Identiteetinhallinnan kilpajuoksu – Näin selviydyt voittajana
Vääriin käsiin vuotanut käyttäjätunnus on monen kyberturvaiskun lähtölaukaus. Varastettu tunnus on kuin pääsylippu kohdeorganisaation järjestelmiin, joita kartoittamalla kyberturvarikollinen voi helposti suunnitella hyökkäyksensä seuraavia vaiheita.
Identiteetin suojaaminen onkin elintärkeää kyberturvatietoiselle organisaatiolle, sillä nykyaikainen pilvipohjainen IT-infra perustuu nimenomaan käyttäjien luotettavalle tunnistautumiselle.
Identiteettien merkityksen kasvun myötä olemmekin ajautuneet oravanpyörään: verkkorikolliset keksivät tunnusten varastamiseksi mitä innovatiivisempia keinoja, joita vastaan organisaatiot väsymättä puolustautuvat. Ja vauhti sen kuin kiihtyy kierros kierrokselta.
On aika luoda tarkempi katsaus identiteetinhallinnan kilpajuoksun taustoihin ja pohtia, kuinka voisimme kulkea kohti turvallisempaa tulevaisuutta.
Salasana on perinteinen tapa suojata identiteetti – sen vaarana ovat huolimattomat käyttäjät ja kalasteluviestit
Salasanat ovat jo vuosikymmenien ajan toimineet verkkopalveluiden uskollisina portinvartijoina.
Ne suojaavat niin työelämälle elintärkeitä ohjelmistoja ja dataa kuin vapaa-ajalla käytettäviä suoratoistopalveluita, sosiaalisen median tilejä ja monia muita sovelluksia, joita hyödynnämme päivittäin. Tätä nykyä ei ole tavatonta, että yhdellä ihmisellä on tunnukset kymmeniin eri palveluihin, jotka aukeavat eri pituisilla kirjain-, numero- ja merkkiyhdistelmillä.
Salasanojen paljous onkin itsessään ruokkinut niiden pahimpia tietoturvavitsauksia, joista yleisimpiä ovat
- salasanojen kierrätys
- heikot salasanat
- salasanojen muistiin kirjaaminen.
Tietoturvarikollisilla on keinonsa hyödyntää käyttäjien huolimattomuutta erilaisin työkaluin, joiden avulla he voivat murtaa ja myydä eteenpäin jopa miljardeja käyttäjätunnuksia.
Toinen merkittävä uhka salasanoille ovat puolestaan rikollisten tehtailemat kalasteluviestit.
Kaukana ovat ajat, jolloin kalasteluviestin tunnisti kömpelöstä kieliasusta ja kotikutoisuudesta – nykyisin viestit on nimittäin kirjoitettu uskottavalla suomen kielellä, ne näyttävät tulevan esimerkiksi kohteensa esihenkilöltä tai kollegalta ja vaikuttavat muutenkin kaikin puolin luotettavilta. Ei siis ihme, että moni valppaampikin käyttäjä on tullut langenneeksi viesteihin ja luovuttanut tunnuksensa rikollisille.
Monivaiheinen tunnistautuminen tarjoaa ylimääräisen suojakerroksen salasanan lisäksi – sen voi murtaa väsyttämällä
Vastaukseksi salasanojen päätymiselle rikollisiin käsiin on kehitetty monivaiheinen tunnistautuminen (MFA, Multi-Factor Authentication), joka tarjoaa ylimääräisen suojakerroksen perinteiselle salasanan ja käyttäjätunnuksen yhdistelmälle.
MFA-tekniikassa käyttäjä todentaa identiteettinsä useassa eri vaiheessa – yleensä siten, että salasanakirjautumisen lisäksi käyttäjä osoittaa omistavansa esimerkiksi älypuhelimen tai muun laitteen, johon hänelle toimitetaan kirjautumiseen vaadittava varmenne. Yleisiä omistajuuden todentamisen ratkaisuja ovat nykyisin esimerkiksi Microsoft Authenticator -sovellus ja pankkien ID-sovellukset.
