Trace Id is missing

Identiteetti on uusi taistelukenttä

Lataa
Jaa
Mies ja nainen istuvat pöydän ääressä ja käyttävät kannettavaa tietokonetta.

Cyber Signals Issue 1: Hanki tietoja kehittyvistä kyberuhkista ja vaiheista organisaatiosi parempaan suojaamiseen.

Monien organisaatioiden suojausprotokollien ja niiden kohtaamien uhkien välillä on vaarallinen ristiriita. Vaikka hyökkääjät yrittävät myös tunkeutua verkkoihin, heidän suosikkitaktiikkansa on paljon tätä yksinkertaisempi: heikkojen kirjautumissalasanojen arvaaminen. Monimenetelmäisen todentamisen kaltaiset perustoimet torjuvat 98 % hyökkäyksistä, mutta organisaatioista vain 20 prosenttia käyttää niitä täysin (Microsoftin digitaalisen suojauksen raportti, 2021).

Issue 1 kertoo tämän hetken suojaustrendeistä ja Microsoftin tutkijoiden ja asiantuntijoiden suosituksista, mukaan lukien seuraavat:

  • Kuka  luottaa salasana- ja identiteettipohjaisiin hyökkäyksiin.
  • Miten  hyökkäyksiä vastaan tulee toimia, mukaan lukien päätepiste-, sähköposti- ja identiteettistrategiat.
  • Milloin  eri suojaustoimia tulee priorisoida.
  • Missä  kiristysohjelmat murtautuvat verkkoon ja lisääntyvät ja miten pysäyttää ne.
  • Miksi  identiteettien suojaaminen on edelleen suurin huolenaihe ja samalla paras mahdollisuus parantaa tietoturvaa.

Valtioiden tukemat toimijat tehostavat pyrkimyksiään identiteetin rakennuspalikoiden nappaamiseen

Valtioiden tukemien toimijoiden kyberhyökkäykset ovat nousussa. Laajoista resursseistaan huolimatta hyökkääjät usein käyttävät yksinkertaisia taktiikoita helposti arvattavien salasanojen varastamiseksi. Näin toimimalla he saavat nopean ja helpon pääsyn asiakkaiden tileihin. Yrityksiin kohdistuvissa hyökkäyksissä organisaation verkkoon tunkeutuminen antaa valtion tukemille toimijoille jalansijan, jonka avulla he voivat liikkua pystysuuntaisesti samankaltaisissa käyttäjissä ja resursseissa tai vaakasuuntaisesti hankkimalla arvokkaampien tunnistetietojen ja resurssien käyttöoikeuden.

Kohdennettu verkkourkinta, käyttäjän manipulointihyökkäykset ja suuren mittakaavan salasanahyökkäykset ovat valtion tukemien toimijoiden perustaktiikoita, joilla pyritään varastamaan tai arvaamaan salasanoja. Microsoft saa tietoja hyökkääjien taidoista ja onnistumisista havainnoimalla, mitä taktiikoita ja tekniikoita he käyttävät onnistuneesti. Jos käyttäjän tunnistetietoja hallitaan huonosti tai ne jätetään haavoittuvaisiksi ilman olennaisia suojaustoimia, kuten monimenetelmäistä todentamista (MFS) ja salasanattomia ominaisuuksia, valtioiden tukemat toimijat tulevat käyttämään samoja helppoja taktiikoita.

Tarvetta pakottaa MFS-käyttöönotto tai omaksua salasanattomuus ei voi korostaa liikaa, koska identiteettipohjaisten hyökkäysten yksinkertaisuus ja edullisuus tekee niistä toimijoille käteviä ja tehokkaita. Vaikka MFA ei ole ainoa käyttäjätietojen ja käyttöoikeuksien hallintatyökalu, jota organisaatioiden tulisi käyttää, se pidättelee hyökkäyksiä tehokkaasti.

