Tietoturvarikolliset luottavat automatiikkaan – haavoittuvuuksien hyväksikäyttö nopeutuu entisestään
Maaliskuun 3. päivä julkaistiin tieto Microsoftin Exchange-sähköpostijärjestelmän haavoittuvuudesta. Jo neljä päivää myöhemmin oli merkkejä laajamittaisista murroista kymmeniin tuhansiin haavoittuviin järjestelmiin.
Liiketoimintapäällikkö Tuomas Karhula Wisdomic Oy:stä väittää, että Exchange-haavoittuvuus todistaa tietoturvarikollisten toimintatapojen muuttuneen.
– Exchange-haavoittuvuuden hyväksikäyttö oli ennätyksellisen nopeaa. Näin nopea eteneminen haavoittuvuuden julkaisusta hyökkäyksiin ja murtoihin on mahdollista vain hyödyntämällä automatiikkaa, Karhula toteaa.
Tehokasta hakuammuntaa – automatiikka apuna
Millä tavoin automatiikan hyödyntäminen sitten muuttaa tietoturvarikollisuutta? Karhula kertoo, että aiemmin etsittiin keinoja päästä tiettyyn yritykseen, nyt haetaan pääsyä mihin tahansa yritykseen.
– Julkisesta verkosta etsitään jatkuvasti verkkolaitteiden ja tietojärjestelmien haavoittuvuuksia, tavallaan avoimia ovia yrityksiin, Karhula kuvailee.
Kun haavoittuvuus löytyy, tieto julkaistaan verkossa ja tietoturvarikolliset ympäri maailman tarttuvat tilaisuuteen. Tässä kohtaa automatiikka astuu kehiin.
– Automatiikan avulla rikolliset etsivät julkisesta verkosta kaikki ne laitteet ja järjestelmät, joita haavoittuvuus koskee. Kun haavoittuvat laitteet tai järjestelmät on löydetty, rikollisen mahdollisuudet ovat, jos ei nyt rajattomat, niin ainakin monipuoliset.
Karhula kertoo, että myös Kyberturvallisuuskeskus on varoittanut toimintatavasta 1.
Tietoturvarikollinen ei syrji – kaikki yritykset ovat samalla viivalla
Avoin ovi voi löytyä mistä tahansa julkisessa verkosta olevasta laitteesta tai järjestelmästä, kuten wlan-tukiasemasta, palvelimelta, sähköpostijärjestelmästä tai palomuurista.
– Näitä laitteita ja järjestelmiä on kaiken kokoisissa yrityksissä ympäri maailman eikä syrjäinen sijainti tai pieni liikevaihto pelasta yritystä hyökkäykseltä, Karhula varoittaa.
Miten pääsyä sitten hyödynnetään? Karhula toteaa, että raha on rikollisten motiivi myös tietoturvapuolella. Tilanteesta riippuen rikollinen voi käyttää pääsyään erilaisiin kiristyksiin tai tietojen varastamiseen.
– Kiristys voidaan toteuttaa lukitsemalla järjestelmiä ja uhkaamalla tietojen julkaisulla, jos rahoja ei makseta. Tietoja voidaan myös varastaa ja myydä eteenpäin, Karhula toteaa.
Automatiikka on myös ase tietoturvarikollisuutta vastaan
Automatiikan hyödyntäminen tietoturvarikollisuudessa aiheuttaa sen, että haavoittuvuuksiin on julkaistava entistä nopeammin korjaavia tietoturvapäivityksiä ja ne on myös asennettava viipymättä.
– Exchange-haavoittuvuuden kohdalla aikaikkuna tietoturvapäivityksen julkaisemiseksi ja asentamiseksi oli todella lyhyt, Karhula toteaa.
Harvassa yrityksessä on kuitenkaan tietotaitoa, saati aikaa seurata kaikkia haavoittuvuuksia ja asentaa itse kaikkien laitteiden ja järjestelmien päivityksiä.
Ratkaisu voi löytyä automatiikasta.
