PwC:n uutishuone
pwc.fi

PwC Suomi Uutishuone Aihe Red Teaming yrityksesi kyberpuolustuksen kehittämisen tukena

|

Red Teaming yrityksesi kyberpuolustuksen kehittämisen tukena

Ovatko yrityksesi kriittisimmät tiedot vaarassa? Voiko ulkopuolinen hyökkääjä päästä niihin käsiksi? Pystyykö kyberrikollinen halvaannuttamaan liiketoimintasi? Kyllä! Red Teaming auttaa sinua tehostamaan kyberpuolustustasi näitä ja monia muita uhkia vastaan.

Ovatko yrityksesi kriittisimmät tiedot vaarassa? Voiko ulkopuolinen hyökkääjä päästä niihin käsiksi? Pystyykö kyberrikollinen halvaannuttamaan liiketoimintasi? Kyllä! Red Teaming auttaa sinua tehostamaan kyberpuolustustasi näitä ja monia muita uhkia vastaan.

Red Teamingilla tarkoitetaan harjoitusta, jossa joukko kyberturvallisuuden ammattilaisia (Red Team) tekeytyy hyökkääjäksi ja simuloi aidon kaltaista verkkohyökkäystä yrityksen verkkoon. Harjoitus testaa yrityksen valmiuksia suojautua ja reagoida kyberhyökkäyksiin ja auttaa siten yritystä virittämään puolustuskykyään tehokkaammaksi aitoja hyökkäyksiä varten. Tavoitteena on löytää heikkoja kohtia puolustusmekanismeissa, hyökkäysten havaintokyvyissä ja verkkoympäristöjen sekä tietojärjestelmien konfiguraatioissa. Harjoitus muodostaa realistisen kuvan yrityksen havainnointi- ja reagointikyvyistä sekä auttaa tunnistamaan näiden tärkeimpiä kehityskohteita.

Harjoituksessa Red Team simuloi todellista uhkatekijää käyttämällä realistisia keinoja yrityksen IT-ympäristöön murtautumiseen, pääkäyttäjän tunnusten haltuunottoon, ympäristössä levittäytymiseen, puolustuksen ohittamiseen, pysyvän jalansijan muodostamiseen sekä ennalta määritettyjen tavoitteiden saavuttamiseen. Harjoituksessa hyödynnetyt keinot valmistellaan huolellisesti ottamalla mallia keskeisimpien uhkatoimijoiden käyttämistä tekniikoista ja taktiikoista. Samalla hyödynnetään kyberturvatutkijoiden uusia löydöksiä sekä Red Teamin itse kehittämiä työkaluja.

Tiivistettynä Red Team on kuin oikea uhkatoimija, joka ei kuitenkaan pyri vahingoittamaan kohdeyritystä, vaan auttaa sitä sen sijaan kehittämään puolustustaan paremmaksi.

Miten Red Teaming -harjoitus toteutetaan?

Red Teaming tulisi toteuttaa siten, että vain muutama henkilö yrityksessä on siitä tietoinen. Erityisesti yrityksen tietoturvavalvomo (Security Operations Center, SOC) on pidettävä sisäpiirin ulkopuolella. Menettelyllä varmistetaan, että harjoitus testaa yrityksen havainnointikyvyn mahdollisimman todenmukaisesti ja että uhkaan vastataan aina yhtä tehokkaasti, oli kyseessä oikea hyökkäys tai harjoitus. Mikäli olet hankkinut tietoturvavalvomon palveluna, on sen tehokkuutta ja toimintaa hyvä arvioida säännöllisillä Red Teaming –harjoituksilla.

Harjoituksen alkaessa avustamme asiakasyritystä sopimaan tavoitteet, jotka Red Team pyrkii harjoituksen aikana saavuttamaan. Tavoitteina voi olla esimerkiksi pääkäyttäjäoikeuksien saaminen IT-ympäristössä, pääsy liiketoiminnan kannalta kriittisiin järjestelmiin, pääsy luottamukselliseen tietoon tai kiristyshaittaohjelmahyökkäyksen simulointi. Harjoituksessa Red Team pyrkii saavuttamaan ennalta määritellyt tavoitteet ja välttämään aiheuttamasta hälytyksiä tietoturvavalvomolle eli pysymään piilossa puolustajilta.

Red Teaming –harjoitus voidaan aloittaa monella eri tavalla, tässä kaksi yleisintä lähestymistapaa:

Aloitus sisäverkosta

Tässä yleisimmin käytetyssä lähestymistavassa Red Teamille annetaan pääsy yrityksen sisäiseen verkkoon olettaen, että murto on jo tapahtunut. Tällä voidaan simuloida tilannetta, jossa työntekijä tai ulkoinen kumppani on joutunut kalastelun uhriksi. Skenaario voidaan toteuttaa esimerkiksi tarjoamalla Red Teamille virtuaalikone tai työasema ja luomalla realistinen käyttäjätunnus. Kokemuksemme mukaan tämä lähestymistapa kannattaa valita, kun yritys haluaa testata ensisijaisesti sisäisiä havainnointi- ja reagointikykyjään.