Tunnistetietojen hyväksikäyttö on NOBELIUMin, Venäjään yhdistetyn valtion tukeman toimijan, toimintamalli. Salasanahyökkäyksiin luottavat kuitenkin myös muut hyökkääjät, kuten Iraniin yhdistetty DEV 0343. DEV-0343:n toimintaa on havaittu erilaisissa puolustusalan yrityksissä, joissa valmistetaan armeijatason tutkia, lennokkiteknologiaa, satelliittijärjestelmiä ja hätäpalveluiden viestintäjärjestelmiä. Toimintaa on kohdistettu myös alueellisiin satamiin Persianlahdella sekä useisiin Lähi-idän markkinoilla toimiviin laiva- ja rahtiliikenteen yrityksiin.
Erittely Iranin aloittamista identiteettipohjaisista kyberhyökkäyksistä
Iranin toimesta eniten hyökkäyksiä kohdistettiin heinäkuun 2020 ja kesäkuun 2021 välillä Yhdysvaltoihin (49 %), Israeliin (24 %) ja Saudi-Arabiaan (15 %). Lue lisää tästä kuvasta täyden raportin sivulla 4

Organisaation tulisi tehdä seuraavat toimet:

Monimenetelmäisen todentamisen käyttöönotto: Näin lievennetään riskiä siitä, että salasanat päätyvät vääriin käsiin. Vieläkin parempi olisi, jos salasanoista hankkiuduttaisiin täysin eroon salasanattoman MFA:n avulla.
Tilien etuoikeuksien valvonta: Etuoikeutetun käytön tilit muuttuvat kaappauksen yhteydessä tehokkaaksi aseeksi, jolla hyökkääjät pääsevät käyttämään verkkoja ja resursseja vieläkin laajemmin. Suojaustiimien tulee valvoa tilien oikeuksia säännöllisesti ja käyttää periaatetta vähäisimmistä oikeuksista, joilla työntekijät saavat tehtävänsä hoidettua.
Tarkista, vahvista ja valvo kaikkia vuokralaisen järjestelmänvalvojatilejä: Suojaustiimien tulee tarkistaa perusteellisesti kaikki delegoituihin järjestelmänvalvojan oikeuksiin liittyvät vuokralaisen järjestelmänvalvojakäyttäjät tai -tilit varmistaakseen käyttäjien ja toimintojen aitouden. Käyttämättömät delegoidut järjestelmänvalvojan oikeudet tulee sitten poistaa käytöstä tai poistaa kokonaan.
Määritä ja pakota suojauksen perustaso riskien pienentämiseksi: Valtioiden tukemat toimijat ovat pitkäjänteisiä, ja heillä on tarvittavat varat, tahtotila ja mittakaava uusien hyökkäysstrategioiden ja -tekniikoiden kehittämiseen. Jokainen resurssien puutteen tai byrokratian vuoksi lykätty verkon vahvistamishanke hyödyttää heitä. Suojaustiimien tulisi priorisoida Zero Trust -suojausmallin mukaisten käytäntöjen, kuten MFA:n ja salasanattomien päivitysten, toteuttaminen. Toimet voi aloittaa etuoikeutetuista tileistä nopean suojauksen saamiseksi ja laajentaa sitten vaiheittain ja jatkuvasti.

Kiristysohjelmat hallitsevat ajatusmaailmaa, mutta vain muutama tyyppi dominoi

Hallitseva narratiivi vaikuttaa olevan, että puolustajien kyvyt ylittäviä uusia kiristysohjelmauhkia on valtava määrä. Microsoftin analyysi osoittaa tämän kuitenkin vääräksi. On olemassa myös käsitys, että tietyt kiristysohjelmaryhmät muodostavat yhtenäisen kokonaisuuden, mikä ei myöskään pidä paikkaansa. Olemassa on kyberrikollisten talousjärjestelmä, jossa eri toimijat kaupallistetuissa hyökkäysketjuissa tekevät tietoisia päätöksiä. Heitä ohjaa talousmalli, jossa tuotto maksimoidaan sen perusteella, miten heistä kukin hyödyntää tietoa, jota he pääsevät käyttämään. Alla oleva kaavio näyttää, miten eri ryhmät hyötyvät useista kyberhyökkäysstrategioista ja tietovuodoista saaduista tiedoista.

