäristössä § Lue tietoturvaan vaikuttavat raportit ja vaadi ne tarvittaessa käyttöpalvelun toimittajalta – Joissakin ympäristöissä sadat päivittäiset AV-hälytykset ovat niin normaaleja, että niistä ei edes ilmoiteta asiakkaalle – Pelkkä executive summary -raportti ei riitä – Jos raportti tuntuu liian tekniseltä, laita joku selittämään se § Vaadi tietoturvabudjettia – Kirstunvartijat yleensä kysyvät miksi? à Raportit? – Teetä POC/POV tai Nixun APT Health Check § Melko usein ympäristön perusasetukset ovat ”perus”- tilassa. Pienillä muutoksilla saadaan jo olemassa olevasta ympäristöstä paljon uutta irti. 02/10/14 © Nixu 2014 12
  • 13. Antivirus § Kannattaa edelleen asentaa, myös palvelimille § Microsoft tehnyt valmiit exclude-ohjeet omille tuotteilleen § Lue AV-raportit, oikeasti § Kun AV löytää haitakkeen, laita haitake karanteeniin § Tarkasta AD:sta koneiden määrä ja vertaa AV-raportin konemäärään § Ajasta full scan vähintään viikoittaiseksi ja tarkasta raportit seuraavana aamuna – Jos tulee havaintopiikki, on AV missannut jotain aikaisemmin § Lue tuotteen manuaalit kokonaan, saatat saada uusia ominaisuuksia samalla rahalla § Tarkista ostetut lisenssit, onko kaikki mistä maksetaan käytössä 02/10/14 © Nixu 2014 13
  • 14. Web proxy § Jos mahdollista, käytä autentikointia – Sinänsä helppo ohittaa, mutta jää taas jälki ja vihje lokiin § Vähintään URL- tai mainekategoria ja AV-filtteröinti – GeoIP-ominaisuus on näppärä estoissa ja raporteissa § Omien esto-URL:ien lisäämisen olisi oltava mahdollista § Lue raportit päivittäin § Lokit talteen lokipalvelimelle 02/10/14 © Nixu 2014 14
  • 15. Palomuuri § Tilanpitävä ”Cisco ASA v1999” EI ole nykypäivää § Next Generation FireWall erittäin suositeltava – Sovellusnäkyvyys, IDS/IPS (varauksin), AV, SSL-purku, URL-filtteri,… § Exgress-säännöt käyttöön. Esim: – Ainoastaan sisäiset nimipalvelimet voivat liikennöidä ISP DNS -palvelimelle TCP/UDP 53 – Muu DNS-liikenne ulospäin on poikkeama – HTTP/S-liikenteen pitäisi mennä proxyn kautta Internetiin – Suoraan muurille (DefaultGateway) tuleva HTTP/S poikkeama § Hyvät raportointiominaisuudet tärkeitä – Lue raportit 02/10/14 © Nixu 2014 15
  • 16. Palvelimet ja työasemat § Kasvata OS-lokien kokoa – Ainakin security, application ja system § Laita Task Scheduler Task History päälle § Asenna MS Sysmon (ja kasvata lokin kokoa) § Asenna MS EMET § Ota AppLocker käyttöön (Audit mode, kasvata lokin kokoa) § Käyttöoikeudet kuntoon § Ainakin palvelimien lokit keskitettyyn lokivarastoon, SIEM plussaa 02/10/14 © Nixu 2014 16
  • 17. Seuraavan sukupolven tietoturvakyvykkyydet § Haittaohjelmien analysointikyky (Malware analysis) – Web, sähköposti ja forensiikka § Työasemien ja palvelimien tutkiminen (Endpoint analysis and control) – Koneen tarkastaminen IOC:ta vasten (sweep) – Koneen tutkiminen etänä – Koneen eristäminen § Suojaus työasemille ja palvelimille (Endpoint prevention) – Exploit protection – Whitelisting – Sandbox 02/10/14 © Nixu 2014 17
  • 18. Koska olisi hyvä vilkaista tarkemmin ja mitä sitten Indicators Of Compromise (IOC) 02/10/14 © Nixu 2014 18
  • 19. Milloin voisi alkaa selvittelemään § Palomuuri tai proxy antaa toistuvia hälytyksiä koneesta – Erityisesti jos/kun AV ei löydä mitään ko. koneelta § Tietokone infektoituu uudelleen – AV ei huomaa dropperia § Joku haitakehavainto ”lisääntyy” samalla alueella – AV havaitsee ehkä haitakkeen, mutta ei dropperia tai pivotointia – Tiedostojako, intranet, USB tai vastaava levittää haitaketta § AV-raporttiin tulee piikki ajastetun skannauksen jälkeen – Haitake on kerennyt useammalle koneelle ennen kuin AV-tuote on saanut kuvauksen siitä – Tarkista onko koneilla jotain muutakin, jota AV ei havaitse § Jokin lokeissa pistää silmään – Lokeja kannattaa vilkaista erityisesti kun maailmalla tapahtuu jotain jännää à esim. Shellshock 02/10/14 © Nixu 2014 19
