Eettinen hakkerointi systeemiteoreettisessa tarkastelussa
Taskinen, Santeri (2018)
Taskinen, Santeri
2018
Tietojenkäsittelytieteiden tutkinto-ohjelma - Degree Programme in Computer Sciences
Luonnontieteiden tiedekunta - Faculty of Natural Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2018-03-21
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:uta-201803221441
https://urn.fi/URN:NBN:fi:uta-201803221441
Tiivistelmä
Tämä tutkimus vastaa kysymykseen, miten eettisen hakkeroinnin menettelytavoilla voidaan parantaa organisaatioiden kyberturvallisuutta.
Tutkimus on metodologialtaan kvalitatiivinen asiantuntijoiden teemahaastatteluihin perustuva analyysi. Teemahaastattelut toteutettiin talvella 2016 Jyväskylän kyberturvallisuusmessuilla. Haastateltavat olivat eettisen hakkeroinnin ja kyberturvallisuuden asiantuntijoita. Tutkimuksen aineistona on käytetty laajasti kirjallisia lähteitä.
Teoreettinen tausta perustuu vuonna 1968 esiteltyyn yleisen systeemiteorian (GST) malliin, jossa kaikille systeemeille voidaan osoittaa samankaltaisia ominaisuuksia. Tutkimus tarkastelee organisaatioita kybermaailmassa avoimina vuorovaikuttavina systeemeinä. Organisaatiot ovat kokonaisvaltaisia vakaaseen tilaan pyrkiviä monista elementeistä koostuvia vuorovaikuttavia systeemejä, joiden hierarkia muuttuu tulevaisuusriippuvaisesti uusia systeemejä luoden.
Kyberturvallisuus on eri toimijoiden ja toimintojen digitaalisuudesta ja verkottuneisuudesta aiheutuva turvallisuuden tila. Kyberturvavalmius tarkoittaa systeemin kompleksiseen kybertoimintaan valmistautumisen tasoa turvallisuusnäkökulmasta. Eettinen hakkerointi tarkoittaa tässä tutkimuksessa kyberturvavalmiuden selvittämistä – ei automaattisesti parantamista – testaamalla jonkin systeemin, kuten organisaation, kyberturvallisuutta pahaa tahtovien hakkerien käyttämillä menetelmillä luvallisesti ja laillisesti. Tutkimuksessa analysoidaan hakkeroinnin käsite, hakkeroinnin menetelmät ja organisaatioiden toimet kyberturvallisuuden testauksen jälkeen. Tärkeimpänä osa-na tutkimusta on selvitetty eettisen hakkeroinnin mahdollistamat menettelytapojen muutokset.
Hakkerointi voi olla hyvää tai pahaa ja teknistä tai sosiaalista. Eettisen hakkeroinnin vaiheet ovat tiedustelu, skannaus, haltuunotto, hallussapito ja raportointi. Sen vaikutukset kohdeorganisaatiossa perustuvat eettisen hakkeroinnin jälkeen valmistellussa raportissa ilmoitettujen kehitysehdotusten - haavoittuvuuksien ja menettelytapojen - muuttamiseen. Mahdolliset menettelytapojen muutokset ovat esimerkiksi kokonaiskuvan parantuminen, tavoitteellinen kehittäminen, prosessien laadun parantuminen, perusteet riittäville resursseille, kriittisten kohteiden tunnistaminen, mahdollisuuksien ja haavoittuvuuksien kartoittaminen, häiriötiloista toipuminen, yhteistyön kehittäminen, innovatiivisuus ja oppiminen sekä organisaatiokulttuurin ja toimijoiden asenteiden muutos.
Nykyään kyberturvallisuus on läsnä lähes kaikilla organisaatioiden toiminnan alueilla. Tämän takia ehdotetaan kyberturvallisuuden parantamiseksi toimenpideohjelmaa, johon kootaan edellä esitettyjen menettelytapojen avulla selkeät ja laaja-alaiset kyberturvavalmiutta parantavat keinot. Näin toimiva organisaatio olisi aiempaa kyberturvavalmiimpi ja hyödyttäisi itsensä lisäksi ympäröivää kyberriippuvaista yhteiskuntaa.