Useiden tietoverkkorikospalveluiden keskimääräiset hinnat
Myytävien tietoverkkorikospalveluiden keskimääräiset hinnat. Palkkahyökkääjät maksavat vähintään USD$250 USD työtä kohti. Kiristysohjelmapaketit maksavat USD$66 USD tai 30 % tuotosta. Altistuneet laitteet maksavat vähintään 13 senttiä PC:tä kohden ja 82 senttiä mobiililaitetta kohden. Palkattu kohdennettu verkkourkinta vaihtelee välillä USD$100–USD$1,000 USD. Varastetut käyttäjänimen ja salasanan parit maksavat keskimäärin vähintään 97 senttiä tuhatta kohden. Lue lisää tästä kuvasta täyden raportin sivulla 5  

Huolimatta siitä, miten paljon kiristysohjelmia liikkuu tai mitä tyyppejä on mukana, loppujen lopuksi merkitystä on kolmella sisääntulovektorilla: etätyöpöytäprotokollan (RDP) väsytys, haavoittuvaiset Internet-käyttöiset järjestelmät ja tietojen kalastelu. Kaikkia kolmea vektoria voi lieventää kunnollisella salasanasuojauksella, käyttäjätietojen hallinnalla ja ohjelmistopäivityksillä kattavien suojauksen ja yhteensopivuuden työkalujen lisäksi. Kiristysohjelmatyypistä voi tulla menestyvä ainoastaan silloin, kun se saa tunnistetietojen käyttöoikeuden ja pääsee leviämään. Tämän jälkeen myös tunnettu tyyppi voi saada paljon vahinkoa aikaan.

Kaavio uhkaavista toimijoista ensimmäisestä käytöstä sivuttaiseen liikkeeseen järjestelmässä
Uhkaavan toimijan toimintapolku järjestelmään murtautumisen jälkeen ensimmäisestä käyttöpisteestä tunnistetietojen varastamiseen ja sivuttaiseen liikkeeseen järjestelmässä. Seuraa jatkuvaa polku tilien sieppaamiseksi ja kiristysohjelmatietojen saamiseksi. Lue lisää tästä kuvasta täyden raportin sivulla 5

Suojaustiimien tulisi tehdä seuraavat toimet:

Sen ymmärtäminen, että kiristysohjelma menestyy oletusarvoisten tai vaarantuneiden tunnistetietojen ansiosta: Tästä syystä suojaustiimien tulisi tehostaa suojaustoimia, kuten salasanattoman MFA:n toteuttamista kaikille käyttäjätileille sekä johtajien, järjestelmänvalvojien ja muiden etuoikeutettujen roolien priorisointia.
Paljastavien poikkeamien havaitseminen ajoissa: Aikaiset kirjautumiset, tiedostojen liike ja muut kiristysohjelmia syöttävät toiminnot voivat vaikuttaa tavanomaisilta. Tästä huolimatta tiimien on valvottava poikkeamia ja toimittava niiden suhteen nopeasti.
Kiristysohjelmiin vastaamisen suunnitelman luominen ja palautusharjoitusten pitäminen: Elämme pilvipalvelussa synkronoinnin ja jakamisen aikakaudella, mutta tietojen kopiot ovat eri asia kuin kokonaiset IT-järjestelmät ja tietokannat. Tiimien tulee visualisoida ja harjoitella, miltä täysi palauttaminen näyttää.
Hälytysten hallinta ja nopea lieventäminen: Vaikka kaikki pelkäävät kiristysohjelmahyökkäyksiä, suojaustiimien ensisijaisen fokuksen tulisi olla sellaisten heikkojen suojausmääritysten vahvistamisessa, jotka sallivat hyökkäyksen tapahtumisen. Heidän tulisi hallita suojausmäärityksiä siten, että hälytyksiin ja tunnistamisiin reagoidaan kunnolla.
Suojauksen jakauman käyrä näyttää, miten perustason suojaushygienia auttaa torjumaan 98 % hyökkäyksistä
Torju 98 % hyökkäyksistä virustorjunnan, vähiten etuoikeutetun käytön periaatteen, monimenetelmäisen todentamisen, versioiden päivittämisen ja tietojen suojaamisen avulla. Normaalijakauman loput 2 % sisältävät poikkeavat hyökkäykset. Lue lisää tästä kuvasta täyden raportin sivulla 5
Saat lisäohjeita identiteetin suojaamiseen Microsoftin Principal Threat Intelligence Leadilta, Christopher Glyerilta .

Tietoja saadaan ja uhkia estetään yli 24 biljoonan päivittäisen signaalin avulla

Päätepisteuhat:
Microsoft Defender for Endpoint esti yli 9,6 miljardia yritysten ja kuluttajien asiakaslaitteisiin kohdistunutta haittaohjelmauhkaa tammi-joulukuussa 2021.
Sähköpostiuhat:
Microsoft Defender for Office 365 esti yli 35,7 miljardia yritysten ja kuluttajien asiakaskoneisiin kohdistunutta tietojenkalastelu- ja muuta haitallista sähköpostia tammi-joulukuussa 2021.
Identiteettiuhat:
Microsoft (Azure Active Directory) havaitsi ja esti yli 25,6 miljardia yritystä kaapata yritysten asiakastilejä varastettujen salasanojen väsytystaktiikalla tammi-joulukuussa 2021.

Metodologia: Tilannekuvatietoja varten Microsoft-ympäristöt, kuten Defender ja Azure Active Directory, tarjosivat anonymisoitua dataa uhkatoiminnasta. Toimintaan kuuluivat kirjautumisyritykset väsytystaktiikalla, yrityksiin ja kuluttajiin kohdistuneet tietojenkalastelu- ja muut haitalliset sähköpostit sekä haittaohjelmahyökkäykset tammi-joulukuussa 2021. Lisätietoa saatiin 24 biljoonasta päivittäisestä turvallisuussignaalista, jotka on kerätty kaikesta Microsoftin toiminnasta, mukaan lukien pilvi, päätepisteet ja älykäs reuna. Vahva todentamisdata yhdistää MFA:n ja salasanattoman suojauksen.

Identiteetti Kiristysohjelmat Valtioiden tukemat

Aiheeseen liittyviä artikkeleita

Cyber Signals Issue 2: Extortion Economics

Kuuntele etulinjan asiantuntijoiden mielipiteitä palveluina tarjottavien kiristysohjelmien kehityksestä. Ohjelmista ja kuormituksista laitonta pääsyä kauppaaviin kyberrikollisiin ja kumppaneihin: lue lisätietoja kyberrikollisten suosimista työkaluista, taktiikoista ja kohteista sekä vinkkejä organisaatiosi suojaamiseen.
Lue lisää

Defending Ukraine: Early Lessons from the Cyber War

Viimeisimmät havainnot Venäjän ja Ukrainan väliseen sotaan liittyvästä uhkatiedustelusta ja johtopäätökset sen neljältä ensimmäiseltä kuukaudelta vahvistavat tarvetta jatkuviin sekä uusiin investointeihin teknologiaan, tietoihin ja kumppanuuksiin hallitusten, yritysten, kansalaisjärjestöjen sekä yliopistojen tukemiseksi.
Lue lisää

Asiantuntijan profiili: Christopher Glyer

Christopher Glyer työskentelee Microsoft Threat Intelligence Centerissä (MSTIC) Principal Threat Intelligence Lead -tehtävässä, jossa hän keskittyy erityisesti kiristysohjelmiin. Hän on osa tiimiä, joka tutkii, miten kehittyneimmät uhkaavat toimijat tunkeutuvat järjestelmiin ja hyödyntävät niitä.
Lue lisää