  • 20. Kun on vahva epäilys poikkeamasta (kertauksena) § Kirjoita muutaman rivin README.txt § Ota muistivedos § Ota lokit talteen § Aja koneella IR-työkalu § Laita muistivedos, lokit ja IR-työkalun tulokset talteen 02/10/14 © Nixu 2014 20
  • 21. Mitä lokeilla ja muistivedoksella tekee § Muistidumppi tai hiberfil.sys analysoidaan – Volatility (ilmainen, hyvä ja ”helppo” päästä alkuun) – Mandiant Redline (muistivedos / IR-tiedon keräys) § Lokeista tehdään timeline ja/tai etsitään poikkeamia – MS Logparser (+logparser lizard gui) – SANS SIFT (virtuaalikone) – Nixun inhouse-työkalut § Grr- ja Redline-tulosten analysointi / poikkeamien etsiminen § Analysointi vaatii melkoisesti osaamista :-/ – Kirjoja, kursseja ja blogeja löytyy runsaasti 02/10/14 © Nixu 2014 21
  • 22. Voidaan tutkia tarkemmin (tarvittaessa) § Koneen kovalevystä otetaan forensiikkaimage – Tai ainakin levyimage livekoneesta § Etsitään todisteita tapahtumista ja tuntematonta haittaohjelmaa (SANS DFIR pdf poster 2012) – Imagesta ajetaan timeline – Kaikki koneen tapahtumat aikajanalle (kirjautumiset, ajot, lokit, tiedostot, rekisterit, MFT, aika-anomalioiden etsiminen, …) § Jos löytyy haitake muistista tai kovalevyltä analysoidaan se § Tutkitaan muita lokeja (DC:t, palomuuri, VPN, AV, DNS,…) 02/10/14 © Nixu 2014 22
  • 23. Mitä löydöksillä tehdään § Todetaan tilanne ja päätetään jatkotoimista § Tehdään IOC:t (Indicator Of Compromise) – FQDN, IP, Mutex, rekisteri tai tiedosto artifakti, meili,… § IOC:lla etsitään merkkejä aikaisemmasta tai meneillään olevasta samanlaisesta tapahtumasta – FQDN, IP, DNS, etc… laitetaan verkkokavereille – Konekohtaisia voi yrittää etsiä scripteillä – Mukavinta on toki käyttää kaupallista softaa § Poliisiin voi olla yhteydessä ja kysyä neuvoa § Kyberturvakeskus (CERT-FI) ottaa tietoa vastaan 02/10/14 © Nixu 2014 23
  • 24. Kun se on joka paikassa § Ikävämpi juttu ja melko varmasti myös kallista § Isossa ympäristössä saatetaan aloittaa perusasioilla – Päivitykset kuntoon, verkon segmentointi kuntoon, vanhojen tietoturvalaitteiden ja -ohjelmien korvaaminen, uusia laitteita ja ohjelmistoja, prosessien ja käytäntöjen tarkastaminen ja päivittäminen, henkilöstön kouluttamista, ulkopuolista konsultointia ja lista jatkuu § Kun perusasiat on kunnossa, niin.. – Näkyvyys verkkoon – Seurataan endpointteja – Koneiden tutkiminen § Siivous yhdellä rysäyksellä, jos mahdollista 02/10/14 © Nixu 2014 24
  • 25. Siivouskyvykkyys esimerkkejä § Kykenetkö vaihtamaan KAIKKI salasanat AD:ssa ja paikallisilla koneilla? § Tiedätkö mitä tunnuksia AD:ssa ja paikallisilla koneilla pitäisi olla? § Montako työasemaa kykenet palauttamaan vuorokaudessa? 1, 10, 100, 1000? § Onko palvelimista varmuuskopiot? Data ja konfiguraatiot. § Kykenetkö palauttamaan verkkolaitteisiin tunnetut hyvät versiot? Kykenetkö uudelleenasentamaan verkkolaitteen käyttöjärjestelmän tunnetusta hyvästä lähteestä? § Tiedätkö koneassettisi, entä tiedätkö mitä ohjelmistoja ympäristössäsi on? 02/10/14 © Nixu 2014 25
  • 26. Melko päräyttäviä juttuja! Minä kanssa!! § Jonoon vaan, tätä riittää kaikille § Lataa SANS-forensiikkaposterit ja SANS SIFT -virtuaalikone § Muistianalyysin kanssa pääsee helposti alkuun – Lataa itsellesi Volatility – Netistä löytyy paljon muistisampleja, joissa on haitake – Melkoinen määrä blogijuttuja ja ohjeita analyysiin § IR-työkalut vaativat jo hieman enemmän – Windows-ihmiset helposti alkuun Mandiant Redline:llä – GRR vaatii jo hieman enemmän § Asenna / hanki malware sandbox § SANS DFIR -kurssit § Tonneittain kirjoja Amazonissa § Twitter #dfir, #tietoturva, #kyberturvallisuus 02/10/14 © Nixu 2014 26
  • 27. Thank you! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 02/10/14 © Nixu 2014 27