Suojattomien etätyöpöytä- ja verkkoyhteyspalveluiden määrä kasvoi maaliskuussa selvästi

Tietoturva Nyt!

Laitteiden internetiin avoimet etäyhteyspalvelut altistavat organisaatiot tietomurroille. Ylläpitäjien on viimeistään nyt hyvä varmistaa etätyöntekijöiden laitteiden suojaukset ja palomuuriasetusten tarkoituksenmukaisuus.

Laaja siirtymä etätyöhön näkyi maaliskuussa suojattomien laitteiden määrän selvänä kasvuna Suomen verkoissa. Verkkoon avoimilla laitteilla ja laitteiden suojattomilla etäyhteyspalveluilla tarkoitetaan tässä yhteydessä esimerkiksi avoimia etätyöpöytäyhteyksiä ja tiedostonjakopalveluja (esim. RDP, VNC ja SMB). Suomessa sellaisten laitteiden, joissa tämänkaltaisia etäyhteyspalveluita on avoinna julkiseen internetiin, määrä kasvoi melkein neljänneksellä verrattuna tammi-helmikuuhun. 

Kehityssuunta on huolestuttava, koska internetiin näkyvät etäyhteyspalvelut altistavat laitteen ja sen käyttäjät mahdollisten haavoittuvuuksien hyödyntämiselle ja luvattomille kirjautumisyrityksille. Rikolliset etsivät murrettavia palveluita verkosta automatisoidusti ja yrittävät tunkeutua niihin.

Pylväskuvaaja, jossa näkyy avoimen RDP-palvelun sisältävien uniikkien laitteiden määrän kasvu tammikuusta maaliskuuhun.
Uniikkien laitteiden määrän kasvu tammikuusta maaliskuuhun tarkasteltaessa Suomesta löytyviä avoimia RDP-palveluita.

Sellaisten verkko-osoitteiden, joista löytyy internetiin avoin RDP-palvelu, määrä nousi tammikuuhun verrattuna 25 prosenttia. SMB-palveluiden osalta vastaava luku oli noin 20 prosenttia. Jo helmikuussa kasvua on ollut hieman, mutta selkeä yleistyminen avointen etäyhteyspalveluiden määrässä tapahtui maaliskuun aikana. Vastaavia havaintoja on myös muista etäyhteysratkaisuista (esimerkiksi VNC).

Tammi-maaliskuun pylväskuvaaja avointen SMB- ja RDP-palveluiden määrän muutoksesta.
Internetiin avointen RDP- ja SMB-palveluiden määrät kehittyivät tammi-maaliskuussa samansuuntaisesti.

Suhteellinen kasvu oli erityisen voimakasta, noin 37 prosenttia, kuluttajaliittymiä tarjoavien operaattoreiden verkoissa. 

Pylväskuvaaja, jossa näkyy kasvu uniikeissa laitteissa kuluttajaliittymiä tarjoavien operaattoreiden verkossa.
Laitesertifikaatin perusteella uniikeiksi laitteiksi tunnistettujen avoimien RDP-palveluiden määrä kasvoi myös kuluttajaliittymiä tarjoavien operaattoreiden verkoissa.

Nousua näkyy – noin 58 prosenttia – erityisesti sellaisissa laitteissa, jotka datan perusteella näyttävät olevan yritysten työasemia.

Pylväskuvaaja, jossa näkyy julkiseen internetiin näkyvien RDP-palveluiden huomattava kasvu maaliskuussa yrityslaitteiksi arvioiduissa koneissa.
Julkiseen internetiin näkyvien RDP-palveluiden kasvu oli maaliskuussa erityisen selvää myös kuluttajaliittymiä tarjoavilla operaattoreilla sellaisissa laitteissa, joiden arvioidaan olevan yritystietokoneita niiden laitesertifikaattien perusteella.