ABSTRACT
Systems theory approach to ethical hacking
This study answers the question of how ethical hacking practices can improve cyber security of organizations.
The research is based on a qualitative methodology theme interviews analysis of the cybersecurity professionals. The theme interviews were carried out in Winter 2016 at the Jyväskylä Cyber Security Convention. The interviewees were experts in ethical hacking and cyber security. Furthermore, research material has been widely collected from written sources.
The theoretical background is based on the General System Theory (GST) model presented in 1968, according to which all systems can be shown to have similar properties. The study views organizations in cyberspace as open-interactive systems. Organizations are holistic, multi-element interacting systems, which hierarchy is changing depending on the future and creating new systems at the same time.
Cybersecurity is a state of security derived from digital and networked nature of different actors and activities. Cyber readiness means the level of preparation for a complex cyber-based system from a security perspective. Ethical hacking means testing lawfully system cybersecurity - such as organizations - with the same methods used by evil-seeking “black hat” hackers. This study analyzes the concept of hacking, hacking methods, and organizational actions after cyber security testing. The most important part of the study is the means with which ethical hacking can change processes and bad practices in organizations.
Hacking can be good or bad and technical or social. The ethical hacking's five phases are reconnaissance, scanning, gaining access, maintaining access and reporting. Ethical hacking improvements on the target organization are based on the changes written in the development proposal (vulnerabilities and policies) reported in the last stage of ethical hacking. Possible changes in procedures include, for example, an overall image improvement, goal-oriented development, improved process quality, sufficient resources, identifying critical sites, mapping opportunities and vulnerabilities, faster recovering from disturbances, developing co-operation, innovating and learning, and changing organizational culture and attitudes.
Currently cybersecurity issues are present in all areas of virtual activity of organizations. As a result, is proposed a program to improve cybersecurity of organizations, which, by means of the above procedures, combines clear and wide-ranging means and ways to improve overall cyber readiness. The organization, as described above, would have better comprehensive view of cyber-space security and would benefit not only itself, but also surrounding cyber-dependent society.
Tutkimus on metodologialtaan kvalitatiivinen asiantuntijoiden teemahaastatteluihin perustuva analyysi. Teemahaastattelut toteutettiin talvella 2016 Jyväskylän kyberturvallisuusmessuilla. Haastateltavat olivat eettisen hakkeroinnin ja kyberturvallisuuden asiantuntijoita. Tutkimuksen aineistona on käytetty laajasti kirjallisia lähteitä.
Teoreettinen tausta perustuu vuonna 1968 esiteltyyn yleisen systeemiteorian (GST) malliin, jossa kaikille systeemeille voidaan osoittaa samankaltaisia ominaisuuksia. Tutkimus tarkastelee organisaatioita kybermaailmassa avoimina vuorovaikuttavina systeemeinä. Organisaatiot ovat kokonaisvaltaisia vakaaseen tilaan pyrkiviä monista elementeistä koostuvia vuorovaikuttavia systeemejä, joiden hierarkia muuttuu tulevaisuusriippuvaisesti uusia systeemejä luoden.
Kyberturvallisuus on eri toimijoiden ja toimintojen digitaalisuudesta ja verkottuneisuudesta aiheutuva turvallisuuden tila. Kyberturvavalmius tarkoittaa systeemin kompleksiseen kybertoimintaan valmistautumisen tasoa turvallisuusnäkökulmasta. Eettinen hakkerointi tarkoittaa tässä tutkimuksessa kyberturvavalmiuden selvittämistä – ei automaattisesti parantamista – testaamalla jonkin systeemin, kuten organisaation, kyberturvallisuutta pahaa tahtovien hakkerien käyttämillä menetelmillä luvallisesti ja laillisesti. Tutkimuksessa analysoidaan hakkeroinnin käsite, hakkeroinnin menetelmät ja organisaatioiden toimet kyberturvallisuuden testauksen jälkeen. Tärkeimpänä osa-na tutkimusta on selvitetty eettisen hakkeroinnin mahdollistamat menettelytapojen muutokset.
