Kyberhyökkäykset siirtyvät pilveen - Näin suojaudut ja raportoit Kyberturvallisuuskeskukselle
Tietoturva Nyt!
Pilvisiirtymän myötä myös kyberhyökkäykset siirtyvät pilveen. Niin kyberrikolliset kuin valtiolliset toimijat kohdistavat operaatioitaan entistä enemmän organisaatioiden pilviympäristöihin. Esittelemme tyypillisimmät murtautumiskeinot pilvipalveluihin ja neuvomme miten niiltä voi suojautua. Kyberturvallisuuskeskukselle voi ilmoittaa myös pilviympäristöihin kohdistuneista tietomurroista.
Kyberrikolliset ja valtiolliset toimijat hyökkäävät entistä useammin suoraan organisaatioiden pilviympäristöihin kohteiden omien palvelinten sijaan. Haavoittuvuuksien hyödyntämisen sijaan hyökkäykset keskittyvät toimivien käyttäjätunnusten ja salasanojen murtamiseen tai pääsytunnisteiden (authentication token) varastamiseen ja niiden hyödyntämiseen.
Hyökkääjät voivat käyttää useita eri keinoja pääsyn saamiseksi pilviympäristöön. Käymme läpi tyypilliset hyökkäystavat, jotta ne voidaan tunnistaa. Lisäksi esittelemme suojautumiskeinoja. Ilmoita meille, jos havaitset pilviympäristöösi kohdistuneita kyberhyökkäyksiä.
Tyypilliset hyökkäysmenetelmät
Palvelutilit ja epäaktiiviset käyttäjätilit
Yksi hyökkääjän kohde voi olla palvelutilit (service account), joiden suojaus on heikompi kuin tavallisella käyttäjällä. Palvelutilille ei välttämättä ole helppoa ottaa monivaiheista tunnistautumista käyttöön ja salasana voi olla yksinkertainen jos tili on jaettu usean tahon tai järjestelmän kesken. Palvelutileillä voi olla myös tavallista käyttäjää suuremmat käyttövaltuudet järjestelmään, joka tekee siitä hyökkääjälle erityisen kiinnostavan kohteen.
Kohteena voi olla myös epäaktiivisten tai organisaatiosta jo poistuneiden käyttäjien tilit. Eräässä tapauksessa (Ulkoinen linkki) organisaatio havaitsi hyökkäyksen ja vaihtoi suojaustoimenpiteenä käyttäjien salasanat, oli hyökkääjä kirjautunut tällaiselle tilille ja nollannut salasanan organisaation ohjeiden mukaan ja täten säilyttänyt pääsyn organisaation sähköpostiin.
Pääsytunnisteiden varastaminen
Salasanojen lisäksi hyökkääjä voi hyödyntää varastamaansa pilvipalvelun pääsytunnistetta suoraan saadakseen pääsyn tilille. Pääsytunnisteita voidaan varastaa esimerkiksi väliintulohyökkäyksen (adversary-in-the-middle , AitM) avulla. Tällöin hyökkääjän ei tarvitse murtaa tiliin liitettyä salasanaa. Suojaustoimenpiteenä organisaatio voi itse vaikuttaa pääsytunnisteiden voimassaoloaikaan.
Väsytyshyökkäys
Monivaiheinen tunnistus antaa toimiessaan hyvän suojaan tilin kaappauksia vastaan. Joissakin tapauksissa hyökkääjä on onnistunut ohittamaan monivaiheisen tunnistautumisen väsytyshyökkäyksellä (brute-force attack), jossa uhritilille on lähetetty kymmeniä monivaiheisen tunnistautumisen hyväksymispyyntöjä, kunnes uhri on hyväksynyt kirjautumisen. Tämän jälkeen hyökkääjä on lisännyt uuden laitteen tilille ja saanut pysyvän pääsyn tilille.
Suojauskeinot
- Ota monivaiheinen tunnistautuminen käyttöön kaikilla tileillä, joissa se on mahdollista.
- Käytä pitkiä ja uniikkeja salasanoja palvelutileillä ja rajaa palvelutilien oikeudet tarkoituksenmukaiselle tasolle.
- Luo valmis prosessi epäaktiivisten tilien ja organisaatiosta poistuneiden tilien sulkemiselle. Tarkasta tilit säännöllisesti.
- Rajoita pilvipalveluiden pääsytunnisteiden voimassaoloa palvelun käyttökokemus huomioiden.
- Varmista uusien laitteiden käyttöönoton prosessi esimerkiksi zero-touch käyttöönoton avulla.
- Ota käyttöön ehdollisia sääntöjä palvelutilien käyttöön julkisesta verkosta (Conditional access policy).
- Rajoita tilin kirjautumisyrityksiä, jos monivaiheisen tunnistautumisen kyselyyn ei vastata tietyn ajan jälkeen.
- Järjestä koulutusta käyttäjille monivaiheisen tunnistautumisen käytöstä. IT-tuelle kannattaa ilmoittaa, jos monivaiheisen tunnistautumisen ilmoituksia tulee ilman käyttäjän omia kirjautumisyrityksiä.