Tietojenkalastelu - tarvitseeko siihen oikeasti kiinnittää huomiota

    Milla Koivuluoma
    Kirjoittaja: Milla Koivuluoma 8.5.2019

    Aihe: Tietoturva

    Lukuaika n. 4min

    Tietojen kalastelu - joka päivästä ja asiasta varoitellaan joka suunnasta. Tarvitseeko tähän oikeasti kiinnittää huomiota vai onko kyseessä punkkihysteria? Miksi haluamme nostaa tietoisuutta tähän?

    O365 tietomurtojen aktiivisuus on noussut ja onnistuneiden murtojen lukumäärä on noussut. Haluamme varmistaa, että käyttäjät ymmärtävät asian vakavuuden kertomalla siitä, mitä tapahtuu murron jälkeen ja mihin kaikkeen murto käytännössä vaikuttaa.

    Pieneltä tuntuva virhe lähtee hyvin nopeasti laajenemaan ja pahimmillaan aiheuttaa koko yrityksen kattavan kaaostilanteen.

     

    ”Kiireinen työpäivä, sähköposti täynnä uusia viestejä ja joukossa viattoman näköinen viesti kolleegalta.”

     

    Tyypillinen hyökkäys voisi alkaa esimerkiksi seuraavasti: Kiireinen työpäivä, sähköposti täynnä uusia viestejä ja joukossa viattoman näköinen viesti kolleegalta/tuttavalta/alihankkijalta, jossa kerrotaan että henkilölle on jaettu O365 palvelusta dokumentti.

    Viestiin vastaanottaja on avannut sähköpostin ja syöttänyt salasanat täysin aidolta näyttävän sivuston kautta. Samalla hetkellä kun henkilö syötti salasanansa linkin kautta avautuneelle sivulle, O365 tunnusten käyttö sallittiin hyökkääjälle, jonka jälkeen hyökkääjä loi itselleen offline kopion kaikesta käyttäjän datasta

    Mitä käytännössä tapahtui:

    • Hyökkääjä asetti sähköpostin sisältöön uudelleen ohjauksen omaan haluamaansa sähköpostiosoitteeseen tai synkronoi koko sisällön itselleen.
    • Hyökkääjä sai kopion henkilön osoitekirjan tiedoista ja sai pääsyn koko yrityksen osoitekirjaan.
    • Hyökkääjä lähettää kalasteluviestin henkilön nimissä kaikille osoitekirjan henkilöille laajentaen vuotoa.
    • Hyökkääjä voi asentaa henkilön koneelle potentiaalisia haittaohjelmia/seurantaohjelmia.
    • Hyökkääjä sai pääsyn käyttäjän OneDrive levylle sekä organisaation Sharepointtiin käyttäjän tunnustason mukaisesti.

    Toteutuneen riskin suuruus riippuu murron kohteeksi joutuneen henkilön asemasta yrityksestä ja yrityksen toimialasta. Useimmissa tapauksissa sähköpostit sisältävät hyvinkin luottamuksellisia asioita, liitteitä ja keskusteluja.

    OneDrive puolestaan on käytännössä tullut korvaamaan verkkolevyjä, jolloin jälleen riippuen henkilöstä OneDrive voi sisältää pahimmassa tapauksessa salaiseksi luokiteltuja dokumentteja tai koko yrityksen liiketoiminnan kannalta kriittistä IPR materiaalia sekä mahdollisesti henkilötietoja.

    Tällöin myös tietosuojaa on loukattu. Huomioitavaa on, että hyökkääjä ei tee välttämättä siirtoaan heti oikedet saatuaan, vaan jää seuraamaan tilannetta ja pahimmillaa pääsee ujuttautumaan esimerkiksi laskutusprosessiin.

    Mitä tapahtuu seuraavaksi:

    1. Henkilö huomaa tilanteen joko itse tai saa ilmoituksen asiasta teknisestä valvonnasta tai mahdolliselta viestin vastaanottajalta. Aikaa varsinaisen murron toteutumisesta on voinut kulua jo hyvinkin pitkä aika.

    2. Tilanne eskaloituu ja on epäilys, että yrityksessä on useita henkilöitä murron kohteena.

    3. Tietohallinto ottaa tilanteen haltuun ja lähtee rajoittamaan välittömästi murron vaikutuksia
      1. Yrityksen henkilökuntaa ja mahdollisia muita hyökkäyksen kohteena olevia henkilöitä tiedotetaan tarvittaessa tilanteesta. Tätä ennen on syytä keskustella yrityksen johdon kanssa tiedotuslinjasta.
      2. Tietohallinto pakottaa salasanan vaihdon ja samalla sammuttaa kaikki auki olevat istunnot pakottaen työntekijän kirjautumaan uudelleen vaihdetulla salasanalla - joko murron kohteena olevilta tai kaikilta yrityksen työntekijöiltä.