Hakkerointi voi olla hyvää tai pahaa ja teknistä tai sosiaalista. Eettisen hakkeroinnin vaiheet ovat tiedustelu, skannaus, haltuunotto, hallussapito ja raportointi. Sen vaikutukset kohdeorganisaatiossa perustuvat eettisen hakkeroinnin jälkeen valmistellussa raportissa ilmoitettujen kehitysehdotusten - haavoittuvuuksien ja menettelytapojen - muuttamiseen. Mahdolliset menettelytapojen muutokset ovat esimerkiksi kokonaiskuvan parantuminen, tavoitteellinen kehittäminen, prosessien laadun parantuminen, perusteet riittäville resursseille, kriittisten kohteiden tunnistaminen, mahdollisuuksien ja haavoittuvuuksien kartoittaminen, häiriötiloista toipuminen, yhteistyön kehittäminen, innovatiivisuus ja oppiminen sekä organisaatiokulttuurin ja toimijoiden asenteiden muutos.
Nykyään kyberturvallisuus on läsnä lähes kaikilla organisaatioiden toiminnan alueilla. Tämän takia ehdotetaan kyberturvallisuuden parantamiseksi toimenpideohjelmaa, johon kootaan edellä esitettyjen menettelytapojen avulla selkeät ja laaja-alaiset kyberturvavalmiutta parantavat keinot. Näin toimiva organisaatio olisi aiempaa kyberturvavalmiimpi ja hyödyttäisi itsensä lisäksi ympäröivää kyberriippuvaista yhteiskuntaa.
ABSTRACT
Systems theory approach to ethical hacking
This study answers the question of how ethical hacking practices can improve cyber security of organizations.
The research is based on a qualitative methodology theme interviews analysis of the cybersecurity professionals. The theme interviews were carried out in Winter 2016 at the Jyväskylä Cyber Security Convention. The interviewees were experts in ethical hacking and cyber security. Furthermore, research material has been widely collected from written sources.
The theoretical background is based on the General System Theory (GST) model presented in 1968, according to which all systems can be shown to have similar properties. The study views organizations in cyberspace as open-interactive systems. Organizations are holistic, multi-element interacting systems, which hierarchy is changing depending on the future and creating new systems at the same time.
Cybersecurity is a state of security derived from digital and networked nature of different actors and activities. Cyber readiness means the level of preparation for a complex cyber-based system from a security perspective. Ethical hacking means testing lawfully system cybersecurity - such as organizations - with the same methods used by evil-seeking “black hat” hackers. This study analyzes the concept of hacking, hacking methods, and organizational actions after cyber security testing. The most important part of the study is the means with which ethical hacking can change processes and bad practices in organizations.
Hacking can be good or bad and technical or social. The ethical hacking's five phases are reconnaissance, scanning, gaining access, maintaining access and reporting. Ethical hacking improvements on the target organization are based on the changes written in the development proposal (vulnerabilities and policies) reported in the last stage of ethical hacking. Possible changes in procedures include, for example, an overall image improvement, goal-oriented development, improved process quality, sufficient resources, identifying critical sites, mapping opportunities and vulnerabilities, faster recovering from disturbances, developing co-operation, innovating and learning, and changing organizational culture and attitudes.
Currently cybersecurity issues are present in all areas of virtual activity of organizations. As a result, is proposed a program to improve cybersecurity of organizations, which, by means of the above procedures, combines clear and wide-ranging means and ways to improve overall cyber readiness. The organization, as described above, would have better comprehensive view of cyber-space security and would benefit not only itself, but also surrounding cyber-dependent society.