| Summary: | Alati muuttuvassa kyberuhkien ympäristössä ennalta varautuminen erilaisiin
kyberhyökkäyksiin on yhä tärkeämpää. Jotta hyökkäyksiin voitaisiin ennalta varautua, tarvitaan tietoa. Uhkatieto ja sen jakaminen sidosryhmien kesken voi olla
osa ratkaisua ennalta varautumisessa. Kun sidosryhmän jäsenet saavat ajoissa
tiedon käynnistymässä olevasta kyberhyökkäyksestä, he voivat ottaa tarvittavat
varautumiskeinot käyttöön jo ennen hyökkäyksen alkua. Tämä pro gradu -tutkielma tarkasteli uhkatietojen mahdollisuuksia korkeakoulujen tietoturvan kehittämisessä. Uhkatietojen jakamiseen käytettiin MISP-alustaa, joka on avoimen
lähdekoodin sovellus uhkatietojen keräämiseen ja jakamiseen. Tutkielman tutkimusmenetelmiksi valittiin kirjallisuuskatsaus sekä konstruktiivinen tutkimusmenetelmä, joka etsii ratkaisua reaalimaailman ongelmiin. Tutkielman lähteiksi
valittiin luotettavia, relevantteja, hyvän tason lähteitä. Lopputuloksena havaittiin,
että MISP on varteenotettava työkalu uhkatietojen jakamisessa. Integraatioiden
muodostaminen toisiin järjestelmiin, tapahtumien jakaminen toisen organisaation kanssa ja uhkatietojen organisointi oli parhaimmillaan yksinkertaista ja suoraviivaista. Toisaalta havaittiin, että MISP on lopulta vain työkalu, varasto, johon
uhkatietoa viedään, eikä se yksin ole vastaus tehokkaaseen tietojen jakamiseen ja
hyödyntämiseen, vaan lisäksi tarvitaan selkeitä prosesseja, sääntöjä ja standardeja, selkeää lainsäädäntöä sekä motivoituneita ihmisiä työskentelemään uhkatiedon keräämisen, käsittelemisen ja jalostamisen parissa. Lisäksi MISP:n ylläpitäminen ja ongelmien selvittely olivat pahimmillaan reilusti aikaa vieviä prosesseja. MISP-alustassa on potentiaalia, mutta se tarvitsee käyttäjiä, jotka ymmärtävät sen toimintaa ja jotka ovat sitoutuneet yhteisiin pelisääntöihin uhkatietojen
jakamisessa.
In the ever-changing environment of cyber threats, it is increasingly important to
be prepared in advance for various cyber-attacks. In order to prepare for attacks
in advance, information is needed. Threat intel and its sharing among stakeholders can be part of the solution in preparing for the cyber threats in advance. When
the stakeholders receive timely information about a cyber-attack that is about to
start, they can take the necessary precautions before the attack begins. This master's thesis examined the possibilities of threat information in the development of
information security in higher education institutions. The MISP platform was
used to share threat information, which is an open-source application for collecting and sharing threat intel. The research methods chosen for the dissertation
were a literature review and a constructive research method that seeks solutions
to real-world problems. Reliable, relevant, high-quality sources were chosen as
sources for the thesis. As a result, it was found that MISP is a viable tool for sharing threat information. Creating integrations with other systems, sharing events
with another organization, and organizing threat information was simple and
straightforward at best. On the other hand, it was found that in the end MISP is
only a tool, a storage, to which threat information is saved, and it alone is not the
answer to efficient threat intel sharing and utilization, but it also requires clear
processes, rules and standards, clear legislation, and motivated people to collect,
handle, and process the threat information. In addition, maintaining MISP and
solving errors were quite time-consuming processes at worst. The MISP platform
has potential, but it needs users who understand how it works and who are committed to follow agreed rules in sharing threat information.
|
|---|