Toimi näin Microsoft 365 -tilin tietomurron sattuessa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Toimi näin Microsoft 365 -tilin tietomurron sattuessa

Ohjeessa neuvotaan, miten saat tunnuksen takaisin käyttöösi ja varoitat muita. Käymme läpi myös tunnuksen eristämisen, hyökkääjän toimien kartoittamisen sekä ennaltaehkäisevät toimenpiteet.

Tämän kohdan toimenpiteet on suunnattu kaikille käyttäjille. Ilmoita asiasta myös oman organisaation IT:hen, joka voi jatkaa asian selvittämistä ohjeiden mukaisesti.

Tunnuksen eristäminen

Hyökkääjän toimien kartoittaminen

  • Vaihe 1

    Tarkista, onko hyökkääjä tehnyt sähköpostin käsittelysääntöjä tai uudelleenohjauksia

    Hyökkääjä voi välittää joko kaikki viestisi omaan sähköpostiosoitteeseen tai tehdä sähköpostilaatikon sisällä käsittelysääntöjä, jolloin tietyt sähköpostiviestit voivat ohjautua toiseen kansioon.

  • Vaihe 2

    Tarkista lokeista, mitä hyökkääjä on tehnyt

    Tarkista lokitiedot sen varalta, että hyökkääjä on onnistunut kirjautumaan Microsoft 365-tilillesi. Lokista näkee mistä IP-osoitteesta ja sijainnista kirjautuminen tapahtui sekä mitä sovelluksia hyökkääjä on yrittänyt käyttää.

    Ohjeet lokien tarkistamiseen
  • Vaihe 3

    Selvitä audit-lokeista hyökkääjän toimintaa dokumenteilla ja sovelluksissa

    Audit-lokeista on mahdollista nähdä esimerkiksi mitä dokumentteja hyökkääjä on avannut, muokannut tai kopioinut sekä palvelut, joita on käytetty.

    M365-pääkäyttäjä voi hakea audit-lokeista tietoa esimerkiksi käyttäjän tai ajankohdan mukaan. 

    Ohjeet audit-lokien hakemiseen
  • Vaihe 4

    Tarkista toimialueen tunnukset

    Mikäli vaarantunut tunnus on ollut Microsoft 365-tilauksen pääkäyttäjätunnus tai tunnukselle on onnistuttu antamaan pääkäyttäjätason oikeudet, tarkista onko toimialueelle luotu uusia tunnuksia tai asennettu uusia sovelluksia.

    Vaarantuneen tunnuksen ollessa pääkäyttäjätunnus, on tähän suhtauduttava erittäin vakavasti, sillä tunnuksella on pääsy kaikkialle organisaation Microsoft 365-tilauksessa.

    Microsoft: Entra ID activity logs in Azure Monitor
  • Vaihe 5

    Tarkista onko tunnukselta lähetetty haitallisia sähköpostiviestejä

    Online Exchange -palvelusta voidaan tarkistaa, onko hyökkääjä lähettänyt haitallisia sähköpostiviestejä. Raportin voi ladata esimeriksi Exceliin, josta vastaanottajien sähköpostiosoitteet on helppo hakea.

    Online Exchange -palvelu

    Mikäli haitallisia sähköpostiviestejä on lähtenyt vaarantuneelta tunnukselta, on tärkeää informoida vastaanottajia mahdollisimman nopeasti asiasta. Alla on esimerkki varoitusviestistä.

    Esimerkki varoitusviestistä

    Hei!

    Olette saaneet tietojemme mukaan osoitteesta _____ viestin otsikolla _____.

    Kyseessä on käyttäjätunnuksia kalasteleva huijausviesti, joka on lähetetty murretulta käyttäjätunnukselta.

    Mikäli olet syöttänyt linkin kautta avautuvalle sivustolle käyttäjätunnuksesi ja salasanasi, ota yhteys yrityksesi ICT-tukeen ja kerro tapahtuneesta. Jos yrityksessäsi ei ole ICT-tukea, toimi seuraavien ohjeiden mukaan:

    1. Vaihda salasanasi heti. Salasanavaihdon jälkeen kannattaa katkaista kaikki voimassa olevat istunnot kaikilta laitteilta. Rikollinen on voinut jo kirjautua tunnuksellasi palveluihin. Esimerkiksi Microsoft 365 -palveluissa voit tehdä sen tämän ohjeen mukaan. Kun pakotat kaikki istunnot kirjautumaan uudelleen sisään uudella salasanalla, rikollinen ei enää pääse kirjautumaan tunnuksellasi palveluun.
    2. Tarkista, onko rikollinen tehnyt sähköpostiisi sähköpostien uudelleenohjausta tai muuta sääntöjä sähköpostisi käsittelyyn. 
    3. Selvitä hyökkäyksen laajuus henkilötietojen osalta.
      Selvitä vuotaneiden henkilötietojen määrä ja laatu.
    4. Varoita kalasteluviestin saaneita organisaatioita ja henkilöitä viestistä.
    5. Tee tietomurrosta ilmoitus:
      Kyberturvallisuuskeskukselle 
      Poliisille
      Tietosuojavaltuutetulle 

    Terveisin,

  • Vaihe 6

    Tee tietomurrosta ilmoitus

    • Kyberturvallisuuskeskukselle
      Tee ilmoitus Kyberturvallisuuskeskukselle mahdollisimman pian, niin voimme auttaa lisävahinkojen estämisessä. Voit tehdä ilmoituksen myös vajailla tiedoilla. Lisää ilmoitukseen mukaan saamasi kalasteluviesti. Kyberturvallisuuskeskus tutkii viestissä olevan linkin ja pyytää sivuston alasajoa, jolloin voimme vähentää uusien uhrien määrää.
    • Poliisille
    • Tietosuojavaltuutetulle

Ennaltaehkäisevät toimenpiteet

Monivaiheisella tunnistautumisella tarkoitetaan sitä, että henkilöllisyytesi varmistetaan kahta tai useampaa eri tunnistautumistapaa käyttämällä. Microsoft 365 -käyttäjätilien tietomurtoja voidaan estää monivaiheista tunnistautumista käyttämällä. Vaikka rikollinen saisi tietoonsa käyttäjätunnuksesi ja salasanasi, palveluun ei pääse kirjautumaan ilman lisätunnistetta. Monivaiheinen tunnistautuminen suositellaan otettavaksi käyttöön kaikille tunnuksille.

  • Tämä tunnus on vain hätätilanteita varten. Tätä tunnusta ei käytetä normaalisti pääkäyttäjän tehtävissä tai normaalien työtehtävien suorittamiseen.
  • Tunnusta käytetään tapauksissa, joissa millään muulla tunnuksella ei pääse kirjautumaan Microsoft 365 -palveluun.
  • Tunnuksen salasana tulee olla monimutkainen ja pitkä ja sen käyttöä tulee valvoa tarkasti.
  • Kun tunnuksella kirjaudutaan organisaation Microsoft 365 -palveluun, tulee kirjautumisesta heti ilmoitus pääkäyttäjille.
  • Ohje kassakaappitunnukset luomiseen 

Lokitietojen avulla voidaan jäljittää, milloin, mitä ja ehkä jopa miten tietomurto tapahtui. Näistä lokitiedoista on hyötyä muussakin vianselvityksessä ja ongelmanratkaisussa.

Tarkista, onko hälytykset otettu käyttöön. Näiden hälytysten avulla saat paremman näkyvyyden käyttäjien ja järjestelmänvalvojan toiminnoista, sekä varoituksia uhkista tai tietojen katoamistapauksista.

Microsoft 365 -tietomurroissa on usein hyödynnetty massapostitukseen soveltuvaa sovellusta. Päivitä Microsoft tilauksesi asetukset niin ettei käyttäjätunnuksella voi suoraan asentaa sovellusta Microsft 365 -tilaukseen, vaan tilauksen M365-pääkäyttäjä hyväksyy asennuksen. Tällöin estetään rikollisen mahdollisuus asentaa murretulle tunnukselle massapostitukseen käytettävää ohjelmaa.

Microsoft: User and admin consent in Microsoft Entra IDNäin estät käyttäjää antamasta suostumuksen sovelluksiin

Mikäli seuraavat toiminnallisuudet ovat aktiivisena, niitä voi ottaa käyttöön seuraavien ohjeiden mukaisesti.

Oletuksena kirjautuminen vaaditaan 90 päivän välein. Turvallisempaa olisi, että käyttäjä kirjautuisi selainsovelluksiin esim. kerran päivässä. Tämän asetuksen voi ottaa käyttöön ainakin seuraavien sovellusten osalta: SharePoint, OneDrive for business ja Exchange Online -sovellukset tai kaikki Microsoft pilvisovellukset.

Microsoftin ohje: Configure authentication session management with Conditional AccessHow to Enable Organization Customization in Office 365

Kun varoitus on tullut käyttäjätunnukselle, voidaan riskikäytäntöehdoilla vaatia käyttäjää vaihtamaan itse salasana Microsoft Entra ID -itsepalveluna toimivaa salasanan nollausprosessia käyttäen.

Microsoft: Require password changeMicrosoft: Common Conditional Access policy: User risk-based password change

Käyttämällä Intune/MDM tai muuta laitehallintaa, voidaan myöntää kirjautumisoikeus Microsoft 365 -palveluihin ainoastaan yrityksen laitehallinnan alaisilta laitteilta.

Microsoft: Require device to be marked as compliantMicrosoft: Common Conditional Access policy: Require approved client apps or app protection policy

Token Protection -ehdollisen säännön avulla voit varmistaa, että tunnuksia voidaan käyttää vain laitteella, jolla käyttäjä on alun perin kirjautunut sisään. AiTM tietojenkalastelussa hyökkääjällä on mahdollista saada toimiva istuntoeväste, jonka avulla hyökkääjä voi toistaa käyttäjän kirjautumisen Microsoft 365 palvelun. Token Protectionin säännön avulla estää hyökkääjän kirjautumisen Microsoft 365 palveluun.

Token protection
Sivu on viimeksi päivitetty