Hyökkäys ulkopuolelta

Jos yritys haluaa testata ulkoista puolustustaan, Red Team voi aloittaa hyökkäyssimulaation yrityksen ulkopuolelta. Tässä lähestymistavassa Red Team pyrkii pääsemään yrityksen sisäverkkoon esimerkiksi kohdennetun kalastelun (spear phishing) avulla tai yrityksen julkista internet-omaisuutta hyväksikäyttämällä, kuten hyökkäämällä verkkosovelluksen kautta. Myös ei-teknisiä hyökkäysmenetelmiä, kuten sosiaalista manipulointia tai fyysistä tunkeutumista voidaan hyödyntää.

Miksi Red Teamingia tehdään?

Red Teaming antaa yritykselle oppeja aidosta kyberhyökkäystilanteesta ja siitä, miten organisaatio kykenee toimimaan uhkatoimijoita vastaan. Harjoitus tarjoaa näkyvyyttä yrityksen havainnointi- ja reagointikykyihin, sillä se mahdollistaa tietoturvakontrollien ja -prosessien testaamisen todenmukaisessa käytännön tilanteessa. Joillakin toimialoilla myös regulaatio edellyttää säännöllistä uhkaperusteista tietoturvatestausta.

Harjoitus paljastaa usein lukuisia heikkoja kohtia yrityksen tietoturvassa. Tyypillisimpiä tekemiämme havaintoja ovat:

  • Huolimaton salasanojen hallinta
  • Puutteelliset tietoturvavalvontajärjestelmät tai -prosessit
  • Konfiguraatiovirheet
  • Puutteellisesti hallitut ja liian laajat käyttöoikeudet
  • Haavoittuvat verkkosovellukset

Mitä eroa on Red Teamingilla, Purple Teamingilla ja penetraatiotestauksella?

Red Teaming testaa todellista kykyäsi suojautua kyberhyökkäyksiltä. Se koettelee yrityksen puolustuskykyä ja arvioi työntekijöiden, sidosryhmien, teknologioiden, konfiguraatioiden ja palveluntoimittajien toimintaa kyberhyökkäystilanteessa.

Purple Teaming on yhdistelmä Red ja Blue Teamia eli hyökkäävää ja puolustavaa tietoturvaa. Purple Teaming keskittyy havainnointiin ja sen parantamiseen erilaisten valmisteltujen hyökkäysskenaarioiden avulla, eikä varsinaisesti etsi järjestelmistä haavoittuvuuksia. Hyökkäysskenaariot suoritettuamme työskentelemme yrityksen kyberpuolustuksen kanssa ja kehitämme uusia tapoja havainnoida hyökkäyksen eri vaiheita.

Penetraatiotestauksessa keskitytään useimmiten yhteen sovellukseen tai infrastruktuurin osaan. Laadukkaassa testauksessa on automaattisten skannausten lisäksi paljon manuaalista työtä, ja asiantuntijoiden tulee vahvistaa löydetyt haavoittuvuudet käsin.

Teknologian ja erityisesti tekoälyn kehitys tuottaa jatkuvasti uusia apuvälineitä kyberpuolustuksen testaamiseen, havainnointiin ja sääntöjen kehittämiseen sekä reagointiin. Penetraatiotestaukset ja Red Teaming –harjoitukset ovat kuitenkin silti tarpeellisia varmistamaan, että teknologioita on hyödynnetty oikein ja että prosessit ovat liiketoiminnan odotuksen mukaisia.

Varmistu organisaatiosi riittävästä kyberturvallisuuden tasosta

Hallinnolliset menettelyt, kuten tietoturvallisuuden hallintajärjestelmän sertifioinnit luovat puitteet tietoturvallisuudesta huolehtimiselle, mutta todellisen kyberuhkien sietokyvyn osalta tarvitaan myös teknistä testausta. Kykyjä on kehitettävä ja harjoiteltava säännöllisesti, jotta niiden toimivuuteen voidaan luottaa tositilanteessa.

Red Teaming auttaa yritystäsi havaitsemaan puolustuksesi heikot kohdat, kehittämään prosesseja ja korjaamaan mahdollisia konfigurointivirheitä. Harjoituksen tuotoksena laadimme yleistajuisen johdon yhteenvedon ja yksityiskohtaisen teknisen raportin, jossa kuvailemme yksityiskohtaisesti käyttämämme tekniset metodit, tekemämme havainnot sekä tietoturvapuutteiden aiheuttamat riskit liiketoiminnalle. Lisäksi saat kehitys- ja korjausehdotuksia.

Yrityksesi saa näin elintärkeää tietoa siitä, miten parantaa havainnointi- ja reagointiprosessejaan sekä infrastruktuurin ja sovellusten teknistä suojausta. Tämä kaikki auttaa yritystäsi valmistautumaan ja suojautumaan kyberhyökkäyksiltä jatkuvasti monimutkaistuvassa tietoyhteiskunnassamme.

Lue lisää Red Teaming- sekä muista kyberturvallisuuden palveluistamme

Antti Herrala

Partner, Cybersecurity & Privacy Services

+358 (0)20 7878354

antti.herrala@pwc.com

Anne Hintzell

Cybersecurity & Privacy Services

+358 (0)20 7877148

anne.hintzell@pwc.com

Uusimmat

Palvelumme

Kyberturvapalvelut

Sinua voisivat kiinnostaa myös nämä