Testauksen toteuttaminen tapahtuu seuraavissa vaiheissa.
Kohdennetun uhkatiedon hankinta
Kohdennetun uhkatiedon koostaminen tapahtuu yhdistelemällä erilaisia julkisia ja tiedustelemalla saatuja tietoja eheäksi toimijaa koskevaksi kokonaisuudeksi. Toimijakohtainen uhkatieto kuvailee testattavan kohteen hyökkäyspinta-alaa ja erityisesti siinä olevia heikkouksia.
Kyberrikollisilla on mahdollisuus tehdä kohteeseen liittyvää hyökkäyspinta-alan tiedonhankintaa ja analyysia pitkällä aikavälillä. Jotta TIBER-FI-testauksessa tähän vaiheeseen ei käytetä tarpeettomasti aikaa, on suositeltavaa, että White Team esittelee tai toimittaa aiempia kyberriskiarvioita uhkatietotoimijalle hyödynnettäväksi heidän analyysissään. Nämä arviot voivat koskea esimerkiksi IT-arkkitehtuuria, käytössä olevia teknologioita tai muita kohteita, joissa on tunnistettu sellaisia heikkouksia, joita kohdennettu hyökkääjä voisi käyttää hyväksi.
Uhkatietotoimija ei saa hyödyntää finanssialan toimijaa koskevia uhkatietoja tai riskitietoja muussa yhteydessä sellaisenaan tai koottuna.
Uhkatietotoimija jalostaa hankkimansa tiedon toimijakohtaisiksi uhkaskenaarioiksi. Nämä skenaariot täsmentävät ja tarvittaessa laajentavat toimialan uhkatietoraportin tietoja. Uhkaskenaariot muodostavat Red Team -testauksen perustan.
Tehtävä | Vastuullinen taho |
Kyberriskiarvioiden esittely uhka-analyysia varten | White Team |
Uhkatiedon hankinta | Uhkatietotoimija |
Uhkaskenaarioiden laadinta | Uhkatietotoimija |
Red Team-testaus
Red Team -testauksen valmistelu alkaa hyökkäysskenaarioiden laadinnalla. Näillä tarkoitetaan käytännön hyökkäystoimenpiteiden valmistelua, kuten työvälineiden ja työtapojen valintaa. Hyökkäysskenaariot perustuvat olennaisesti uhkatietoskenaarioihin. White Team kutsuu valmistelutyöpajan, jossa uhkatietotoimija esittelee Red Teamille uhkaskenaariot ja niiden toteuttamisesta keskustellaan.
Valmisteltujen uhkaskenaarioiden lisäksi Red Teamilla on sovittaessa mahdollisuus esittää ylimääräistä skenaariota, omaan kokemuksensa ja osaamisensa pohjalta.
Red Team suunnittelee ja toteuttaa testit hyökkäysskenaarioiden mukaisesti. Red Teamin on toimittava vastuullisesti ja valvottava jatkuvasti omien toimenpiteittensä vaikutuksia. Red Team -toiminnassa on noudatettava riskienhallintasuunnitelmaan kirjattuja ja muutoin annettuja ohjeita, erityisesti kun toiminnalla voi olla häiriöitä aiheuttavia vaikutuksia tuotantojärjestelmiin tai on mahdollista loukata laissa suojattujen tietojen luottamuksellisuutta.
Red Team -toimija pitää White Teamin ajan tasalla testien etenemisestä vähintään viikoittain. Mahdollisista kriittisistä haavoittuvuuksista tai muista tietoturvaongelmista tulee tiedottaa välittömästi. White Teamin ja Red Teamin välinen sujuva tiedonvaihto on kriittisessä roolissa testauksen onnistumisen kannalta.
Red Team voi tarvittaessa pyytää apua tai ohjeistusta testauksessa etenemiseksi White Teamilta sen varmistamiseksi, että ajallisesti rajatun testin hyödyllisyys saadaan maksimoitua. Annetut neuvot, avustukset ja ohjeistukset dokumentoidaan selvästi raporttiin.
White Team voi keskeyttää testauksen milloin tahansa, jolloin Red Teamin pitää välittömästi lopettaa kaikki toimenpiteet.
Red Team-testaus tehdään salassa testattavien kohteiden tietoturvavastaavilta. Mikäli Red Team-testausta ei ole pakottavista syistä mahdollista jatkaa, voidaan hyödyntää Purple Team-testaustapaa, jossa joitakin osia testauksesta toteutetaan esimerkiksi työpajojen, työpöytäharjoitusten tai katselmointien muodossa tai muutoin yhdessä Blue Teamin kanssa. Näin voi olla esimerkiksi silloin, kun Blue Team havaitsee testaustoiminnan liian aikaisin, tai White Team arvioi joidenkin testaustoimien sisältävät liikaa riskejä organisaation toiminnan jatkuvuuden kannalta.
Purple Team-testauksesta on sovittava etukäteen TIBER-FI-testauspäällikön kanssa ja siinä on noudatettava TIBER-EU Purple Teaming Best Practices -ohjeen periaatteita.
Red Teamin täytyy kirjata kaikki testauksen aikana tehdyt toimenpiteet ja ylläpitää aikajanaa skenaarioiden etenemisestä. Lokia tarvitaan ainakin ympäristön siivoamisessa, raportin kirjoittamisessa, läpikäynnissä Blue Teamin kanssa, uudelleentestauksessa sekä mahdollisten vikatilanteiden selvittämisessä. On myös mahdollista, että toimijan ympäristössä havaitaan ”oikea” poikkeama testien aikana, jolloin on tärkeää erottaa Red Teamin toiminta aidon hyökkääjän toiminnasta.
Red Team -toimija ei saa hyödyntää finanssialan toimijaa koskevia uhkatietoja, riskitietoja tai testien tuloksia muussa yhteydessä sellaisenaan tai koottuna.
Tehtävä | Vastuullinen taho |
Hyökkäysskenaarioiden laadinta | Uhkatietotoimija ja Red Team |
Hyökkäysskenaarioiden toteuttaminen | Red Team |