Nyky-yhteiskunta on siirtynyt digitaaliseen aikakauteen, mikä on tuonut mukanaan lukuisia mahdollisuuksia ja etuja. Samalla se kuitenkin avaa oven myös erilaisille uhille, erityisesti kyberrikollisuudelle. Yritykset, organisaatiot ja yksilöt ovat alttiina tietomurroille, tietojenkalastelulle ja muille kyberhyökkäyksille, jotka voivat aiheuttaa merkittävää vahinkoa ja taloudellisia menetyksiä. Varsinkin ylläpitotilit ovat erityisen haluttuja kohteita koska ne tarjoavat hyökkääjälle valtavasti mahdollisuuksia hyökkäyksen aikana. Ylläpitotilien turvallisuuteen täytyykin kiinnittää erityistä huomiota
Mikä on ylläpitotili ja miksi se on tärkeä?
Ylläpitotili viittaa käyttäjätiliin, jolla on erityisiä oikeuksia ja valtuuksia järjestelmässä tai palvelussa. Tällaisia tilejä käytetään usein ylläpitämään ja hallinnoimaan teknisiä järjestelmiä, tietokantoja, verkkosivustoja ja muita tärkeitä infrastruktuureja. Näillä tileillä on laaja pääsy tärkeisiin resursseihin, ja siksi niiden tietoturva on ensisijaisen tärkeää.
Vaikka ylläpitotunnusten suojaamisen tärkeydestä on puhuttu jo vuosia, käytännön toimet laahaavat perässä. Microsoftin Digital Defense Reportin mukaan 88% tutkituissa ransomware -hyökkäyksissä kohdeorganisaatiossa ei noudatettu tunnusten osalta suositeltavia toimia tai ylläpitotunnuksilla ei ollut MFA:ta käytössä.
Katsotaan muutamia toimenpiteitä joilla ylläpitotien turvallisuutta voidaan parantaa. Esimerkissä käytetään Microsoft 365 -tunnuksien suojaamista mutta soveltuvin osin listaa voi käyttää myös muissa järjestelmissä.
1. Käytä erillistä tiliä ylläpitotehtäviin
Harva meistä tarvitsee ylläpitäjän oikeuksia 24/7. Ylläpitäjän oikeudet kannattaakin eriyttää erilliselle tunnukselle jota käytetään vain tarvittaessa. Luo itsellesi tunnukset eri rooleille: henkilökohtainen tilisi on päivittäiseen käyttöön kuten dokumenttien muokkaamiseen, sähköpostin lukemiseen ja uutisten selaamiseen. Ylläpitotunnuksilla kirjaudutaan järjestelmään vain silloin kun sille on perusteltua tarvetta.
2. Rajoita käyttöoikeuksia
3. Pidä ylläpitotilit pilvessä
Monessa organisaatiossa on edelleen käytössä paikallinen Active Directory jolloin on suuri todennäköisyys että myös Microsoft 365 ylläpitoon käytetyt tunnukset synkronoidaan pilveen paikallisesta Active Directorysta. Tässä kuitenkin piilee vaara: Active Directoryn ollessa hyökkäyksen alkuperäinen kohde hyökkääjälle on melkoinen lottovoitto löytää pilvihallintaan käytetty ylläpitotili jolla hän voi edistää hyökkäystään uudelle alustalle. Tästä syystä onkin syytä pitää pilvihallintaan käytetyt tunnukset siellä missä ne kuuluvatkin olla, pilvessä.
4. Käytä vahvoja salasanoja
Tämän pitäisi olla itsestäänselvyys mutta sanotaan se kuitenkin: Ylläpitotilien salasanojen täytyy olla erityisen hyvin suojattuja riittävän pitkällä ja monimutkaisella salasanalla joka ei ole helposti arvattavissa.
5. Ota MFA käyttöön
Vaikka salasana olisikin todella pitkä ja monimutkainen siinä on perustavanlaatuinen ongelma: salasana on varastettavissa tai huijattavissa käyttäjältä esimerkiksi phishing-sivuston kautta. MFA:n käyttöönotto onkin äärimmäisen tärkeä toimenpide varsinkin ylläpitotunnuksien kohdalla.