    4. Suoritetaan tarkemmat tutkimukset, siitä mitkä ovat murron vaikutukset ja mitä kaikkea on tapahtunut
      1. Tutkintaa rajoittaa lisenssien asettamat rajoitteet mm. audit trail logien säilytysaika. Perus O365-lisenssillä login maksimi säilytysaika on 90 vuorokautta.
      2. Alkuperäiset audit trail Logit otetaan talteen ja suojataan
      3. Tarkistetaan dokumenttijaot murron kohteena olleiden henkiöiden osalta. Onko dokumentteja luettu, jaettu, muutettu, lisätty tai tuhottu luvattomasti

    5. Kommunikointi viranomaisille vastuuhenkilöiden toimesta – alustava ilmoitus mahdollisimman pian, kun tapahtumat ja sen vaikutukset alkavat olla selvillä
      1. Kyberturvallisuuskeskukselle
      2. Rikospoliisille
      3. Tietosuojaviranomaiselle 72h kuluessa havainnosta

    6. Asian läpikäynti yrityksen vastuuhenkilöiden kanssa.

    7. Yrityksen kriittisten liiketoimintaprosessien tarkempi seuraaminen pidemmän aikaa ja mahdollisten uusien kontrollien käyttöönotto.

    Kuinka ylläolevan kaltainen tilanne olisi voitu estää tai huomata ajoissa?

    • Ihminen - Mikään tekninen ratkaisu ei koskaan korvaa valveutunutta käyttäjää. Tästä syystä henkilöstön kouluttaminen on avainasemassa kalasteluita vastaan taistelussa.
    • Modern authentication ratkaisu, MFA - monimenetelmäinen tunnistautuminen. Tällä ei sinällään estetä tunnusten kalastelua mutta hyökkääjän käyttäessä kaapattuja tunnuksia käyttäjä saa lisävarmistuspyynnön, jota ilman hyökkääjän kirjautuminen ei onnistu.
    • Kehittyneillä roskapostisuodattimilla voidaan estää haitallisten sähköpostiviestin perilla pääsy.
    • Esimerkiksi F-Securen RDR - Rapid Detection and Response. RDR on suunniteltu tunnistamaan nykyaikaisimmat hyökkäysmetodit, taktiikat, tekniikat ja proseduurit. Parhaassa tapauksessa hyökkäys tunnistetaan jo ennen tietovuodon tapahtumista.
    • Virustorjunta. Perusvaatimuksiin kuuluu edelleen virustorjunnasta huolehtiminen ja sen ajantasaisuudesta kiinni pitäminen
    • Palomuuri ja proxypalvelut. Toinen perusvaatimus on edelleen toimiva ja ylläpidetty palomuuri, jolla voidaan tunnistaa ja rajoittaa liikennöintiä sallittuihin osoitteisiin.

     

    Tutustu tietoturvapakettiin Microsoft-sovelluksia käyttäville yrityksille banner

    Huomioi, että Microsoftinkin lisensseistä löytyy eri tasoja, jotka tarjoavat lähtökohdiltaan erilaisia tietoturvaominaisuuksia. Microsoftin perus O365 lisensseihin kuuluu MFA ominaisuus perusmuodossaan. Kehittyneemmät varmistusmenetelmät vaativat puolestaan kovempia Enterprise sarjan tai uusia M365 sarjan lisenssejä.

    Tietoturvan kannallta onkin suositeltaa aina arvioida tarpeet ja sen jälkeen valita sopivin lisenssi ja tai suojausmetodit. Esimerkiksi M365 Business lisenssiin kuuluu seuraavia datan sisällön suojaamiseen liittyviä ominaisuuksia.

    M365 ominaisuuksien tärkeitä osa-alueita

    Kyberuhkia vastaan:

    • Azure ATP - Azure Advanced Threat Protection
      • Pilvipohjainen Liitteiden ja linkkien skannaus epäilyttävien haitakkeiden varalta.
    • Windows Exploit Guard Enforcement
      • Laitteiden suojaus ransomware ja muiden haitallisten sivustojan varalta.

    Arkaluonteisen tiedon suojaaminen:

    • DLP - Data Loss Prevention
      • Dokumenttien sisältöpohjainen analyysi ennalta määriteltyjen kriteerien mukaan. Tavoitteena estää arkaluonteiseksi määritellyn datan luvaton vuotaminen ulos.
    • AIP - Azure Information Protection
      • Pilvipohjainen hallinta ja kontrolli arkaluonteisen tiedon pääsynhallintaan.
    • Intune laitehallinta
      • Pilvipohjainen laitehallinta, jossa pystytään määrittämään millä laitteella on mahdollista päästä tietoihin käsiksi.
    • Exchange online Archiving
      • Pilvipohjainen sähköpostin 100G arkistokanta.
    • Bitlocker salauksen käyttöönotto
      • Laitetason salauksen käyttöönotto tiedon suojaamiseksi.
    Nykyaikainen hyvin hoidettu ja hallittu tietoturva vaatii toimiakseen monitasoista suojaamista, pelkkä palomuuri ja virustorjunta ei enää nykymaailmassa riitä. Oikein käyttöönotettuna yllä olevat ominaisuudet nostavat tiedon turvaamisen tasoa organisaatiossa.

     

    Blogin olen kirjoittanut yhteistyössä MPY:n tietoturvatiimin kanssa.

     

    Milla Koivuluoma
    Tietohallintopäällikkö
    MPY Palvelut 

    Milla Koivuluoma toimii MPY:llä tietohallintopäällikkönä keskisuurille yrityksille. Hän on tiedonhallinnan asiantuntija, jonka erikoisosaamista on holistinen tietohallinnon kehittäminen ja sen johtaminen.

     

    Jos pidit blogistani, tilaa tulevat blogit ja uutiskirje sähköpostiisi.

    Tilaa blogi ja uutiskirje!

     

    Jaa kirjoitus eteenpäin: