Etusivu

Meidän kokemukset modernista pääsynhallinnasta

Office 365 -palveluihin kohdistuneista tietojenkalasteluyrityksistä ja tietomurroista on keskusteltu aktiivisesti jo reilun vuoden ajan. Vauhti tuntuu vain kiihtyvän ja julkisuuteen päätyneet tapaukset lisääntyvän. Nyt on herätty siihen, että tietomurtojen myötä on onnistuttu toteuttamaan loppuun saakka vietyjä hyökkäyksiä, joissa yritykseltä on konkreettisesti varastettu esimerkiksi suuria summia rahaa tai henkilötietoja.

Kyberturvallisuuskeskuksen verkkosivujen etusivulla varoitetaan edelleen ”vakava” -kategoriassa viime vuoden vaihteessa julkaistusta varoituksesta käyttäjille kohdistuneista kalasteluyrityksistä. Myös KRP julkaisi muutama viikko sitten vastaavan varoituksen.

Varoittavia tahoja ja toimijoita on lukuisia, mutta edelleen tuntuu harmillisen monessa paikassa vallitsevan sama vanhentunut käsitys: Perinteinen aktiivihakemisto on kyllä vuorattu useiden palomuurien taakse ja suojattu asianmukaisesti, mutta julkisessa verkossa joka puolelta maailmaa saatavilla oleva Azure Active Directory (joka on käytössä jokaisella O365-palveluita käyttävällä yrityksellä) jätetään täysin oman onnen nojaan. Huolestuttavaa on vielä erityisesti se, että monesti toimittajan kanssa ei ole sovittu palvelun ylläpidollisista toimista ja esimerkiksi kuukausia hälyttänyt varoitus epätavallisista kirjautumisista toiselta puolelta maailmaa jää täysin reagoimatta.

Mikäli aihe sattuu olemaan sinulle vielä uusi, kannattaa lukea meidän aikaisemmin kirjoittama blogiteksti sekä Kyberturvallisuuskeskuksen julkaisema artikkeli aiheesta. Lyhyesti voi kuitenkin todeta, että mikäli käytössäsi on pilvipalveluita (tai vaikka vain paikallinen Exchange web-julkaisu), jonne pääsee kirjautumaan käyttäjätunnuksella ja salasanalla mistä päin maailmaa tahansa, sinun tulee toimia viipymättä.

Itse olen ollut viimeisen vuoden aikana selvittämässä ja eristämässä muutamia tietojenkalastelun myötä tapahtuneita hyökkäyksiä. Parissa tapauksessa on päästy melko pitkälle, parissa taas yritykset on huomattu ajoissa ja toiminta on pystytty eristämään ilman suurempia vahinkoja. Jokaisessa tapauksessa yhteistä on ollut, että välitöntä näkyvää murtoa ei ole toteuttettu, mutta taustalle on asennettu tietojen tarkempaa keräämistä varten ratkaisuja, kuten sähköpostiohjauksia. Kun hyökkääjä on kerännyt tarpeeksi tietoa, tehdään kohdistettu hyökkäys tai huijaus, jossa lopulta useimmiten “vahingon” aiheuttaa käyttäjä itse lankeamalla jonkinlaiseen erittäin aidon tuntuiseen huijaukseen.

Viimeisin vastaavista tapauksista sattui viime viikolla, kun eräs asiakkaistamme joutui kohdistetun tietojenkalasteluhyökkäyksen kohteeksi. Käyttäjä oli saanut sähköpostin, jossa kutsuttiin tarkastelemaan Google Driven jaettua tiedostoa, jonka myötä harmillisesti kahden tunnuksen osalta käyttäjätunnukset onnistuttiin kaappaamaan. Taustalle rakennettu automaatio kuitenkin havaitsi poikkeaman ja lukitsi välittömästi tunnukset, jolloin tunnuksia ei onnistuttu hyödyntämään enemmän.

Asiakas oli jo ottanut käyttöön kaksivaiheisen tunnistautumisen, mutta ratkaisu oli vasta julkaisuvaiheessa, jolloin osa käyttäjistä oli vielä uusien politiikkojen myötä suojaamattomia. Onneksi tarvittavat valvontaratkaisut olivat jo käytössä ja hyökkäykset onnistuttiin estämään ajoissa.

Monivaiheisen tunnistautumisen käyttöönottoa oli hidastanut monelle toimittajalle tutut haasteet Intunen yritysportaalin käyttäjäkokemuksien kanssa ja uudet sen myötä tuomat työskentelytavat, joiden pelättiin hidastavan tuottavan työn toteutumista. Päädyimme kuitenkin poikkeustilanteessa siihen, että varmistamme yrityksen liiketoiminnan jatkuvuuden parhaiten sillä, että varmistamme käyttäjäidentiteettien turvallisuuden pienellä käyttäjäkokemuksen hetkellisellä heikkenemisellä ja otimme ratkaisun kerralla käyttöön koko organisaatiolle.

Asiakas oli varautunut seuraavaan päivään tarjoamalla useamman resurssin auttamaan loppukäyttäjiä mahdollisissa ongelmatilanteissa. Reilusta 300 työntekijästä ainoastaan alle 10 henkilöä oli tullut seuraavana päivänä kertomaan jonkinlaisista haasteista ratkaisun käyttöönoton myötä. Uskallan siis väittää, että ratkaisu on kehittynyt vuosien varrella huomattavasti ja sen soveltumista omaan liiketoimintaan pelätään usein aivan turhaan.

Ratkaisun myötä käyttäjäkokemus on ainoastaan parantunut, sillä monivaiheisen tunnistautumisen ja kehittyneiden SSO-ratkaisujen myötä myös salasanojen syöttäminen on jäänyt toissijaiseksi: omalle työasemalle kirjaudutaan sormenjäljellä tai PIN-koodilla ja salasanoja ei kysytä palveluihin kirjautumisessa. Tekstiviestivarmennuksia tai mobiiliautentikointia tarvitaan ainoastaan, mikäli käytetään yrityksen ulkopuolisia laitteita.

CloudNow:lla on toukokuun loppuun asti tarjous modernin pääsynhallinnan ja Intunen käyttöönotosta (PoC) mobiililaitteille. Ratkaisu tarjotaan 3-4 päivän työpajana kiinteään hintaan 3000e. Olethan yhteydessä, niin kerromme lisää!

Muut blogipostaukset >
Ota yhteyttä
Microsoft Partner Silver Datacenter
Luotettava Kumppaniyritys