6. Käytä phishing resistant -tunnistautumista
Tehokkuudestaan huolimatta MFA ei ole taikaluoti vaan myös sen voi ohittaa. Nykyisin hyökkäyksissä käytetäänkin yhä useammin AiTM (Adversary in the middle) -hyökkäyksiä jossa käyttäjän istunto varastetaan MFA-tietoineen kaikkineen. Tästä syystä ylläpitotilit onkin syytä suojata Phishing resistant tunnistautumisella jotka ovat vastustuskykyisiä AiTM-hyökkäyksille. Näitä ovat mm. sertifikaattipohjainen kirjautuminen, Windows Hello tai FIDO-avain. Esimerkiksi FIDO-avain on todella helppo konfiguroida käyttöön Microsoft 365:ssa ja se nostaa ylläpitotilien suojausta huomattavasti.
7. Hyödynnä Conditional Accessia
Conditional Access antaa tehokkaat työkalut ehtopohjaisten kirjautumisten luomiseen. Voit vaatia että ylläpitäjien täytyy esimerkiksi kirjautua organisaation hallitsemilta työasemilta, vahvaa tunnistautumista käyttäen tai kirjautumisen täytyy tapahtua ennalta määritellystä sijainnista. Näin toimien voit määrittää tiukat reunaehdot missä ja miten ylläpitotunnuksia voi käyttää.
8. Käytä PIM-ratkaisua
PIM (Privileged Identity Management) tuo ylimääräisen lukon organisaation oveen. PIM-ratkaisun ollessa käytössä ylläpitotilin on erikseen nostettava tasonsa ylläpitäjäksi. Tämä voi vaatia esimerkiksi uudelleentunnistautumisen tai toisen henkilön hyväksynnän. PIMin avulla hyökkääjä ei saa automaattisesti ylläpito-oikeuksia ympäristöön vaikka ylläpitotunnukset joutuisivatkin vääriin käsiin.
9. Seuraa hälytyksiä ja lokitiedostoja
Hälytykset ja lokitiedostot voivat paljastaa epäilyttävän toiminnan järjestelmissä. Hälytyksien ja lokien seuranta tuleekin ottaa osaksi hyvää kyberkulttuuria. Mikäli käytössä on esimerkiksi Microsoft Sentinel tapahtumien seuranta on vieläkin helpompaa keskitetyn näkymän kautta.
10. Luo Break glass account
Break Glass account on nimensä mukaisesti tili joka otetaan käyttöön hätätapauksessa. Break Glass accountin käyttö voi tulla tarpeeseen mikäli jokin turvakeinoista (esimerkiksi MFA) on tilapäisesti vikaantunut eikä MFA-kirjautumista voi käyttää normaaleilla tileillä. Break Glass account on tavallisesti eriytetty muista suojatekniikoista joten tilin turvallisuudesta täytyy pitää erityisen hyvää huolta. Säilytä tunnuksen tietoja turvallisessa paikassa ja kirjaudu tilillä vain silloin kun sille on oikeaa tarvetta. On suositeltavaa myös asettaa hälytys joka ilmoittaa ylläpidolle mikäli Break Glass accountilla kirjaudutaan järjestelmään.
Turvattu käyttöympäristö
Ylläpitotilien tunnushygienia on olennainen osa kokonaisvaltaista kyberturvallisuusstrategiaa. Tehokas suojautuminen kyberuhilta vaatii jatkuvaa tietoisuutta ja huolellisuutta ylläpitotilien hallinnassa. Ylläpitotunnuksien tehokas tunnushygienia vähentää huomattavasti niiden väärinkäyttömahdollisuutta ja tuo lisää turvallisuutta organisaation infrastruktuuriin kun avaimet järjestelmiin ovat käytössä vain niillä joiden niitä kuuluu käyttää.
