Siirry pääsisältöön
Andrew Heller, markkinointipäällikkö

Sadoissa Laresin ja Damovon toteuttamissa projekteissa samat perusongelmat toistuvat yhä uudelleen, riippumatta siitä, onko kyseessä pääasiassa paikallinen, pilvipohjainen vai hybridiympäristö:

  • Heikot salasanat ja tehottomat salasanakäytännöt
  • Herkän tiedon epävarma käsittely ja puutteellinen tietohallinto
  • Verkon erottelu on riittämätöntä

Myös virheelliset asetukset ja korjaamattomat haavoittuvuudet ovat yleisiä, mutta nämä kolme aluetta muodostavat jatkuvasti perustan kaikkein tuhoisimmille hyökkäysreiteille.

Heikot salasanat: monien hyökkäysten lähtökohta

Heikot salasanat ovat edelleen yksi luotettavimmista tavoista päästä käsiksi yrityksen resursseihin, Windows-toimialueista pilvisovelluksiin ja kaikkeen siltä väliltä. Ulkopuolisten salasanasuihkutusten kautta paljastuneet tunnistetiedot tai toimialuehyökkäyksissä murretut hajautusarvot ovat edelleen yleisimpiä löydöksiä.

Salasanojen uudelleenkäyttö on läheisesti tähän liittyvä ongelma. Yhden tunnistetietojen paljastuminen voi avata useita ovia, jos samaa salasanaa käytetään VPN-yhteyksissä, sähköpostissa, SaaS-palveluissa ja sisäisissä järjestelmissä. Monet ei-teknisissä tehtävissä toimivat käyttäjät eivät täysin ymmärrä, miksi vahvat ja yksilölliset salasanat ovat tärkeitä tai kuinka nopeasti yksi salasana voidaan hyödyntää pahantahtoisesti, kun se on paljastunut.

Hyökkääjän tyypillinen toimintatapa:

  • Käytä OSINT-tietoja ja tietomurtoihin liittyviä tietoja löytääksesi salasanat, jotka ovat jo paljastuneet tietokantakopioissa ja aiemmissa tietoturvaloukkauksissa.
  • Määritä organisaation todennäköiset nimimallit: yritysnimi123, kausisanoja yhdistettynä vuosilukuihin tai ennustettavia sanakirjasanoja, joiden perässä on numeroita.
  • Suorita tunnistetietojen täyttöhyökkäyksiä ja salasanasuihkutusta organisaation käyttämiin portaaleihin ja palveluihin, kunnes pääset sisään.

Heikkojen salasanojen torjuminen on helpommin sanottu kuin tehty. Käyttäjät valitsevat usein salasanoja, jotka he pystyvät muistamaan, vaikka ne olisivatkin helppoja arvata. Yleisellä tasolla tehokkaita keinoja ovat muun muassa:

  • Otetaan käyttöön salasanojen estolistat ja kiellettyjen sanojen luettelot, jotta yleiset ja helposti arvattavat salasanat hylätään.
  • Salasanojen käyttöä ja käytäntöjä tarkastetaan säännöllisesti huonojen käytäntöjen havaitsemiseksi.
  • Keskitytään käyttäjien valistukseen ja positiiviseen vahvistamiseen pelkän rangaistuksellisen valvonnan sijaan, jotta ihmiset ymmärtävät huonojen salasanakäytäntöjen seuraukset.
  • Hybridiympäristöissä yleisten salasanojen käytön vähentäminen teknisillä suojausratkaisuilla, kuten Microsoft Entra Password Protection -palvelulla ja vastaavilla palveluilla.

Tietohallinto: hyökkääjät pitävät tietoja kullanarvoisina

Heikkojen salasanojen ohella puutteellinen tietohallinto on yksi hyökkääjien suurimmista avaintekijöistä. Liian avoin tiedon jakaminen LinkedInissä, GitHubissa ja muissa kanavissa voi paljastaa sisäisiä järjestelmiä, asetuksia ja tunnistetietoja. Verkoston sisällä huolimaton asiakirjojen ja tiedostojen tallennuskäytäntö antaa hyökkääjille usein kaiken tarvittavan hyökkäyksen laajentamiseen.

Heikko tietohallinto johtuu yleensä tottumuksista ja mukavuussyistä: järjestelmänvalvojat ja käyttäjät hajottavat arkaluonteisia tietoja ympäri SharePointia, tiedostojakoja, komentosarjoja ja taulukoita, koska se on sillä hetkellä helppoa. Ajan myötä tämä luo tilanteen, jossa lähes kuka tahansa voi löytää jotain hyödyllistä, jos tietää mitä etsiä.

SharePoint

SharePointista tulee usein runsas lähde käyttäjätunnuksille ja arkaluontoisille asetuksille. Kun hyökkääjät ovat saaneet jalansijaa ja käsiinsä kelvolliset tunnukset, he voivat etsiä termejä kuten ”password”, ”passwd”, ”pwd”, ”credential” ja vastaavia muunnelmia. Ohje- ja asetustiedostot sisältävät usein kiinteästi koodattuja salasanoja tai yhteysmerkkijonoja, joilla pääsee käsiksi muihin järjestelmiin.

