Termi CaaS tulee sanoista Crime-as-a-Service ja sillä tarkoitetaan netistä palveluna ostettavaa kyberrikollisuutta, kuten esimerkiksi kohdistettua hakkerointia tai DDoS-hyökkäystä.

CaaS-palvelut ovat viime vuosien aikana yleistyneet merkittävästi. Lisäksi ne ovat muuttuneet entistä ammattimaisemmiksi ja helppokäyttöisemmiksi. Palveluita siis voi jo hyvinkin verrata nykyään yleisiin netistä ostettaviin SaaS-palveluihin.

Palveluita myydään markkinapaikoilla, jotka pyörivät Darknetissä. Darknet on internetin päällä toimiva suojattu ja anonyymi verkko, johon päästään esimerkiksi Tor-protokollaa hyödyntämällä. Darknetistä löytyy erilaisia Amazon/eBay:n kaltaisia markkinapaikkoja, josta CaaS-palveluita voidaan ostaa. Ostaminen tapahtuu yleensä jollain suositulla kryptovaluutalla, kuten esimerkiksi Bitcoinilla. Bitcoinia suositaan, sillä siinä tapahtuvien transaktioiden jäljittäminen on huomattavasti hankalampaa kuin kaupanteko perinteisillä valuutoilla.

Mikä tyyppisiä työkaluja…


Tämä bloggaus on kakkososa artikkelisarjaa, jossa käsittelemme ajankohtaisia kyberturvallisuuden trendejä. Edellisen osan pääset lukemaan tästä linkistä:

Tässä osassa esittelyssä teollisuusautomaatiojärjestelmien kyberturvallisuus, pilvipalveluiden suojaus sekä älypuhelimet hyökkäyksen kohteena.

5. Teollisuusautomaatiojärjestelmien kyberturvallisuus


Tämä bloggaus on ensimmäinen osa artikkelisarjaa, jossa käsittelemme ajankohtaisia kyberturvallisuuden trendejä. Tässä osassa esittelyssä mm. IoT:n merkitys kyberturvallisuudelle ja verkkorikollisuuden tuotteistuminen.

1. IoT:n vallankumous on täällä

IoT:n, eli laitteiden internetin, kasvu on yksi merkittävä kyberturvallisuuden trendi. On arvioitu, että vuoteen 2020 mennessä internetiin olisi liitettynä yli 55 miljardia laitetta. Vuosi sitten IoT-laitteisiin oletussalasanoja käyttämällä murtautunut Mirai oli pysäyttää internetin. Haittaohjelma levisi salamannopeasti ympäri maailman ja Suomessa se ehti saastuttaa reilusti yli 10 000 laitetta. Haittaohjelma sai Viestintäviraston julkaisemaan historiansa ensimmäisen punaisen varoituksen.

Tulevaisuudessa liitettyjen laitteiden määrän ja niiden sisältämän älykkyyden lisääntyessä entisestään, myös riskit lisääntyvät ja uhkakuvat laajenevat. …


Petya oletettavasti lähti leviämään murretun ukrainalaisen ohjelmistoyhtiön kautta. Kesäkuun 22. päivä julkaistiin päivitys, johon ulkopuoliset hyökkääjät olivat ujuttaneet haittaohjelman. Ukraina olikin yksi pahiten saastuneista maista leviämisen alkuvaiheessa.

Alun jälkeen Petya käytti organisaatioiden väliseen leviämiseen WannaCrysta tunnetuksi tullutta SMBv1:n EternalBlue-haavoittuvuutta. Organisaation sisällä lateraaliseen liikkumiseen Petya hyödyntää organisaatioiden huonoa ylläpitotunnushygieniaa. Petya kalastelee työaseman muistista ylläpitotunnusten salasanoja ja pyrkii leviämään Windowsin ylläpitokanavien, wmic:n ja psexec:n, kautta muihin laitteisiin, aivan kuten ihmishyökkääjätkin. Windows 10:n Credential Guard oletettavasti havaitsee salasanojen luvun muistista.

Haittaohjelmien levittäminen ohjelmistopäivitysten kautta

Alihankkijoita käytetään laajasti astinlautana, joiden kautta levittäydytään itse kohteorganisaatioon. Petya kuitenkin vei tämän hieman pidemmälle levittämällä haittaohjelman alihankkijan ohjelmistopäivityksen mukana. Petya lienee…


Internetiin kytketyt teollisuuden automaatiojärjestelmät ovat loistavia maaleja. Usein niissä ei ole käyttäjän tunnistusta eikä viestien salausta eli kuka tahansa verkossa oleva voi käskyttää laitteita. Jatkuvasti käynnissä olevia järjestelmiä ei ole myöskään ehditty päivittää sitten 80-luvun.

Kuin ottaisi lapselta tikkarin, jossa on sokeripallon tilalla tuotantolinjan ohjausjärjestelmä.


Hunajapurkki (eng. honeypot) on hyökkääjiä houkutteleva kohde, jonka tarkoituksena on kerätä tietoja hyökkääjien tekniikoista.

Vanha tarina kertoo, että verkkoon kytketty suojaamaton Windows XP -kone saastuu minuuteissa. Nykyään sama aika menee huonolla salasanalla varustetulta Linux-palvelimella. F-Securen State of Cyber Security 2017 –julkaisun mukaan useimmin hyökkäykset kohdistuvat http-, smtp- ja https-palveluihin (portit 80, 25 ja 443).

