Performing remote live response on organizational environment
Ahonen, Joni (2020)
Ahonen, Joni
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202002172506
https://urn.fi/URN:NBN:fi:amk-202002172506
Tiivistelmä
With the digitalization of society, the traditional crimes have manifested in digital operational environment in cybercrimes, which have created a need for organizations to build a lasting ability to detect and respond to the occurring security incidents. JAMK University of Applied Sciences in association with the Police University College have striven to find means to improve the organizations’ capabilities in a cooperation project named CYBERDI. One result of the project has already been published, namely the conceptual cybercrime prevention model, Prepare – Hunt – Response. The model created by JYVSECTEC’s specialists helps organizations to improve their capability to prepare, detect, and respond to incidents occurring in organizations’ information systems and networks. During the project the model will be supplemented to include a technical environment for cybercrime prevention.
Before the technical environment execution, JYVSECTEC being the assignor of the thesis, had the desire to examine the capabilities of two of existing open source remote live response tools, and performance restrictions when utilized for investigation in an organizational environment consisting of hundreds of endpoints. The assignment was set to be the objective of the research. The research was constructed using two different test cases which produced the results of how the tools’ performance. The results verified that the researched tools are capable of gathering data from occurred incident on organizational environment, and usage of the tools in the assignor’s technical environment execution is justifiable. However, the tools require additional expertise when performing intensive investigation as they have similar features. All things considered, the researched tools should still be considered as a combination of two tools and when selected to investigate an organization environment, they should be extending each other, not excluding the other. Yhteiskunnan digitalisoituminen on aiheuttanut rikollisuuden siirtymistä digitaaliseen toimintaympäristöön. Tietoverkoissa tapahtuvat rikokset ovat luoneet organisaatioille tarpeen kehittää organisaatiokohtaista kyvykkyyttä kyberhyökkäyksien tunnistamiseen, havaitsemiseen sekä niiltä suojautumiseen.
Jyväskylän ammattikorkeakoulu on yhdessä poliisiammattikorkeakoulun kanssa pyrkinyt löytämään keinoja organisaatioiden kyvykkyyksien kehittämiseen CYBERDI-yhteishankkeen avulla. Osana hankkeen tavoitteita on luoda organisaatioille edellytyksiä parantaa sekä tietoisuutta että teknistä kyvykkyyttä kyberrikollisuudelta puolustautumiseen, johon on pyritty jo hankkeen aikana vastaamaan JYVSECTECin, työn tilaajan, julkaisemalla konseptitasoisella mallilla. Mallia täydennetään hankkeen aikana teknisellä ympäristöllä, joka sisältää avoimen lähdekoodin työkaluja, joista osaa voidaan käyttää keräämään tietoa organisaatioympäristössä tapahtuvista poikkeamista reaaliaikaisesti verkon yli.
Työn tilaajalla oli tarve selvittää ennen kahden reaaliaikaiseen tutkintaan tarkoitetun työkalun käyttöönottoa, mitkä ovat työkalujen kyvykkyydet, kun työkaluja käytetään edistyneiden ja kohdistettujen kyberhyökkäyksien havaitsemiseen kohdejärjestelmistä, sekä työkalujen resurssivaatimukset, kun tutkimusta suoritetaan organisaatioympäristössä, joka koostuu sadoista tutkittavista päätelaitteista. Tilaajan tarve asetettiin vastaamaan tutkimuksen tavoitetta, joka saavutettiin käyttämällä kahta testitapausta, joiden avulla voitiin muodostaa tutkimustulokset.
Tulokset osoittavat, että työkalujen käyttöönotolle on riittävät perusteet ja että tulokset ovat vertailukelpoisia, vaikka työkalut pitävätkin sisällään päällekkäisiä ominaisuuksia ja vaativat asiantuntijuutta, kun työkalujen avulla tutkitaan organisaatioympäristöjä.
Before the technical environment execution, JYVSECTEC being the assignor of the thesis, had the desire to examine the capabilities of two of existing open source remote live response tools, and performance restrictions when utilized for investigation in an organizational environment consisting of hundreds of endpoints. The assignment was set to be the objective of the research. The research was constructed using two different test cases which produced the results of how the tools’ performance. The results verified that the researched tools are capable of gathering data from occurred incident on organizational environment, and usage of the tools in the assignor’s technical environment execution is justifiable. However, the tools require additional expertise when performing intensive investigation as they have similar features. All things considered, the researched tools should still be considered as a combination of two tools and when selected to investigate an organization environment, they should be extending each other, not excluding the other.
Jyväskylän ammattikorkeakoulu on yhdessä poliisiammattikorkeakoulun kanssa pyrkinyt löytämään keinoja organisaatioiden kyvykkyyksien kehittämiseen CYBERDI-yhteishankkeen avulla. Osana hankkeen tavoitteita on luoda organisaatioille edellytyksiä parantaa sekä tietoisuutta että teknistä kyvykkyyttä kyberrikollisuudelta puolustautumiseen, johon on pyritty jo hankkeen aikana vastaamaan JYVSECTECin, työn tilaajan, julkaisemalla konseptitasoisella mallilla. Mallia täydennetään hankkeen aikana teknisellä ympäristöllä, joka sisältää avoimen lähdekoodin työkaluja, joista osaa voidaan käyttää keräämään tietoa organisaatioympäristössä tapahtuvista poikkeamista reaaliaikaisesti verkon yli.
Työn tilaajalla oli tarve selvittää ennen kahden reaaliaikaiseen tutkintaan tarkoitetun työkalun käyttöönottoa, mitkä ovat työkalujen kyvykkyydet, kun työkaluja käytetään edistyneiden ja kohdistettujen kyberhyökkäyksien havaitsemiseen kohdejärjestelmistä, sekä työkalujen resurssivaatimukset, kun tutkimusta suoritetaan organisaatioympäristössä, joka koostuu sadoista tutkittavista päätelaitteista. Tilaajan tarve asetettiin vastaamaan tutkimuksen tavoitetta, joka saavutettiin käyttämällä kahta testitapausta, joiden avulla voitiin muodostaa tutkimustulokset.
Tulokset osoittavat, että työkalujen käyttöönotolle on riittävät perusteet ja että tulokset ovat vertailukelpoisia, vaikka työkalut pitävätkin sisällään päällekkäisiä ominaisuuksia ja vaativat asiantuntijuutta, kun työkalujen avulla tutkitaan organisaatioympäristöjä.