Sotilaallisten kyberturvapoikkeamien hallinta toimii olosuhteissa, joilla ei ole vastinetta kaupallisessa IR:ssä. Luokittelun käsittelyvaatimukset tarkoittavat, että jokainen tutkimuksen aikana luotu artefakti — muistivedokset, lokiviennit, verkkoliikenteen tallennukset, analyytikoiden muistiinpanot — on käsiteltävä luokiteltuna materiaalina, jos se on peräisin luokitellusta verkosta. Operatiivisen jatkuvuuden vaatimukset tarkoittavat, että tavanomainen kaupallinen IR-toimenpide "eristä välittömästi" ei useinkaan ole saatavilla: kompromittoitunut järjestelmä, joka aktiivisesti tukee operaatiota, ei voi yksinkertaisesti sammua. Ja komentokettjun raportointivaatimukset tarkoittavat, että poikkeama on eskaloitava määriteltyjen sotilaallisten kanavien kautta määritellyissä aikarajoissa.

Tämä artikkeli tarjoaa kattavan IR-pelikirjan sotilaille ja puolustusympäristöille — hälytyksen triaaista ja alkueristyksestä rikosteknisen keräyksen, uhkaattribuution, toipumisen ja pakollisen raportoinnin kautta.

Sotilaallisen IR:n rajoitteet: luokittelu, jatkuvuus ja komentokettju

Luokittelun käsittely tarkoittaa, että luokitellun verkon rikosteknilliset artefaktit ovat luokiteltu lähdejärjestelmän tasolla. Muistivedos SECRET-työasemalta on SECRET-artefakti. Se on säilytettävä SECRET-akkreditoiduilla medioilla, analysoitava SECRET-akkreditoidulla työasemalla, siirrettävä vain hyväksyttyjen SECRET-kanavien kautta ja hävitettävä luokittelun tuhoamisvaatimusten mukaisesti.

Operatiivinen jatkuvuus tarkoittaa, että IR-tiimi ei voi yksipuolisesti päättää ottaa järjestelmiä offline-tilaan. Komentoviranomaisen on oltava osa eristyspäätöstä. IR-tiimin rooli on esittää tekniset vaihtoehdot rehellisin riskiarvioimin ja tukea komentoviran tekemää päätöstä.

Havaitseminen: SIEM-hälytysten triage sotilasverkoille

Tehokas havaitseminen sotilasverkkoympäristöissä riippuu viritetyistä SIEM-korrelaatiosäännöistä, jotka ottavat huomioon sotilasjärjestelmien erityiset liikennemallit — ja jotka kohtelevat OT/ICS-protokolla-anomalioita ensisijaisia indikaattoreina IT-tunkeutumissignaalien rinnalla.

Korkean luotettavuuden tunkeutumismerkkejä sotilasverkkoihin kuuluvat: sivuttaisliikenteen allekirjoitukset (Pass-the-Hash, Kerberoasting tuottaen epätavallisen suuren määrän Event ID 4769 -tapahtumia salaustyypillä 0x17), majakkakuviot välityspalvelimien ja DNS-lokeissa sekä oikeuksien korotus palvelun luomisen kautta (Event ID 7045).

Alkuvastaus: eristys häiritsemättä operaatiokriittisiä järjestelmiä

Eristysvaihtoehdot operaatiokriittisille järjestelmille, joita ei voi ottaa offline-tilaan, sisältävät: VLAN-uudelleenliitoksen, palomuurin ACL-muutokset ja liikenteen muotoilun. OT/ICS-järjestelmille yksisuuntaiset turvaportit (datadiodit) voivat pakottaa yhdensuuntaisia tietovirtoja.

Uhkaattribuutio: APT-TTPs ja MITRE ATT&CK ICS:lle

Kolme sotilasverkkopuolustajille relevanteinta APT-ryhmää ovat APT28 (Fancy Bear, Venäjän GRU), APT29 (Cozy Bear, Venäjän SVR) ja APT41. APT28 tunnistetaan keihäskalastelusta tunnistetietojen keräysdokumenteilla ja living-off-the-land-suorituksesta PowerShellin ja WMI:n kautta. APT29 on tunnettu toimitusketjun kompromissoinnista (SolarWinds-tyylinen), hiljaisesta pysyvyydestä oikeiden pilvipalveluiden kautta ja varovaisesta LDAP-tiedustelusta. APT41 yhdistää valtion vakoilun taloudellisesti motivoituihin tunkeutumisiin ja tunnetaan laiteohjelmiston pysyvyydestä verkkolaitteissa.

MITRE ATT&CK ICS:lle kattaa OT-ympäristöille ominaiset tekniikat: Inhibit Response Function (T0838), Manipulate Control (T0831), Damage to Property (T0879) ja Loss of Safety (T0880) — vaikutuksia, joilla ei ole vastinetta IT-poikkeamien hallinnassa.

Eristysstrategiat: segmentointi, tunnistetietojen kierrätys, laiteohjelmiston uudelleenasennus

Hätätunnistetietojen kierrätys vaaditaan, kun todisteet osoittavat tunnistetietojen varastamisen. Järjestys: krbtgt-tilin salasanan nollaus kahdesti (viiveellä nollauksien välillä), kaikkien palvelutilien ja etuoikeutettujen tilien salasanojen kierrätys, kaikkien aktiivisten istuntojen mitätöinti ja kaikkien käyttäjien uudelleentodennuksen pakottaminen.

Toipuminen ja kovennos: puhdas uudelleenkuvaus ja STIG-uudelleenvalidointi

Vahvistetusta perusohjecmasta uudelleenkuvauksen jälkeen STIG-vaatimustenmukaisuus validoidaan uudelleen DISA:n SCAP Compliance Checker (SCC):llä tai vastaavalla hyväksytyllä työkalulla. Kaikki havainnot on korjattava ja dokumentoitava ennen kuin järjestelmä palautetaan tuotantoon. Post-poikkeama STIG-uudelleenvalidointi käynnistää tyypillisesti myös uuden ATO-tarkastelun.

Raportointi: CISA, NATO NCIRC ja julkinen ilmoittaminen

Yhdysvaltain DoD:n alihankkijat ovat velvollisia ilmoittamaan kyberpoikkeamista DC3:lle 72 tunnin kuluessa havaitsemisesta DFARS 252.204-7012:n nojalla. Yhdysvaltain liittovaltion virastot raportoivat CISA:lle FISMA:n ja CIRCIA:n nojalla. NATO:n jäsenten poikkeamat, jotka vaikuttavat NATO:n CIS:iin, raportoidaan NCIRC:lle NATO:n CIS-poikkeamien hallintapolitiikan nojalla.

Keskeinen havainto: Yleisin puute sotilaallisten kyberturvapoikkeamien hallinnassa ei ole työkalujen saatavuus — vaan harjoiteltu prosessi. Kompromissi eristyksen ja jatkuvuuden välillä, komentokettjun raportointirytmi ja luokiteltujen rikosteknisten käsittelymenettelyjen toteuttaminen poikkeaman vauhdissa edellyttää etukäteen sovittuja sopimuksia ja harjoiteltuja työnkulkuja. Dokumentoitu ja harjoiteltu IR-pelikirja — testattuna realistisissa skenaarioissa vähintään vuosittain — on korkein ROI-investointi kyberturvapoikkeamien hallintakyvyssä.