Työkalut tietoverkon tietoturvan todentamiseen

Jesse Laamanen

Opinnäytetyö Liiketalouden ylempi ammattikorkeakoulututkinto Tietojärjestelmäosaamisen koulutusohjelma

2013

Tiivistelmä

29.9.2013

Tietojärjestelmäosaamisen koulutusohjelma, Ylempi AMK

Tekijä Ryhmätunnus Jesse Laamanen tai aloitusvuosi YTI11K Raportin nimi Sivu- ja lii- Työkalut tietoverkon tietoturvan todentamiseen tesivumäärä 75 + 68 Opettajat tai ohjaajat Olavi Korhonen

Yrityksien ja organisaatioiden tietojärjestelmiin kohdistuu aina tietoturvavaatimuksia. Vaatimukset voivat olla määrämuotoisia ja organisaation ulkopuolelta saneltuja tai or- ganisaation itse määrittelemiä. Vaatimukset pyritään täyttämään hallinnollisin, fyysisin ja teknisin keinoin kuhunkin tilanteeseen ja käyttöympäristöön soveltaen. Jotta voidaan varmistua vallitsevasta tietoturvan tilasta, on se testattava käytännössä.

Tutkimuksen tavoite oli kehittää kohdeorganisaation tietämystä tietoverkkoon kohdis- tuvista hyökkäyksistä ja parantaa sen kykyä suorittaa säännöllisiä sisäisiä auditointeja valitun vaatimuskriteeristön mukaisesti. Tutkimus keskittyi tekniseen tietoturvaan ja jätti käsittelemättä hallinnollisen-, henkilöstö- ja fyysisen turvallisuuden sekä sosiaalisen hakkeroinnin. Tutkimuksen tuloksena saatujen työkalujen valintaan vaikuttivat kohde- organisaation tarpeet, toimintaympäristö, valittu vaatimuskriteeristö ja käytettävissä olevat resurssit.

Tutkimus toteutettiin tapaustutkimuksena. Tutkimus aloitettiin perehtymällä hyökkää- jän toimintatapoihin teoriatiedon avulla. Haastatteluiden ja uhka-analyysin avulla selvi- tettiin työkaluilta vaadittavat ominaisuudet. Valittujen työkalujen toiminta testattiin kaksivaiheisessa kontrolloidussa kokeessa. Ensin työkalujen toimintaa testattiin ja har- joiteltiin sekä niiden käyttöä vakioitiin erillisessä tiukasti kontrolloidussa testiympäris- tössä. Lopuksi työkalujen haluttu toiminta varmistettiin kohdeorganisaation tuotanto- ympäristössä, jolloin vain käytetyt työkalut olivat tiukasti kontrolloituja.

Tutkimus aloitettiin vuoden 2012 alussa ja se valmistui syksyllä 2013. Tutkimuksen tu- loksena kohdeorganisaatio sai tarvitsemansa työkalut sisäisten auditointien suorittami- seen sekä tietoa tietoverkkoon kohdistuvista hyökkäyksistä.

Asiasanat KATAKRI, tietoturva, auditointi, hakkerointi

Abstract

29.9.2013

Master’s Degree Programme in Information Systems Management

Authors Group or year of Jesse Laamanen entry YTI11K The title of thesis Number of pag- Tools to Verify Network Security es and appen- dices 75 + 68 Supervisor(s) Olavi Korhonen

Information systems of companies and organizations always face security require- ments. Requirements can be formal and determined from outside of the organization or they can be defined by the organization itself. Requirements are fulfilled by adminis- trative, physical and technical means and applied to each situation and environment. To be certain about current state of information security, it must be tested.

The focus of the research was to develop the target organization’s knowledge of net- work attacks opposed to information systems and to improve the organization’s ability to make internal audits based on chosen audit criteria. Research focuses on technical information security and it doesn’t go through administrative security, personnel secu- rity and physical security or social hacking. Results of the research were affected by target organizations demands, operating environment, chosen audit criteria and availa- ble resources.

The research was carried out as a case study. It was started by studying theory of the ways information systems are attacked. Using interviews and threat analysis infor- mation about the features required by the tools were gathered. Chosen tools were test- ed in two-phase controlled trial. First phase was conducted in a strictly controlled te