Hybridiympäristöt lisäävät tätä riskiä. Kun yhä useammat asiakirjat, tunnistetiedot ja määritystiedot siirretään pilvipohjaisille yhteistyöalustoille, huonosti hallinnoidut SharePoint-sivustot ja vastaavat palvelut muodostavat helpon reitin laajennettujen käyttöoikeuksien saamiseen.

Tiedostojen jakaminen

Windows-tiedostojakoissa on usein vuosien aikana kertyneitä tietoja. Suurimmat riskit liittyvät seuraaviin seikkoihin:

  • Liian sallivat käyttöoikeudet jaetulle kansiolle
  • Pysyvyyttä ja siivousta koskevien käytäntöjen puuttuminen
  • Skriptit, asetustiedostot ja taulukot, joihin on tallennettu aktiivisia tunnistetietoja

Snafflerin kaltaiset työkalut on kehitetty nimenomaan tämän tilanteen hyödyntämiseksi. Ne kartoittavat Active Directorysta löytyvät tietokoneet ja jaetut resurssit, luettelevat tiedostot ja tunnistavat käyttötottumusten sekä säännöllisten lausekkeiden avulla ”kiinnostavaa” tietoa, kuten tunnistetietoja, avaimia ja konfiguraatiosalaisuuksia. Taulukkolaskentaohjelmat ovat erityisen yleisiä tunnistetietojen lähteitä, sillä käyttäjät käyttävät niitä epävirallisina salasananhallintaohjelmina.

Kuinka omaksua parempi toimintatapa

Tietohallinnon parantaminen on osittain toimintaperiaatteiden, osittain teknisten hallintakeinojen ja osittain kulttuurimuutoksen kysymys:

  • Laaditaan selkeät ohjeet, joissa kielletään salasanojen tallentaminen asiakirjoihin ja taulukoihin aina kun se on mahdollista.
  • Rajoita arkaluontoisten tiedostojen jakaminen tiettyihin hakemistoihin, joihin on myönnetty mahdollisimman vähäiset käyttöoikeudet, ja tarkista säännöllisesti, kuka pääsee mihin, etenkin arvokkaiden järjestelmänvalvojan jakamien resurssien osalta.
  • Seuraa arvokkaiden tiedostojen jakojen epätavallisia käyttökuvioita, kuten tilanteita, joissa tavallinen käyttäjä lukee yhtäkkiä tuhansia tiedostoja (esimerkiksi käyttämällä Windowsin SACL-oikeuksia ja tapahtumatunnusta 5145 tiedostojen jakamisen yksityiskohtaiseen valvontaan).
  • Uudista ylläpito- ja automaatioskriptejä siten, että niissä vältetään tunnistetietojen koodaamista suoraan koodiin, ja käytä sen sijaan turvallisia salasanavarastoja, sovellusrajapintoja (API) tai hallinnoituja identiteettejä, jos ne ovat käytettävissä.
  • Jos tunnistetietoja on pakko tallentaa, varmista, että ne on tarkoitettu vain tiettyyn käyttötarkoitukseen, että ne on suojattu asianmukaisesti ja että niiden käyttöä valvotaan.

Hyökkääjillä on laaja valikoima automatisoituja työkaluja käytettävissään, joten tietoturvavastaavien tulisi osata käyttää samoja työkaluja havaitsemisen ja korjaamisen puutteiden paikkaamiseen. Snafflerin kaltaisia indeksointirobotteja tai vastaavia menetelmiä voidaan säätää etsimään tiettyjä tiedostotyyppejä tai kuvioita, mikä auttaa tietoturvatiimejä löytämään ja korjaamaan ongelmat ennen hyökkääjiä.

Verkkojen erottelun puute: helpottaa sivuttaisliikkumista

Verkon riittämätön eriyttäminen on toinen toistuva heikkous, etenkin vähemmän kehittyneissä ympäristöissä. Huonosti segmentoitujen verkkojen vuoksi hyökkäyskohteiden määrä kasvaa ja sivuttaisliikkuminen helpottuu huomattavasti.

Oikein eristetyssä verkossa:

  • Palvelujen julkisuus on rajoitettu minimiin.
  • Järjestelmät on jaoteltu segmentteihin niiden käyttötarkoituksen ja tietoturvavaatimusten mukaan.
  • Yhden alueen vaarantuminen ei automaattisesti vaaranna kaikkea muuta.

Tasaisissa tai heikosti segmentoituneissa verkoissa hyökkääjät voivat:

  • Suorita ARP-myrkytys ja muita välimieshyökkäyksiä.
  • Sieppaa verkkopalvelut (SQL, HTTP, RDP, VoIP, SMB jne.) ja ulkoisiin kohteisiin suuntautuvan liikenteen.
  • Varasta tunnistetiedot ja käytä hyväksi heikkoja todennusprotokollia tai alenna niiden suojaustasoa.
  • Käynnistää laajamittaisia asiakaspuolen hyökkäyksiä ja levittää nopeasti haittaohjelmia, kuten kiristysohjelmia.