Ylläpitäjä, tarkista tilanteenne – virhekonfigurointi altistaa laitteet tunkeutumiselle

Mahdollisia selityksiä kasvulle on useampia, esimerkiksi: 

  1. Toimistoverkoista poikkeuksellisesti etätyö- tai etäopiskelukäyttöön vietyjen päätelaitteiden palomuuriasetukset voivat olla puutteelliset tai palomuuri ei ole käytössä. Laitteella on tästä johtuen avoinna julkiverkkoon sellaisia palveluita, joiden oli tarkoitus olla käytössä ainoastaan toimistoympäristössä, jossa laitetta normaalitilanteessa käytetään. 
  2. VPN-ratkaisun ja palomuurin konfigurointi voi olla tehty siten, että laite tulkitsee virheellisesti olevansa sisäverkossa, kun VPN-yhteys on muodostettu, ja laitteen palomuuriasetukset määrittyvät sisäverkossa käytössä olevan profiilin mukaan.
  3. Organisaatiot ovat avanneet palveluihinsa etäyhteyksiä turvattomilla tavoilla mahdollistaakseen niiden käyttämisen toimistoverkon ulkopuolelta tai perustaneet uusia palveluita, jotka on jätetty avoimiksi.

Palvelut avoimiksi vain erityistä harkintaa käyttäen

Tämän tyyppisiä palveluita ei pääsääntöisesti ole suositeltavaa pitää avoinna julkiseen internetiin edellä mainituista syitä johtuen. Ylläpitäjien onkin suositeltavaa varmistua siitä, että aiemmin pääsääntöisesti yritysverkossa käytettyjen laitteiden palomuuriasetukset toimivat oikein myös muilla kuin yrityksen sisäverkossa käytettävillä verkkoyhteyksillä sekä etätyössä käytettävän VPN-ohjelmiston kanssa.

Konfiguraation oikeellisuuden varmistamiseen voi liittyä myös monitoimittajatilanteesta johtuvia vastuunjaon epäselvyyksiä, kun palomuurit, laitteet ja käyttöönotto- ja ylläpitotyö voidaan hankkia eri toimittajilta. Tämän vuoksi organisaation itsensä on syytä varmistua siitä, että asia on huolehdittu jossakin ketjun vaiheessa ja että organisaation laitteiden altistusta verkkoon valvotaan.
Silloin, kun laitteelle on tarpeen muodostaa etäyhteyksiä, tulisi se toteuttaa käyttäen esimerkiksi VPN-ratkaisua, ja luonnollisesti varmistua siitä, että se toimii halutun laisesti myös kotiympäristössä. 

Poikkeusratkaisut muistettava purkaa normaalioloihin palattaessa

Silloin, jos palveluita kuitenkin jostain syystä avataan tarkoituksella, se pitää tehdä huolellisen riskiarvion pohjalta. Muutoshallintaa tulee tehdä harkiten, jotta organisaatio ei altista poikkeusaikana ympäristöään liikaa kyberuhkille. 
Erityisesti on tärkeää dokumentoida kaikki mahdolliset riskiä kasvattavat muutokset, jotta ne kyetään palauttamaan aiempaan tilaan tilanteen normalisoiduttua.

Taustaa

Artikkelin alussa kuvatut tiedot avoimien palveluiden lukumääristä perustuvat verkkopalveluita automaattisesti etsivän Shodan-hakupalvelun tietoihin. Kyberturvallisuuskeskus on tarkastellut tuloksista uniikkeja Suomeen yhdistettyjä havaintoja, joissa IP-osoitteessa on joku yllä mainituista palveluista saavutettavissa internetistä käsin. RDP-havaintojen osalta on myös erikseen tarkasteltu laitesertifikaattien perusteella uniikkien laitteiden määrää.

Yritysten työasemiksi avoimien RDP-havaintojen osalta on tulkittu laitteet, joiden laitesertifikaattitiedoista on löytynyt tähän viittaavia tietoja, esim. Subject- tai Issuer Common Name -tietojen osalta.

Lisätietoja:

Aiheesta muualla: