Tietoturvarikolliset luottavat automatiikkaan – haavoittuvuuksien hyväksikäyttö nopeutuu entisestään

Maaliskuun 3. päivä julkaistiin tieto Microsoftin Exchange-sähköpostijärjestelmän haavoittuvuudesta. Jo neljä päivää myöhemmin oli merkkejä laajamittaisista murroista kymmeniin tuhansiin haavoittuviin järjestelmiin.

Liiketoimintapäällikkö Tuomas Karhula Wisdomic Oy:stä väittää, että Exchange-haavoittuvuus todistaa tietoturvarikollisten toimintatapojen muuttuneen.

– Exchange-haavoittuvuuden hyväksikäyttö oli ennätyksellisen nopeaa. Näin nopea eteneminen haavoittuvuuden julkaisusta hyökkäyksiin ja murtoihin on mahdollista vain hyödyntämällä automatiikkaa, Karhula toteaa.

Tehokasta hakuammuntaa – automatiikka apuna

Millä tavoin automatiikan hyödyntäminen sitten muuttaa tietoturvarikollisuutta? Karhula kertoo, että aiemmin etsittiin keinoja päästä tiettyyn yritykseen, nyt haetaan pääsyä mihin tahansa yritykseen.

– Julkisesta verkosta etsitään jatkuvasti verkkolaitteiden ja tietojärjestelmien haavoittuvuuksia, tavallaan avoimia ovia yrityksiin, Karhula kuvailee.

Kun haavoittuvuus löytyy, tieto julkaistaan verkossa ja tietoturvarikolliset ympäri maailman tarttuvat tilaisuuteen. Tässä kohtaa automatiikka astuu kehiin.

– Automatiikan avulla rikolliset etsivät julkisesta verkosta kaikki ne laitteet ja järjestelmät, joita haavoittuvuus koskee. Kun haavoittuvat laitteet tai järjestelmät on löydetty, rikollisen mahdollisuudet ovat, jos ei nyt rajattomat, niin ainakin monipuoliset.

Karhula kertoo, että myös Kyberturvallisuuskeskus on varoittanut toimintatavasta 1.

Tietoturvarikollinen ei syrji – kaikki yritykset ovat samalla viivalla

Avoin ovi voi löytyä mistä tahansa julkisessa verkosta olevasta laitteesta tai järjestelmästä, kuten wlan-tukiasemasta, palvelimelta, sähköpostijärjestelmästä tai palomuurista.

– Näitä laitteita ja järjestelmiä on kaiken kokoisissa yrityksissä ympäri maailman eikä syrjäinen sijainti tai pieni liikevaihto pelasta yritystä hyökkäykseltä, Karhula varoittaa.

Miten pääsyä sitten hyödynnetään? Karhula toteaa, että raha on rikollisten motiivi myös tietoturvapuolella. Tilanteesta riippuen rikollinen voi käyttää pääsyään erilaisiin kiristyksiin tai tietojen varastamiseen.

– Kiristys voidaan toteuttaa lukitsemalla järjestelmiä ja uhkaamalla tietojen julkaisulla, jos rahoja ei makseta. Tietoja voidaan myös varastaa ja myydä eteenpäin, Karhula toteaa.

Automatiikka on myös ase tietoturvarikollisuutta vastaan

Automatiikan hyödyntäminen tietoturvarikollisuudessa aiheuttaa sen, että haavoittuvuuksiin on julkaistava entistä nopeammin korjaavia tietoturvapäivityksiä ja ne on myös asennettava viipymättä.

– Exchange-haavoittuvuuden kohdalla aikaikkuna tietoturvapäivityksen julkaisemiseksi ja asentamiseksi oli todella lyhyt, Karhula toteaa.

Harvassa yrityksessä on kuitenkaan tietotaitoa, saati aikaa seurata kaikkia haavoittuvuuksia ja asentaa itse kaikkien laitteiden ja järjestelmien päivityksiä.

Ratkaisu voi löytyä automatiikasta.

– Me Wisdomicilla tarjoamme esimerkiksi älykkäitä lähiverkkoratkaisuja, jossa kaikki verkkolaitteet päivittyvät automaattisesti, Karhula kertoo.

Automatiikka pitää huolen, että päivitykset asennetaan viipymättä päivää ja kellonaikaa katsomatta.

Haavoittuvuuksien etsimistä ei kannata jättää vain rikollisten tehtäväksi

Toinen hyvä keino kestää rikollisten edellä on oman verkon säännöllinen haavoittuvuuksien skannaaminen. Haavoittuvuuskartoituksessa kartoitetaan verkon laitteet tietoturvan näkökulmasta.

– Kartoitus löytää vanhat sovellusversiot, oletussalasanat sekä tiedossa olevat hyödynnettävät haavoittuvuudet eri tietojärjestelmissä, Karhula kertoo.

Käyttäytymiseen perustuva analysointi on valvoja palomuurin takana

Toisinaan hyökkääjä on ehtinyt tehdä työnsä ennen tietoturvapäivityksen asentamista. Silloin ovi hyökkääjälle voi jäädä avoimeksi päivityksestä huolimatta.