Vaikka MFA:ta pidetään yhtenä parhaista ja helpoimmista identiteetin suojaamisen menetelmistä, rikolliset ovat löytäneet keinonsa myös sen murtamiseksi. Yksi tällaisista on sosiaaliseen manipulaatioon perustuva niin kutsuttu MFA Fatigue -tekniikka, jota hyödyntäviä hyökkäyksiä nähtiin useita vuoden 2022 aikana. Tekniikan idea on yksinkertainen:
- Rikollinen hankkii haltuunsa kohdetilin salasanan ja käyttäjätunnuksen.
- Tiliin kohdistetaan loppumattomalta tuntuva MFA-pyyntöjen vyöry tilin omistajan väsyttämiseksi.
- Turhautunut omistaja hyväksyy yhden pyynnöistä, mikä avaa rikolliselle pääsyn tilille.
Joissain tapauksissa rikolliset ovat vielä tehostaneet hyökkäystä soittamalla tilin omistajalle teknisen tuen nimissä ja pyytäneet tätä hyväksymään kirjautumisen vetoamalla esimerkiksi tekniseen häiriöön.
Tietoturva-alalla ei suinkaan ole jääty aseettomaksi väsytystekniikan edessä. Esimerkiksi Microsoft on päivittänyt Authenticator-sovellusta numeroiden täsmäys (number matching) -ominaisuudella, jossa käyttäjän tulee syöttää sovellukseen kirjautumisruudulla näkyvä luku. Näin käyttäjä ei voi hyväksyä mitä tahansa satunnaista kirjautumispyyntöä vaan ainoastaan sen, jonka hän itse on toteuttanut.
Innofactorin kyberturvakonsultit Marcus Söderblom ja Janne Nevalainen kertovat videolla, kuinka tietoturvarikolliset hyödyntävät MFA Fatigue -tekniikkaa ohittaakseen monivaiheisen tunnistautumisen ja päästäkseen käsiksi kohteensa tiliin.
Tietoturvarikollisten vastaus monivaiheiselle tunnistautumiselle: AiTM-hyökkäys
Käyttäjäidentiteettien kissa-hiiri-leikki sai jatkoa, kun rikolliset kehittivät niin kutsutun AiTM- eli Adversary-in-the-middle-hyökkäysmenetelmän.
AiTM perustuu ideaan, jossa yksittäisen salasanan sijaan hyökkääjä varastaa käyttäjän koko kirjautumisistunnon. Kyse on uudenlaisesta kalasteluhyökkäyksestä, jossa käyttäjä harhautetaan kirjautumaan hyökkääjän haluamaan palveluun esimerkiksi huijaussähköpostissa olevan linkin kautta.
Kirjautuminen laukaisee tietoliikenteen ohjautumaan hyökkääjän hallinnoiman järjestelmän kautta, minkä ansiosta hyökkääjä voi kirjautua kohteensa käyttäjätiedoilla tämän hallinnoimaan palveluun. AiTM-hyökkäykset ovat salakavalia, sillä tyypillisesti hyökkäyksen kohteeksi joutunut henkilö ei edes tiedä istuntonsa tulleen varastetuksi: hyökkäyksestä huolimatta itse palvelu toimii nimittäin koko ajan täysin normaalisti.
Yhä yleisemmiksi käyvien AiTM-hyökkäysten torjumiseksi on tärkeää ottaa käyttöön modernit tunnistautumistavat. Erityisesti kriittiset käyttäjätilit (kuten ylläpitotilit ja kriittistä dataa käsittelevät käyttäjät) olisi hyvä suojata niin kutsutuilla Phishing Resistant MFA -tekniikoilla, kuten FIDO2-avaimella Windows Hello for Business -ratkaisulla tai sertifikaattipohjaisella kirjautumisella. Näiden tekniikoiden avulla päätelaitteen ja palveluntarjoajan välille luodaan kryptografinen yhteys, jota ei voi kaapata.