– Me Wisdomicilla tarjoamme esimerkiksi älykkäitä lähiverkkoratkaisuja, jossa kaikki verkkolaitteet päivittyvät automaattisesti, Karhula kertoo.
Automatiikka pitää huolen, että päivitykset asennetaan viipymättä päivää ja kellonaikaa katsomatta.
Haavoittuvuuksien etsimistä ei kannata jättää vain rikollisten tehtäväksi
Toinen hyvä keino kestää rikollisten edellä on oman verkon säännöllinen haavoittuvuuksien skannaaminen. Haavoittuvuuskartoituksessa kartoitetaan verkon laitteet tietoturvan näkökulmasta.
– Kartoitus löytää vanhat sovellusversiot, oletussalasanat sekä tiedossa olevat hyödynnettävät haavoittuvuudet eri tietojärjestelmissä, Karhula kertoo.
Käyttäytymiseen perustuva analysointi on valvoja palomuurin takana
Toisinaan hyökkääjä on ehtinyt tehdä työnsä ennen tietoturvapäivityksen asentamista. Silloin ovi hyökkääjälle voi jäädä avoimeksi päivityksestä huolimatta.
– Esimerkiksi Exchangen kohdalla päivittäminen hyväksikäytön jälkeen ei enää välttämättä puhdistanut järjestelmää. Haavoittuvuus oli mahdollistanut hyökkääjän pääsyn syvemmälle järjestelmään, Karhula kertoo.
Ainoa tapa löytää hyökkääjä järjestelmästä voi olla käyttäytymiseen perustuva havainnointi.
– Käyttäytymispohjaisessa havainnoinnissa ei tunnisteta vain tunnettuja uhkia, vaan reagoidaan myös tapaan miten laite tai verkko käyttäytyy, Karhula kuvailee.
– Epänormaali ja tavallisuudesta poikkeava verkon toiminta johtaa hyökkääjän jäljille.
Ennakointi on ensimmäinen askel tietoturvallisempaan arkeen
Automatiikka, skannaukset ja käyttäytymiseen perustuva analysointi eivät kuitenkaan ole tae, että yritys olisi turvassa tietoturvarikollisilta.
– Yrityksen tietoturva on suuri palapeli, joka rakentuu monesta tekijästä. Palapeliä voi olla vaikea hahmottaa ja hallita alati muuttuvassa it-maailmassa etenkin oman työarjen keskellä, Karhula toteaa.
Tietoturva-asioissa kannattaa luottaa asiantuntevaan kumppaniin. Hyvä kumppani näkee kokonaiskuvan ja on aina ajanhermolla.
– Meiltä voi varata maksuttoman Viisas vartti -konsultaation, jonka jälkeen tiedät tilanteesi. Jos ei ole 100 % varma, että tietoturva-asiat ovat kaikilta osin kunnossa, oikea aika ottaa yhteyttä on heti, Karhula kehottaa.
Wisdomic on noin 60 henkilöä työllistävä suomalainen IT-palvelutalo, jolla on toimipisteet Kaarinassa, Vantaalla ja Seinäjoella sekä konesali Vantaalla. Palveluihimme kuuluvat tietoturva-, pilvi-, konesali-, laite- ja käyttäjätukipalvelut sekä infran ylläpito ja valvonta. Yhtiö on toiminut vuodesta 2005 ja sen liikevaihtoluokka on 15 M€.
FaktaMicrosoftin Exchange -haavoittuvuuden aikajana
|
Lähteet:
- https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Tietoturvan-vuosi-2020__WEB_aukeamat.pdf
- https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_7/21
- https://www.wsj.com/articles/china-linked-hack-hits-tens-of-thousands-of-u-s-microsoft-customers-11615007991?mod=tech_lead_pos1
Sähköpostijärjestelmään kohdistuva hyökkäys – paljon harmia yritykselle
Microsoft Exchange 2021 -haavoittuvuus muistutti käyttäjiä siitä, että arkipäiväisen järjestelmän ongelma voi tehdä työnteosta jopa mahdotonta.
– Suomessakin oli esimerkkejä tilanteista, joissa Exchangen haavoittuvuus havaittiin liian myöhään ja sähköpostipalvelu oli poissa käytöstä jopa yli viikon ajan, kertoo Tuomas Karhula Wisdomic Oy:stä.
Käyttökatkon lisäksi hyökkääjä voi lamauttaa koko sähköpostiliikenteen tai pahimmillaan levittää yrityksen sähköpostikannan internetiin kaikkien saataville. Haavoittuvuuden löytyessä on siis parasta, että yrityksen it-asioista vastaa luotettava kumppani, joka reagoi haavoittuvuuksiin välittömästi.
– Me Wisdomicilla olimme heti valmiudessa, kun Microsoft julkaisi tietoturvapäivityksen Exchange-haavoittuvuuteen. Lisäksi prosessiamme kehitettiin kokemusten perusteella sujuvammaksi. Jatkossa pystymme toimimaan entistä nopeammin, ja minimoimaan asiakkaille näkyvät haitat, Karhula lupaa.
Uusimmat
-
19:37
Nyt tuli Ogierilta hirmuveto – Kroatian MM-rallin kärkikaksikolla täysin sama aika: MTV seuraa
-
19:06
Yksityisen opetusalan työriidassa lakkouhka tiistaina – koskee noin 19 000 lasta ja nuorta
-
19:02
Onko Yhdysvaltojen "lawfare" jo uhka demokratialle – ja onko kohteena Trump vai Biden?
-
19:01
Manchester Unitedin lupaukselta anteeksipyyntö – syynä sosiaalisen median toiminta
-
19:01
Yllättävä vieras juna-asemalla ja mitä suloisimmat kesätyöläiset – katso, mitä hyvää meillä ja maailmalla on tapahtunut!
-
18:52
Salossa paloi päiväkoti – Poliisi varoittaa: "Paikalle ei tule mennä"
-
18:45
Rane Raitsikka päätyi vuosikausia sitten salanimellä NHL-toimittajaksi – näin lopulta syntyi legendaarinen "Leo Lahti"
-
17:59
Suomalainen rallikuski täräytti mainoksen ilmaan – selostamosta villi reaktio: "Uijuijui!"
-
17:56
Puolassa pidätetty kaksi miestä epäiltynä Aleksei Navalnyin liittolaisen pahoinpitelystä Liettuassa
-
17:53
Ukrainalaisväite: Putinin armeija voi pystyä kesällä läpimurtoon – "Olosuhteet ovat Venäjälle parhaat sitten sodan alun"
-
17:33
Testasimme parsaherkun, jota on hankala tyriä – yhtä helppoa kuin tähtitorttujen tekeminen
-
17:30
Prinsessa Victoria lumikenkäili suolla
-
17:28
Ukraina tuhosi ensi kertaa Tu-22-pommikoneen – Ilmavoimien ex-komentaja analysoi tuhovideon MTV:lle: "Harvinaista herkkua"
-
17:10
Kilpailukiellon kärsinyt supertähti palasi huipulle – asiantuntija hehkuttaa: "Vähän sopivaa rosoa"
-
16:58
Sébastien Ogierita hapanta tekstiä – suomalaisasiantuntija sivalsi: "Ihania nämä kuljettajat"
-
16:46
Rantaradalla liikenne jatkuu henkilövahingon jälkeen
-
16:36
Poliisi paljasti miljoonien rahanpesuringin – käyttivät ovelaa tunnistautumiskeinoa
-
16:30
Bruce Willisin vaimo Emma ja tytär Tallulah juhlistivat Pulp Fictionin 30-vuotispäivää – erityinen ele näyttelijälle
-
16:17
EU haluaa Niinistön apua Euroopan turvallisuuden vahvistamiseen: "Meillä on paljon opittavaa Suomelta"
-
16:15
Niinistö tapaa Borrellin Eurooppa-raportin tiimoilta
-
Lataa lisää