Advanced Persistent Threats – Proactive Mitigation Solutions for Organizations
Alin, Petteri (2016-11-30)
Advanced Persistent Threats – Proactive Mitigation Solutions for Organizations
Alin, Petteri
(30.11.2016)
Tätä artikkelia/julkaisua ei ole tallennettu UTUPubiin. Julkaisun tiedoissa voi kuitenkin olla linkki toisaalle tallennettuun artikkeliin / julkaisuun.
Turun yliopisto
Kuvaus
Siirretty Doriasta
Tiivistelmä
Advanced Persistent Threat is a concept which has changed the essence of computer threats. While the world is turning to be completely dependent of the digital functions, it is about time to understand the current state of the threat surrounding us. Moreover, organizations are increasingly being pressured to invest more and more to cyber security. Thus, based on the latest literature it seems to be unclear where to invest.
Traditional security measures focus on creating layers of security between internet and the organization network. While that approach is still relevant and should be kept in place, as such it is not enough to provide security against current threat. Although it is impossible to achieve complete security, the security ideology must be changed by understanding how modern attackers are behaving, which kind of resources they are using, and what they are actually looking for. This is the only way to maintain confidentiality, integrity, and availability in order to mitigate the damage.
The main objective of this thesis is to propose mitigation solutions against modern threats in a proactive manner. In contrast to traditional defensive measures, the proposed solution is crafted by assuming that the attacker is already inside the organization’s network. Thus, the main components are segmenting the data to avoid losing valuable information, and to allocate resources towards high-powered detection. This research includes extensive literature review which introduces the concept of Advanced Persistent Threat and its relation to organizational security. Hence, the actual proactive mitigation solutions are synthesized by understanding the nature of the APT, by complementing carefully chosen related solutions, and by using previously identified best practices as a basis. Advanced Persistent Threat on nimitys modernille tietoturvauhalle, joka on huomattavasti kehittyneempi kuin perinteiset haittaohjelmat. Maailmassa ollaan jatkuvasti riippuvaisempia digitaalisista toiminnoista, jonka vuoksi on tärkeää ymmärtää meitä ympäröivät uhat. Lisäksi, organisaatioilla on enenevissä määrin paineita investoida kyberturvallisuuteen tietomurtojen ja tietovuotojen ehkäisemiseksi. Kirjallisuuteen ja uutisointiin perustuen näyttää kuitenkin olevan epäselvää, mihin investoinnit pitäisi kohdistaa.
Organisaatioiden tietoturva on perinteisesti perustunut erinäisten tietoturvakerrosten asettamiseen internetin ja organisaatioverkon välille. On kuitenkin ymmärrettävä, että kyseiset toimet eivät takaa riittävää tietoturvaa moderneja tietoturvauhkia vastaan. Vaikka täydellistä tietoturvaa on mahdoton saavuttaa, tietoturvaideologian pitää muuttua. On ymmärrettävä miten modernit hyökkääjät käyttäytyvät, minkälaisia resursseja heillä on käytössä ja mikä heidän varsinainen tavoite on. Nämä asiat ymmärtämällä on mahdollista löytää tasapaino luottamuksellisuuden, eheyden ja saatavuuden välille, jotta modernien uhkien aiheuttamia vahinkoja voidaan lieventää.
Tämän tutkielman tarkoituksena on esitellä joukko proaktiivisia tietoturvamenetelmiä, joiden avulla organisaatio voi ennaltaehkäistä riskejä. Toisin kuin perinteiset tietoturvaratkaisut, esitetyt proaktiiviset menetelmät perustuvat olettamukseen, että hyökkääjä on jo organisaation tietoverkon sisällä. Tärkeimmät komponentit ovat näin ollen datan segmentointi ja tietoturvauhkien tehokas havaitseminen. Tutkimuksen teoriaosuus koostuu kirjallisuuskatsauksesta, jossa esitellään Advanced Persistent Threat ja sen yhteys organisaation tietoturvaan. Tutkimuksen tuloksena saadut proaktiiviset tietoturvamenetelmät on syntetisoitu ymmärtämällä APT:n olemus, täydentämällä vastaavien ratkaisujen puutteet, sekä hyödyntämällä parhaita käytäntöjä.
Traditional security measures focus on creating layers of security between internet and the organization network. While that approach is still relevant and should be kept in place, as such it is not enough to provide security against current threat. Although it is impossible to achieve complete security, the security ideology must be changed by understanding how modern attackers are behaving, which kind of resources they are using, and what they are actually looking for. This is the only way to maintain confidentiality, integrity, and availability in order to mitigate the damage.
The main objective of this thesis is to propose mitigation solutions against modern threats in a proactive manner. In contrast to traditional defensive measures, the proposed solution is crafted by assuming that the attacker is already inside the organization’s network. Thus, the main components are segmenting the data to avoid losing valuable information, and to allocate resources towards high-powered detection. This research includes extensive literature review which introduces the concept of Advanced Persistent Threat and its relation to organizational security. Hence, the actual proactive mitigation solutions are synthesized by understanding the nature of the APT, by complementing carefully chosen related solutions, and by using previously identified best practices as a basis.
Organisaatioiden tietoturva on perinteisesti perustunut erinäisten tietoturvakerrosten asettamiseen internetin ja organisaatioverkon välille. On kuitenkin ymmärrettävä, että kyseiset toimet eivät takaa riittävää tietoturvaa moderneja tietoturvauhkia vastaan. Vaikka täydellistä tietoturvaa on mahdoton saavuttaa, tietoturvaideologian pitää muuttua. On ymmärrettävä miten modernit hyökkääjät käyttäytyvät, minkälaisia resursseja heillä on käytössä ja mikä heidän varsinainen tavoite on. Nämä asiat ymmärtämällä on mahdollista löytää tasapaino luottamuksellisuuden, eheyden ja saatavuuden välille, jotta modernien uhkien aiheuttamia vahinkoja voidaan lieventää.
Tämän tutkielman tarkoituksena on esitellä joukko proaktiivisia tietoturvamenetelmiä, joiden avulla organisaatio voi ennaltaehkäistä riskejä. Toisin kuin perinteiset tietoturvaratkaisut, esitetyt proaktiiviset menetelmät perustuvat olettamukseen, että hyökkääjä on jo organisaation tietoverkon sisällä. Tärkeimmät komponentit ovat näin ollen datan segmentointi ja tietoturvauhkien tehokas havaitseminen. Tutkimuksen teoriaosuus koostuu kirjallisuuskatsauksesta, jossa esitellään Advanced Persistent Threat ja sen yhteys organisaation tietoturvaan. Tutkimuksen tuloksena saadut proaktiiviset tietoturvamenetelmät on syntetisoitu ymmärtämällä APT:n olemus, täydentämällä vastaavien ratkaisujen puutteet, sekä hyödyntämällä parhaita käytäntöjä.