Taistelu etätyön epäselviä turvauhkia vastaan

Keväällä 2020 useimmat hallitukset ja yritykset ympäri maailmaa joutuivat nopeasti siirtämään monia työntekijöitä etätöihin. Tämän vuoksi uuden tietoturva-järjestelmän suunnittelukysymykset lykättiin. Sen sijaan organisaatiot ottivat käyttöön tuolloin ajankohtaisimmat suojatoimenpiteet, esimerkiksi palomuurit, VPN:t ja monivaiheisen tunnistautumisen.

Etätyön rakentamisen kiireen ja rajoitettujen budjettien vuoksi monet kiireelliset tietoturvauhat jäivät huomiotta. Ajan myötä tietosuojajärjestelmää ja sen dokumentaarista perustaa on hiottu ottamaan huomioon suurempi määrä todellisia uhkia. Hyökkääjät kuitenkin jatkavat porsaanreikien löytämistä ja käyttämistä vahingon aiheuttamiseen.

## Uhkat käyttäjätilien turvallisuudelle

· Syötettyjen tunnusten kaappaaminen

Yksi toimenpiteistä tiedon suojaamiseksi järjestettäessä etätyötä, kun työntekijät käyttävät henkilökohtaisia laitteitaan, on työpisteiden virtualisointi ja sovellusten siirtäminen terminaalipalvelimelle, minkä jälkeen ympäristö eristetään täysin.

Tosiaan, jos haittaohjelma asennetaan työntekijän tietokoneelle, se ei vaikuta työympäristöön tai liiketoimintasovelluksiin.

Kuitenkin, vaikka etäyhteydessä käytettäisiin vaihtoehtoista todennusta, jos yhdistät virtualisoituun työasemaan (VDI) ja terminaalisovellukseen (esimerkiksi RemoteAppin kautta), on suuri todennäköisyys, että sovellus vaatii valtuutuksen käyttäjänimen ja salasanan avulla. Tässä tapauksessa, haittaohjelma voi kaapata näppäimistön painallukset, tunnistaa oikean kirjautumis-salasana yhdistelmän, ja lopulta, hyökkääjä pystyy pääsemään käsiksi luottamuksellisiin tietoihin.

Tämän uhan lieventämiseksi suositellaan käyttämään Single Sign-On (SSO) -ratkaisuja yhdessä vaihtoehtoisen tunnistautumisen ratkaisujen kanssa. SSO-ratkaisu tulisi asentaa toimiston työasemiin, joihin työntekijä yhdistää VDI:n kautta tai terminaalipalvelimelle. Lisäksi yrityssovelluksiin kirjautumisen vahvistamiseksi järjestelmä vaatii vaihtoehtoisen tunnistautumistekijän, minkä jälkeen SSO tarjoaa itsenäisesti tarvittavat tunnistetiedot. Näin ollen, vaikka työntekijän työasemalla olisi näppäimistön seurantaohjelma, kirjoitetut käyttäjätunnukset ja salasanat eivät voi tulla kaapatuiksi.

· Kertakäyttöisen salasanan generaattorin kloonaus

On sanomattakin selvää, että vahvat (monivaiheiset) tunnistautumismenetelmät lisäävät merkittävästi vastustuskykyä uhkia vastaan etätyössä. Kuitenkin kaikilla tunnistautumisteknologioilla on merkittäviä eroja sekä soveltuvuudessa että turvallisuudessa.

Nykyiset suositut monivaiheisen todentamisen menetelmät, jotka käyttävät laitteessa luotuja kertakäyttökoodeja tai viesteissä lähetettyjä koodeja, sisältävät merkittäviä haavoittuvuuksia. Jos hyökkääjä saa jatkuvan pääsyn älypuhelimeen, hän voi yrittää saada korotetut oikeudet älypuhelimessa (jailbreaking iOS-laitteille, root Androidille.) Ja jos hyökkääjä onnistuu, hän pystyy kloonaamaan kertakäyttöisen salasanan generaattorin avaimet ja määrittämään sen lähettämään koodeja omaan laitteeseensa.

Tämän riskin lieventämiseksi suositellaan luopumaan kertakäyttöisistä salasanoista ja käyttämään push-autentikointia, joka on nimenomaisesti sidottu laitteeseen eikä toimi hyökkääjän laitteessa.

## Uhkat yritysresurssien saatavuudelle

· Käyttäjätilien etälukitus

Usein verkkopalvelut ovat saatavilla Internetin kautta. Esimerkiksi webmailia voidaan käyttää yrityksen resurssien käyttämiseen.

Joskus postilaatikon nimi on sama kuin verkkotunnuksen käyttäjätunnus. Hakkerit voivat yrittää arvata salasanan suorittamalla voimakkaan hyökkäyksen. Tämän uhan neutraloimiseksi tilin lukitus tulisi ottaa käyttöön usean epäonnistuneen salasanayrityksen jälkeen.

Kuitenkin hyökkääjä voi murtaa salasanoja brute-force-menetelmällä tarkoituksellisesti estääkseen verkkotunnuksen tilin. Tällainen hyökkäys voi halvaannuttaa joitakin liiketoimintaprosesseja.

Jotta tämän uhan vaikutusta voitaisiin osittain neutralisoida, voit käyttää erikoistunutta ratkaisua kaksivaiheiseen tunnistautumiseen (2FA), esimerkiksi kertakäyttöisiä salasanoja. Tässä tapauksessa, vaikka brute-force-yritys tehtäisiin, estettäisiin toinen tunnistautuja, eikä tiliä. Näin ollen työntekijä säilyttäisi kyvyn päästä käsiksi yrityksen resursseihin, vaikkakin vain vaihtoehtoisen yhteyden kautta tai työskennellessään paikallisesti.

· Turvallisuusavainten säilytysvälineen katoaminen tai rikkoutuminen

Etätyöntekijät voivat käyttää digitaalisia sertifikaatteja allekirjoittaakseen asiakirjoja, yhdistääkseen kolmannen osapuolen verkkopalveluihin tai muihin tehtäviin työtehtäviä suorittaessaan. Samanaikaisesti, jos laite (esimerkiksi avaimia säilyttävä muistitikku) katoaa tai hajoaa, ilmenee ongelma sen pikaisesta korvaamisesta. Usein sitä ei voida toteuttaa kohtuullisessa ajassa, erityisesti jos työntekijä sijaitsee kaukana toimistosta.

Uhan neutralisoimiseksi voit käyttää erikoistuneita ratkaisuja, jotka toteuttavat virtuaalisen älykortin, joka ei säilytä avaintietoja irrotettavalla laitteella.

Tässä tapauksessa avaimen tallennus suoritetaan seuraavilla tavoilla:

1) Palvelinpuolella kaikki avainten kanssa suoritettavat toimenpiteet tehdään palvelimella.

2) Erikoismoduuli laitteen sisällä – Trusted Platform Module.

Tällaisia ratkaisuja pidetään vähemmän turvallisina kuin irrotettavia suojattuja medioita, mutta nämä ratkaisut ovat joustavimpia ja sopivimpia kuvailtuun hätätilanteeseen.

Avaimen vaihdon jälkeen virtuaalinen älykortti voidaan poistaa käytöstä. Näin ollen, vaikka avaimen kantaja katoaisi tai rikkoutuisi, yrityksen liiketoimintaprosesseissa ei esiinny katkoksia.

## Toimien, jotka johtivat tapahtumaan, tunnistamatta jättämisen uhkat

· Riidat kriittisen resurssin vikaantuessa

Aina kun etuoikeutetut käyttäjät työskentelevät IT-resurssien parissa, on aina olemassa inhimillisen virheen riski. Heidän toimensa voivat johtaa kriittisen resurssin vikaantumiseen.

Vaikka työskentelisi suoraan organisaation tiloissa, voi olla vaikeaa selvittää, mitä tapahtui ja kuka on vastuussa epäonnistumisesta. Etäkäytön tapauksessa tilanne muuttuu monimutkaisemmaksi. Tällaisten tapausten tutkinta ei ainoastaan vaikuta kielteisesti työympäristöön, kun yritetään syyttää viatonta osapuolta, vaan myös tuhlaa paljon aikaa tuottamattomiin toimiin.

SIEM-ratkaisujen käyttö mahdollistaa todennäköisesti sen, että saat selville, kuka yhdisti resurssiin, mutta on epätodennäköistä, että se pystyy tarkasti määrittämään, kuka on vastuussa useiden samanaikaisten yhteyksien tapauksessa. Myös toimintasarjan, joka johti vikaan, määrittäminen on vaikeaa.

Kuitenkin, kun käytetään Privileged Access Management (PAM) -ratkaisuja, kaikki etuoikeutettujen käyttäjien yhteydet voidaan tallentaa eri muodoissa (video, teksti, kuvakaappaukset, näppäimistön painallukset, siirretyt tiedostot jne.) Myöhemmin näitä lokeja käyttämällä voit nopeasti määrittää, mikä toimintojen sarja johti vikaan ja tunnistaa henkilön, joka on vastuussa tapahtumasta.

· Yritys välttää vastuuta

On tilanteita, kun yrityksessä työskentelee pahantahtoinen sisäpiiriläinen. Hän voi tarkoituksellisesti suorittaa joitakin toimia, jotka voivat johtaa kriittisen resurssin vikaantumiseen tai häiriöön. Itsessään vastuullisen tahon tunnistamisen tehtävä ei ole helppo; kuitenkin käyttämällä PAM-ratkaisuja, voit nopeasti löytää syyllisen.

Kun kiinni jäänyt työntekijä voi sanoa, että hänen salasanansa varastettiin. Ei ole mikään salaisuus, että salasanan todentaminen on erittäin altis erilaisille uhkille, ja itse paljastumisen tosiasia paljastuu usein vasta tapahtuman jälkeen.

Ilmeisesti tällaisessa tilanteessa turvallisuusvirkailijat voivat ajatella, että työntekijä on syytön ja että tapahtunut on vain epäonninen sattuma.

Tämän uhan neutralisoimiseksi suositellaan käyttämään 2FA:ta yhdessä PAM-ratkaisun kanssa. Jos työntekijä todella on pahantahtoinen sisäpiiriläinen, hänen on vaikea välttää vastuuta. Jos työntekijä kuitenkin väittää, että ei ainoastaan hänen salasanansa, vaan myös hänen puhelimensa on varastettu, johon on asennettu kertakäyttöisen salasanan generaattori, häneltä kysytään looginen kysymys: ”Miksi ette välittömästi ilmoittanut turvallisuuspalvelulle tästä?”

## Yhteenveto

Ottaen huomioon lisäuhat, jotka ilmenevät etätyötä tehdessä, on tärkeää pitää mielessä, että tietoturhauhat kehittyvät IT-teknologioiden kehityksen myötä. Hyökkääjät sopeutuvat ja etsivät aina uusia tapoja ansaita enemmän rahaa. Kunnes puolustusjärjestelmät on täysin uudelleenrakennettu uusien todellisuuksien mukaisiksi, kyberrikolliset voivat hyödyntää vanhoja ja uusia heikkouksiasi omiin tarkoituksiinsa.

Nykyään etätyöskentelyn muoto on vakiintunut osaksi elämäämme ja sitä säännellään jopa valtion tasolla joissakin maissa. Tämän seurauksena tietoturva-asiantuntijoiden on harkittava huolellisesti ja kiireettä, missä määrin olemassa olevat suojajärjestelmät ovat valmiita kestämään nykyaikaisia kyberuhkia. Olemme jopa joutuneet alkaa tarkastelemaan asioita, joita emme koskaan kuvitelleet joutuvamme harkitsemaan, kuten ravintolassa syömisen turvallisuusriskejä.