Tässä artikkelissa käytettiin Cowrie-nimistä hunajapurkkia, joka simuloi Debian-käyttöjärjestelmää päästäen kaikki ssh:n (portti 22) kautta root-käyttäjänä tunnistautuvat käyttäjät sisään millä tahansa salasanalla. Kyseinen hunajapurkki voisi näin ollen olla mikä tahansa oletussanasanalla tai muuten huonolla salasanalla varustettu IOT-laite tai vähäarvoinen Linux-palvelin.

Useimmiten käytetyt salasanat olivat suoraan salasanalistoista, mutta…


Jälleen uuden ransomwareaallon jälkeen on hyvä virittää omat järjestelmät hieman tiiviimmiksi seuraavaa aaltoa odotellessa. Alla kuusi halpaa tapaa, joilla ehkäistä ransomwaren tartunta ja rajata sen leviämistä omassa verkossa.

Vain listattujen ohjelmien salliminen

Uusia haittaohjelmia syntyy lähteestä riippuen noin 390 000 päivittäin. Musta lista (eng. blacklist) ei pysy millään ajantasalla uusien haittaohjelmien kanssa. Tehokas keino paitsi ohjelmien myös haitallisten scriptien estämiseen on sallia vain erikseen listattu ohjelmakoodi. Jos pelkää henkilöstön tyytyväisyyden kannalta voidaan sallittujen listalle lisätä myös muita kuin suoraan töihin liittyviä luotettavia palveluita, esim. Spotify, tai ohjeistaa käyttäjät kuuntelemaan musiikkilistojaan kännykällään. Ohjelmistokehittäjille ja muille koneen admin-tunnuksia tarvitsevalla valkoinen lista on toki usein käytännössä mahdoton…


Kerroimme edellisissä blogikirjoituksissa siitä mikä on SOC (Security Operations Center) ja miksi sellainen tarvitaan. Mikäli et ole vielä lukenut näitä kirjoituksia, löydät ne alla olevista linkeistä:

Tässä kirjoituksessa pureudumme siihen, millainen on oikeasti hyvä Security Operations Center. Monissa yrityksissä ja organisaatioissa on nimellisesti “SOC”, mutta oikeasti toimintoa ei ole toteutettu tarvittavan hyvin. Todellisuudessa esimerkiksi SOCin operatiivisilla henkilöillä ei ole tarvittavaa koulutusta tai SOC-toiminnosta puuttuu keskitetty tilannekuva valvottavan ympäristön kyberturvallisuuden tilasta.

Kunnollisen SOCin tunnistaa kolmesta hyvin hoidetusta osa-alueesta: ammattitaitoinen henkilökunta, kehittyneet ja ajantasaiset teknologiset apuvälineet sekä toimivat ja hiotut prosessit.

1. Ammattitaitoinen henkilökunta

SOCissa työskenteleviltä analyytikoilta täytyy löytyä tarvittava koulutus, kokemus ja valmiudet edistyneiden…


Keneltäkään on tuskin jäänyt huomaamatta, että EU:n uusi tietosuoja-asetus tulee voimaan ensi vuonna. Tähän on aikaa vielä noin 400 päivää ja huolestuttavaa on, että monissa yrityksissä ja organisaatioissa tietämys aiheesta on huonoa. Lisäksi varautumistoimenpiteet ovat jäänet monilta tekemättä.

GDPR tulee voimaan 25. toukokuuta 2018 ja se koskee kaikkia yrityksiä, jotka toimivat EU:ssa tai käsittelevät EU-kansalaisten henkilötietoja. Useat kyselyt paljastavat, että yrityksillä ja organisaatioilla on hyvin vähän tietoa tästä uudesta säädöksestä. Dimension Researchin tutkimuksen mukaan lähes kaikki haastatellut yritykset (97%) myönsivät, että niillä ei ole valmista toimintasuunnitelmaa GDPR-vaatimusten täyttämiseen.

GDPR tuo henkilötietojen käsittelyyn paljon uusia vaatimuksia, jotka tulee ottaa huomion yrityksen…


Network Opearations Centerin (NOC) vastuulla on organisaation verkkoinfrastruktuurin ja palveluiden operatiivinen monitorointi. NOCin keskeisinä funktioina on mm. tunnistaa, tutkia, priorisoida ja selvittää poikkeamat, jotka voivat vaikuttaa verkon suorituskykyyn tai saatavuuteen.

Security Operations Centerillä (SOC) on paljon samankaltaisuuksia NOCin kanssa. Myös se valvoo verkkoa sekä tutkii, priorisoi ja selvittää erilaisia tietoturvapoikkeamia. Tietotuvapoikkeamat vaikuttavat organisaation kyberturvallisuuteen ja sen tärkeimmän pääoman, eli tiedon turvaan.

Saattaa vaikuttaa siltä, että nämä toiminnot olisi hyvä yhdistää yhteiseksi “SOC/NOC -valvomoksi”. Toimintojen yhdistäminen ei kuitenkaan ole välttämättä hyvä idea.

SOCilla ja NOCilla on eri käyttötarkoitus

Organisaatioissa on usein ristiriitoja verkon operatiivisen tiimin ja tietoturvaa valvovan tiimin kanssa. Tietoturvatiimi voi esimerkiksi haluta eristää saastuneen serverin…

Combitech Finland

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store