– Esimerkiksi Exchangen kohdalla päivittäminen hyväksikäytön jälkeen ei enää välttämättä puhdistanut järjestelmää. Haavoittuvuus oli mahdollistanut hyökkääjän pääsyn syvemmälle järjestelmään, Karhula kertoo.

Ainoa tapa löytää hyökkääjä järjestelmästä voi olla käyttäytymiseen perustuva havainnointi.

– Käyttäytymispohjaisessa havainnoinnissa ei tunnisteta vain tunnettuja uhkia, vaan reagoidaan myös tapaan miten laite tai verkko käyttäytyy, Karhula kuvailee.

– Epänormaali ja tavallisuudesta poikkeava verkon toiminta johtaa hyökkääjän jäljille.

Ennakointi on ensimmäinen askel tietoturvallisempaan arkeen

Automatiikka, skannaukset ja käyttäytymiseen perustuva analysointi eivät kuitenkaan ole tae, että yritys olisi turvassa tietoturvarikollisilta.

– Yrityksen tietoturva on suuri palapeli, joka rakentuu monesta tekijästä. Palapeliä voi olla vaikea hahmottaa ja hallita alati muuttuvassa it-maailmassa etenkin oman työarjen keskellä, Karhula toteaa.

Tietoturva-asioissa kannattaa luottaa asiantuntevaan kumppaniin. Hyvä kumppani näkee kokonaiskuvan ja on aina ajanhermolla.

– Meiltä voi varata maksuttoman Viisas vartti -konsultaation, jonka jälkeen tiedät tilanteesi. Jos ei ole 100 % varma, että tietoturva-asiat ovat kaikilta osin kunnossa, oikea aika ottaa yhteyttä on heti, Karhula kehottaa.

Wisdomic on noin 60 henkilöä työllistävä suomalainen IT-palvelutalo, jolla on toimipisteet Kaarinassa, Vantaalla ja Seinäjoella sekä konesali Vantaalla. Palveluihimme kuuluvat tietoturva-, pilvi-, konesali-, laite- ja käyttäjätukipalvelut sekä infran ylläpito ja valvonta. Yhtiö on toiminut vuodesta 2005 ja sen liikevaihtoluokka on 15 M€.

Fakta

Microsoftin Exchange -haavoittuvuuden aikajana

2.3.2021 Exchange-haavoittuvuus julkaistiin.
3.3.2021 Kyberturvallisuuskeskus antoi kriittisen varoituksen 2.
4.3.–5.3.2021 Hyökkäyksien määrä kasvoi.
6.3.2021 Merkkejä laajamittaisista murroista 3 kymmeniin tuhansiin haavoittuviin järjestelmiin.

Lähteet:

Sähköpostijärjestelmään kohdistuva hyökkäys – paljon harmia yritykselle
Microsoft Exchange 2021 -haavoittuvuus muistutti käyttäjiä siitä, että arkipäiväisen järjestelmän ongelma voi tehdä työnteosta jopa mahdotonta.
– Suomessakin oli esimerkkejä tilanteista, joissa Exchangen haavoittuvuus havaittiin liian myöhään ja sähköpostipalvelu oli poissa käytöstä jopa yli viikon ajan, kertoo Tuomas Karhula Wisdomic Oy:stä.
Käyttökatkon lisäksi hyökkääjä voi lamauttaa koko sähköpostiliikenteen tai pahimmillaan levittää yrityksen sähköpostikannan internetiin kaikkien saataville. Haavoittuvuuden löytyessä on siis parasta, että yrityksen it-asioista vastaa luotettava kumppani, joka reagoi haavoittuvuuksiin välittömästi.
– Me Wisdomicilla olimme heti valmiudessa, kun Microsoft julkaisi tietoturvapäivityksen Exchange-haavoittuvuuteen. Lisäksi prosessiamme kehitettiin kokemusten perusteella sujuvammaksi. Jatkossa pystymme toimimaan entistä nopeammin, ja minimoimaan asiakkaille näkyvät haitat, Karhula lupaa.

Lisää aiheesta:

Suomalaisilla jopa satojatuhansia turvattomia reitittimiä, joista supo älähti – näin vältät vakoojan Etätyöloikka aiheutta tietoturvariskejä – osa ei ole vieläkään korjannut ongelmia: "On ollut sellainen ajatus, että vauhti korjaa virheet"Hyvisten puolella olevat hakkerit auttavat löytämään autoista tietoturva-aukkoja ennen rikollisia F-Secure löysi uuden miljoonia koskevan haavoittuvuuden: ”Tuhopotentiaali valtava” – älä jätä tietokonetta edes minuutiksi vartioimatta Pysäyttävä tietoturvaennuste 2016: Roistot uhkaavat jo käytännössä kaikkialla Suomalaissivustot maailman neljänneksi saastuneimpia – "Syytä olettaa, että rikollisille on maksettu"