Pelkkä penetraatiotestaus ei enää riitä – näin testaat organisaatiosi todellisen kyberkestävyyden

Sain kunnian toimia Patentti- ja rekisterihallitukselle toimitetussa kyberturvaharjoituksessa (Red Teaming) projektipäällikkönä, jonka innoittamana haluan jakaa muutaman ajatuksen kyberhyökkäysharjoittelusta.

Red Teaming -keikat ovat henkilökohtaisesti suosikkejani, koska niiden suunnittelu ja toteutus on todella mielenkiintoista ja kokonaisvaltaista pistemäisiin sovellusten tietoturvatestauksiin verrattuna.

Tietoturva-alan myyntityötä pitkään tehneenä olen huomannut, että organisaatioiden teknistä tietoturvaa testataan perinteisesti yksittäisten järjestelmien näkökulmasta. Syy on usein se, että tietoturvavaatimuksiin on kirjattu, että palvelu tulee olla “tietoturvatestattu” ennen tuotantoon menoa, ja testauskulut on tyypillisesti huomioitu jo sovelluskehitysbudjettissa. Tuloksiin vaikuttaa aina se, paljoko aikaa tietoturvatestauksen toimittajalla oli käytössä, mikä oli projektin laajuus, sekä ketkä sen tekivät – penetraatiotestaus, kuten Red Teaming, on nimittäin luovaa työtä!

Penetraatiotestauksilla varmistetaan, ettei sovelluksissa ole tunnettuja haavoittuvuuksia. Tämä on edelleen välttämätöntä – mutta yhä harvemmin riittävää. Red Teaming on penetraatiotestausta kokonaisvaltaisempaa, koska siinä ei testata vain yksittäisiä järjestelmiä vaan koko organisaation kykyä havaita, torjua ja kestää todentuntuinen hyökkäys.

Todellinen kysymys ei nimittäin ole enää vain: onko järjestelmä turvallinen?

Vaan: miten organisaatio toimii, kun sitä vastaan hyökätään?

Miten Red Teaming -harjoitus aloitetaan?

Gofore tarjoaa organisaatioille hallittua tapaa testata kyberhyökkäyskestävyyttään strukturoidulla Red Teamingilla eli kyberhyökkäyysimulaatiolla.

Harjoitus käynnistyy tiivistetysti seuraavasti:

1. Tiedustelukysymysten määrittely yhdessä asiakkaan kanssa: mihin tietoon, digitaaliseen tai fyysiseen tilaan emme missään tapauksessa hyökkääjinä saisi päästä? Mitkä ovat organisaation tärkeimmät suojattavat assetit?
2. Uhkamallinnus, jossa tunnistetaan organisaation kriittiset resurssit, teknologiat ja ihmiset.
3. Tarkastellaan, miltä organisaatio näyttää hyökkääjän silmin.

Tämä vaihe on usein aliarvostettu, mutta ratkaiseva. Hyökkääjä ei etsi yksittäistä bugia, vaan heikkoa lenkkiä kokonaisuudessa. Käytännön esimerkki on, että hyökkääjä voi tekeytyä työnhakijaksi ja saada merkittävän määrän kalastelutietoa haastattelu- ja hakuprosessin aikana. Samaan aikaan organisaatiota voidaan tiedustella verkkojen yli, tutustumalla fyysisesti toimipisteisiin ja ulospäin näkyviin prosesseihin, kuten mitä siivousyritystä organisaatio käyttää, milloin ja miten siivoojat pääsevät organisaation toimitiloihin.

Kyberhyökkäys on suunniteltu, ei sattumanvarainen

Red Teamingissa rakennetaan:

• Intelligence Collection Plan (ICP) eli tiedonkeruusuunnitelma sekä
• Master Attack Plan, jossa määritellään hyökkäysskenaariot, aikajana ja etenemistapa

Tämä tarkoittaa käytännössä sitä, että hyökkäys ei ole yksittäinen testi, vaan sarja harkittuja askelia, jotka jäljittelevät oikeaa hyökkääjää.

Mukana voi olla:

• tekninen hyökkäys (verkot, sovellukset)
• sosiaalinen manipulointi
• fyysinen tiedustelu ja tunkeutuminen

Red Teaming huipentuu vaiheeseen, jossa suunnitelma pannaan täytäntöön. Yhteistyössä asiakkaan kanssa määritetään aina hiekkalaatikon rajat, jotka on jätettävä hyökkäyssimulaation ulkopuolelle. Tyypillisiä esimerkkejä ovat esimerkiksi (oikeat) henkilötiedot.

Hyökkäyksen aikana organisaation reagointikykyä seurataan jatkuvasti ja havaintoja analysoidaan reaaliaikaisesti. Tässä kohtaa paljastuu todellinen tilannekuvanäkyvyys:

• Havaitaanko hyökkäys? Kuinka nopeasti?
• Reagoidaanko hyökkäykseen? Kuinka nopeasti?
• Eteneekö hyökkääjä huomaamatta?

Harjoitushyökkäyksessä ei haeta yksittäisiä ”syyllisiä”, vaan heikkouksia prosesseissa ja toimintalogiikassa. Jos organisaatiosta on saatu jalansija esimerkiksi yksittäisten työntekijöiden avulla, vaikka ”posteljooniksi tekeytyneen henkilön sisään päästämisellä”, ei organisaatiolle koskaan paljasteta sitä, kuka oven hyökkääjälle avasi – se ei ole relevanttia kokonaisuuden kannalta.

Miten Red Teaming eroaa penetraatiotestauksesta?

Yksi suurimmista eroista penetraatiotestaukseen on lopputulos. Red Teaming ei tuota vain teknistä raporttia, vaan:

• strategisen näkymän johdolle
• operatiivisen näkymän turvallisuustoiminnoille
• teknisen näkymän kehittäjille

Lisäksi harjoitus päätetään yhteiseen läpikäyntiin, jossa:

• löydökset sidotaan liiketoimintavaikutuksiin
• priorisoidaan korjaustoimet
• varmistetaan, että opit viedään käytäntöön
• suositellaan koko henkilöstön tietoturvakoulutusta kyberhyökkäyssimulaation jälkeen
• koulutuksessa voidaan kertoa, mitä testattiin ja miksi, mikä toimi ja mikä ei
• missä koko henkilöstöllä olisi vielä kehitettävää
• parhaassa tapauksessa kyberturvallisuusharjoituksesta voi tulla johtamisen työkalu

Kyberhyökkäyssimulaatio lähestymistapana voi tuoda merkittävän muutoksen organisaation kokonaistietoturvan tilannekuvaan. Red Teaming tuo vastauksen kysymykseen, miten koko organisaatio toimii hyökkäyksen aikana.

Tuloksena:

• Parempi ymmärrys nykytilasta
• Selkeä kuva havainto- ja reagointikyvystä
• Konkreettinen työkalu tietoturvan johtamiseen

Penetraatiotestaus kertoo, missä järjestelmä voi pettää. Red Teaming kertoo, mitä tapahtuu, kun joku yrittää oikeasti murtautua sisään. Ja vielä tärkeämpää, miten organisaatio toimii silloin?

Jos testaat vain järjestelmiä, saat teknisiä vastauksia. Jos testaat koko organisaatiota, saat ymmärryksen organisaation kyberhyökkäyskestävyydestä.

---

Patentti- ja rekisterihallituksen asiakastarina: Red Teaming vahvistaa kyberpuolustusta uudesta näkökulmasta