Vaikka järjestelmään olisi asennettu EDR-ratkaisuja (Endpoint Detection and Response), virheelliset asetukset, palomuurin aukot ja puutteellinen segmentointi jättävät herkät järjestelmät usein tarpeettomasti alttiiksi hyökkäyksille. Kun hyökkääjä on saanut jalansijaa, tietomurron hillitseminen vaikeutuu, ja hyökkääjillä on aikaa luoda useita pääsyreittejä ja pysyvyysmekanismeja.

Heikkouksien yhdisteleminen todellisiksi hyökkäysreiteiksi

Kun heikot salasanat, puutteellinen tietohallinto ja verkkojen erottelun puute yhdistyvät, hyökkääjillä on käytettävissään useita toisiinsa limittyviä keinoja menestyä. Vaarantuneet tunnistetiedot mahdollistavat alkuperäisen pääsyn, tiedostojakoihin tai SharePoint-asemalle tallennetut tunnistetiedot ja konfiguraatiotiedot mahdollistavat oikeuksien laajentamisen, ja tasaiset verkot tekevät sivuttaisliikkumisen helpoksi. Tämä on yksi syy siihen, miksi kiristysohjelmat ja vastaavat hyökkäykset ovat edelleen niin tehokkaita kehittymättömissä ympäristöissä.

Nämä mallit pätevät sekä paikallisissa että pilviympäristöissä. Azure ja muut pilvialustat vähentävät riskejä noudattamalla vakiintuneita käytäntöjä, mutta konfigurointivirheet, tunnistautumisen heikkoudet ja liian avokätinen tietojen jakaminen voivat silti luoda hyödyntämiskelpoisia reittejä. Lares ylläpitää julkisia hyökkäyspaketteja ja tutkimustietoa, joiden avulla sekä testaajat että puolustajat voivat ymmärtää näitä malleja hybridiympäristöissä.

Ympäristön tarkastelu alhaalta ylöspäin

Käytännöllinen tapa vähentää näitä hyökkäysreittejä on tarkastella organisaation tietoturvatilannetta alhaalta ylöspäin:

  • Järjestäkää henkilöstölle tietoturvatietoisuuskoulutusta, jossa keskitytään erityisesti salasanahallintaan, tietojen käsittelyyn ja riskialttiiden toimintatapojen tunnistamiseen.
  • Tarkista verkon rakenne ja suunnittele järkevä segmentointi erityisesti kriittisten järjestelmien ja hallintaliittymien ympärille.
  • Tarkista Windows- ja hybridipilvipalvelut heikkojen tietohallintokäytäntöjen varalta ja tukea käytäntöjä tehokkailla teknisillä suojatoimilla.
  • Aseta ennaltaehkäisy etusijalle aina kun mahdollista, ja varmista, että jos ennaltaehkäisy ei ole realistista, havaitsemis- ja reagointimenettelyt on sovitettu yhteen ja testattu säännöllisesti.

Miten Damovo ja Lares voivat auttaa

Damovo auttaa organisaatioita suunnittelemaan, integroimaan ja ylläpitämään turvallisia verkkoja, yhteistyöalustoja ja pilviympäristöjä painottaen erityisesti näkyvyyttä ja hallintaa. Damovon hyökkäystestausyksikkönä toimiva Lares testaa näitä ympäristöjä samalla tavalla kuin todelliset hyökkääjät, paljastaen heikot salasanat, puutteellisen tietohallinnon ja segmentointiongelmat tunkeutumistestien, red teaming ja sisäisten uhkien arviointien avulla.

Yhdessä Damovo ja Lares voivat auttaa sinua:

  • Selvitä, mitä todellisia reittejä hyökkääjät voisivat käyttää ympäristösi vaarantamiseen.
  • Aseta etusijalle korjaustoimenpiteet identiteetin hallinnan, tietohallinnon ja verkon suunnittelun osalta.
  • Varmista parannusten toimivuus suorittamalla vastakkainasettelutestausta, joka perustuu uhkaraportteihin ja viitekehyksiin, kuten ENISA Threat Landscape ja NIST CSF.

Jos haluat selvittää, mitkä ympäristösi heikkoudet uhkaavat eniten johtaa järjestelmän täydelliseen vaarantumiseen, ja miten nämä riskit voidaan käytännössä torjua, Damovo auttaa sinua toteuttamaan juuri sinun tilanteeseesi räätälöidyn arviointimenetelmän.

keskustele asiantuntijoidemme kanssa
Liity yli 10 000 muun käyttäjän joukkoon Damovon sähköpostilistalle ja saat uusimmat tiedot ja eksklusiivista sisältöä.
Tilaa nyt