Matka kohti turvallisempaa tulevaisuutta kuljetaan pilvessä
Pilvi-identiteettien yleistymisestä seuraa väistämättä, että niihin myös kohdistuu yhä enemmän tietoturvahyökkäyksiä. Pelkkään salasanaan perustuvat perinteiset ratkaisut eivät enää ole riittävän turvallisia nykyaikaisia uhkia vastaan.
Kuten tietoturvassa yleensäkin, pilvi tarjoaa ratkaisun avaimet tunnuksien suojaamiseksi. Pilvi nimittäin mahdollistaa erilaisille digitaalisille palveluille keskitetysti hoidetun turvallisen infrastruktuurin, joka pystyy ketterästi reagoimaan nopeasti kehittyviin tietoturvauhkiin.
Jos organisaatiosi ei vielä ole alkanut modernisoimaan henkilöstön tunnuksia, nyt olisi korkea aika tarttua toimeen!
LUE E-KIRJA: IDENTITEETIN- JA PÄÄSYNHALLINTA TUO YRITYKSILLE KILPAILUETUA
Lisätietoja
Tagit
Erikoisosaaminen
It-infra loppukäyttäjäpalvelut | |
Käyttäjähallinta | |
Tietoturva |
Teknologia
Microsoft |
Tarjonnan tyyppi
Konsultointi | |
Valmisohjelmisto |
Omat tagit
Innofactor - Asiantuntijat ja yhteyshenkilöt
Innofactor - Muita referenssejä
Innofactor - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Innofactor Oyj - Sales Manager (Data & Analytics)
- Laura - Mobiilikehittäjä, Android
- Laura - Ohjelmistoarkkitehti, Tampere/Oulu
- Laura - Development Team Manager, Sports Games
- Taito United Oy - Senior Full Stack -kehittäjä
- Webscale Oy - Head of Sales, Cloud Services
- Laura - Hankinta-asiantuntija, tietohallinto
Premium-asiakkaiden viimeisimmät referenssit
- Digiteam Oy - Verkkokaupan toteutus Apollokaihdin.fi
- Digiteam Oy - Kattokeskuksen sivut ykköseksi Googlessa
- Digiteam Oy - Kokonaisvaltainen digimarkkinoinnin kumppanuus – Case Tradehit
- SD Worx - Kehitystyö SD Worxin kanssa takaa Clas Ohlsonille parhaat palkanmaksun prosessit kasvun tiellä
- Digiteam Oy - Case Esperi Care Oy: Ketterä kumppanuus vei Esperin verkkosivu-uudistuksen maaliin sujuvasti ja aikataulussa
- Kisko Labs Oy - Howspace Hub - Mukautuva oppimisen hallintajärjestelmä kasvaviin oppimisalustavaatimuksiin
- Kisko Labs Oy - Sanoma Pro: Multimediasisältöjen hallinnan uudistaminen
Tapahtumat & webinaarit
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
- 27.11.2024 - Digitaalisen asiakaskokemuksen uusi aikakausi
- 28.11.2024 - Webinaari: Keskity myyntityön laatuun!
- 28.11.2024 - Copilot-webinaari – Mielekkäämpää tietotyötä turvallisesti
- 04.12.2024 - Kuinka oikea matka- ja kululaskujärjestelmä tehostaa prosesseja?
- 05.12.2024 - Green ICT VICTIS -hankkeen kick off -tilaisuus
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
Premium-asiakkaiden viimeisimmät bloggaukset
- Enter SystemSolutions Oy - Enter Arkistointi
- Digiteam Oy - WordPressin kehitys ja viimeisimmät uudistukset
- Kisko Labs Oy - Heroku: Millaisiin projekteihin se sopii ja mitkä ovat sen todelliset hyödyt ja haitat?
- Zimple Oy - Pipedrive vai Hubspot? Kumpi kannattaa valita?
- SC Software Oy - Jatkuvat palvelut – asiakaslähtöistä kumppanuutta projekteista ylläpitoon
- Timeless Technology - Ohjelmoitavat logiikat (PLC): Ratkaisevat työkalut automaatioon ControlByWebiltä.
- Kisko Labs Oy - Heroku: Ohjelmistokehittäjän ykköstyökalu skaalautuvien sovellusten rakentamiseen
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |