Tämä teksti on valitettavasti saatavilla vain kielillä: English.
Category: Blog
A Guide to Types of Cyber Attacks
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
How a CoE Can Supercharge Your Threat Detection Capabilities?
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
CITRIXIN TIETOVUOTO IRIDIUM-HAKKERIEN TOIMESTA: 8 TURVALLISUUSKEINOA TIETOVUOTOJEN ESTÄMISEKSI
Citrix Systems, Inc. on yhdysvaltalainen monikansallinen ohjelmistoyritys, joka tarjoaa palvelin-, sovellus- ja työpöytävirtualisointia, verkkoteknologioita, ohjelmistoa palveluna (SaaS) ja pilvipalveluteknologioita. Citrixin ratkaisujen kerrotaan olevan käytössä yli 400 000 asiakkaalla maailmanlaajuisesti, mukaan lukien 99 prosentilla Fortune 100 -yrityksistä ja 98 prosentilla Fortune 500 -yrityksistä.
Hyökkäys
FBI ilmoitti Citrixille, että Iranista käsin toimiva hakkeriryhmä nimeltään Iridium on hyökännyt yrityksen sisäiseen verkkoon ja varastanut/ladannut 6 teratavua erittäin arkaluontoista tietoa. He hyödynsivät yhdistelmää erilaisia työkaluja, tekniikoita ja menetelmiä, jotka mahdollistivat verkkointruusion ja verkon käyttöoikeuden saavuttamisen.
“Citrix pahoittelee syvästi tapahtuman aiheuttamia vaikutuksia niihin asiakkaisiin, joita tietomurto koskee. Citrix sitoutuu tiedottamaan asiakkaita tutkimuksen etenemisestä ja jatkamaan yhteistyötä asiaankuuluvien lainvalvontaviranomaisten kanssa”, sanoi Citrixin CSIO Black.
Hakkerien Taktiikka
FBI:n mukaan hakkerit käyttivät password spraying ja credential stuffing -tekniikoita. Password sparying on tekniikka, jota käytetään tunnettuja heikkoja salasanoja samanaikaisesti useita tilejä vastaan ja yritetään näin ohittaa ensimmäinen turvakerros ja edetä eteenpäin. Credential stuffingissa käytetään tietomurtojen yhteydessä varastettuja käyttäjänimiä ja salasanoja. Näitä tekniikoita hyödyntämällä hakkerit onnistuivat saamaan pääsyn Citrixin järjestelmään ja lataamaan tiedostot.
Tutkintaraportti
Tutkimusten perusteella Citrix vahvisti, että hakkerit saivat osittaisen pääsyn yrityksen verkkoon 13. lokakuuta 2018 – 8. maaliskuuta 2019 välisenä aikana ja varastivat tiedostoja Citrixin sisäisestä järjestelmästä. Varastetut tiedot sisälsivät nykyisten ja entisten työntekijöiden tietoja, taloustietoja sekä tietoja edunsaajista ja sosiaaliturvatunnuksista.
Tietoturvakeinot tällaisen tietovuodon estämiseksi:
- Ota käyttöön monivaiheinen tunnistautuminen (esim. Google Keys)
- Ota käyttöön captcha tietyissä tilanteissa
- Mustalistaa IP-osoitteet, jotka ovat peräisin muutamasta (tai yhdestä) IP-osoitteesta. Estä osoitteet, jotka yrittävät kirjautua useisiin tileihin.
- Luo hälytykset tilille, jonka kynnysarvojen rajat on saavutettu
- Ilmoita käyttäjille ja tiimeille epätavallisista turvallisuustapahtumista
- Ota käyttöön monivaiheinen kirjautumisprosessi (esim. kaksivaiheinen tunnistautuminen ja monivaiheinen tunnistautuminen)
- Rajoita pääsyä toimiston ulkopuolelta
- Kiellä yksinkertaiset salasanat ja opeta käyttäjiä käyttämään monimutkaista salasanaa salasanahallintatyökalujen avulla
Citrixin Ratkaisu ja ennaltaehkäisy tulevaisuudessa
Ratkaisun löytämiseksi tietovuotoon ja vastaava tilanteen estämiseksi tulvaisuudessa Citrix on tehnyt yhteistyötä johtavan ulkoisen kyberturvayrityksen kanssa. He tekevät myös yhteistyötä FBI:n kanssa kyberrikoksen tutkinnassa.
Tunnetko olosi riittävän turvalliseksi arkaluontoisille tietojesi osalta?
Jos et, kiiruhda ja saat ilmaisen turvallisuusarvion meiltä.
Dell-haavoittuvuus: Miten estää tällainen vastaava hakkerointitoiminta?
Oletko koskaan miettinyt esiasennetun ohjelmiston aiheuttamaa mahdollista tietoturvariskiä tietokoneessasi? Mikä on pahin mahdollinen skenaario? Syytä huoleen on, sillä esiasennettu ohjelma tietokoneessasi voi aiheuttaa vakavan tietoturvariskin. Hyvä esimerkki tästä on Delliin kohdistunut tietomurto.
Dell on yhdysvaltalainen monikansallinen tietokonealan teknologiayritys, jonka ydinosaamista on laitteisto- ja ohjelmistokehitys. Dell suunnittelee, kehittää ja valmistaa henkilökohtaisia tietokoneita (PC) sekä erilaisia tietokoneeseen liittyviä tuotteita.
Esiasennettu Dell SupportAssist, joka aiemmin tunnettiin nimellä Dell System Detect, tarkistaa tietokonejärjestelmäsi laitteiston ja ohjelmiston kunnon. Tämän apuohjelman tavoite on:
- Vuorovaikutus Dellin tukisivuston kanssa ja Dell-tuotteiden automaattinen tunnistaminen palvelutunnisteesta tai Express-palvelukoodista.
- Tarkistaa asennetut laiteajurit ja asentaa puuttuvat tai saatavilla olevat ajuripäivitykset.
- Suorittaa laitteistodiagnostiikkatestejä.
Bill Demirkapi, nuori (17-vuotias) itsenäinen tietoturvatutkija, löysi kriittisen etäkoodin suoritushaavoittuvuuden Dellin SupportAssist-ohjelmassa.
Miten Dell SupportAssist toimii käytännössä? Se käyttää tietokoneen järjestelmässä paikallisesti toimivaa verkkopalvelinta, joka käyttää yhtä porteista 8884, 8883, 8886 tai portti 8885. Lisäksi se hyväksyy erilaisia komentoja URL-parametreina suorittaakseen ennalta määriteltyjä tehtäviä tietokoneella. Nämä tehtävät voivat sisältää esimerkiksi yksityiskohtaisten järjestelmätietojen keräämistä tai ohjelmiston lataamista etäpalvelimelta ja sen asentamista järjestelmään.
“Auktorisoimaton hyökkääjä, joka jakaa verkkopääsyn haavoittuvaisen järjestelmän kanssa, voi vaarantaa järjestelmän huijaamalla käyttäjän lataamaan ja suorittamaan haitallisia suoritettavia tiedostoja hyökkääjän isännöimiltä sivustoilta SupportAssist -clientin kautta.” Dell tiedotti haavoittuvaisuuden löydyttyä.
Korjatakseen tilanteen Dell on paikannut alkuperäisvalidoinnin (CVE-2019-3718) haavoittuvuuden Support Assist -ohjelmistossa. Tämä estää käyttäjiä joutumasta CSRF (Cross-Site Request Forgery) -hyökkäysten uhriksi.
Uusi kyberturvapalvelumme voi estää yllä mainitun ARP-hyökkäyksen IOC- ja IOA-menetelmiin perustuvan havaitsemis- ja korjausprosessin avulla. Analysoimalla digitaalista jalanjälkeä voimme estää vastaavat hyökkäykset hyödyntäen digitaalista forensiikkaa ja petoksenhallintamenetelmiä.
Yritysverkko-infrastruktuurin osalta voimme:
- Automatisoida uhkien korrelaatiojärjestelmän ja estää hyökkäykset käyttäen tekoälyyn perustuvaa uhkatiedustelua ja käyttäytymisanalyysiä.
- Havaita hyökkäykset proaktiivisesti uhkia metsästäen (turva-analytiikka tuntemattomien ja piilotettujen uhkien havaitsemiseen).
- Seurata verkko- ja päätelaitteita riskien tunnistamiseksi IT-ympäristössä.
- Pysäyttää uhka ympäristössä hyödyntäen IOC / IOA -menetelmiä.
Korjatakseen tilanteen Dell on paikannut alkuperäisvalidoinnin (CVE-2019-3718) haavoittuvuuden Support Assist -ohjelmistossa. Tämä estää käyttäjiä joutumasta CSRF (Cross-Site Request Forgery) -hyökkäysten uhriksi.
MIKSI HALLINNOITU HAVAITSEMIS- JA REAGOINTIPALVELU ON NYT TÄRKEÄMPÄÄ KUIN KOSKAAN
Teknologia kehittyy jatkuvasti, ja samoin sen merkitys. Nykypäivän maailmassa on yhä vaikeampaa kuvitella päivää ilman teknologiaa. Mieti kuinka monta kertaa luotat uuden ajan teknologioihin jokaisessa toiminnassasi. Jokainen, jopa itseään digitaalisena dinosauruksena pitävä, on jollain tavalla riippuvainen internetistä, matkapuhelimesta ja tietovirroista.
Tiedämme, että käyttäjä määrittelee, miten työkalu käyttäytyy. Internetissä on työkaluna myös harmaita sävyjä. Riippuvuus internetistä ja valtavat datamäärät, joita se generoi, ovat luoneet otollisen maaperän kyberrikollisuudelle. Kyberrikolliset pyrkivät hyödyntämään tietovirtoja tavalla tai toisella. He ottavat kohteekseen tietotekniikkajärjestelmät, jotka eivät ole riittävästi suojattuja tunkeutumisyrityksiltä. Ihmisten vahva luottamus teknologiaan tekee meistä alttiita pahantahtoisille toimille. Tässä tilanteessa astuu kuvaan hallinnoitu havaitsemis- ja reagointipalvelu (MDR).
MDR on järjestäytynyt puolustus- ja neutralointijärjestelmä, joka ei ainoastaan suojaa hyökkäyksiltä, vaan myös aktiivisesti ennakoi ja estää tarkoituksellisia tai tahattomia toimintoja, jotka voisivat vahingoittaa tietovirran suunniteltua kulkua. Kuten James Bond!
MDR jatkaa kehittymistään yhä kehittyneempien hakkerointimenetelmien myötä. MDR kehittyy hyökkäyksiltä suojautumisesta niiltä varjelemiseen jo ennen hyökkäysten tapahtumista.
Vaakalaudalla ei ole pelkästään data, vaan kyseessä voi olla henkinen tai taloudellinen omaisuus, yksityiset ja biometriset tiedot, navigointi- ja puolustustiedot jne. Kuvittele, millaisen tuhon tämä tieto voi aiheuttaa joutuessaan vääriin käsiin. Tappiot voivat olla mittavat niin ajan, rahan kuin maineenkin osalta. Pahimmassa tapauksessa jopa ihmishenget voivat olla vaarassa. Varastettu data ja tiedot ovat erityisen arvokkaita pimeillä markkinoilla. Kyberrikollisuus on jatkuva uhkan, ja on nopeasti tullut tutuksi monille yrityksille.
Tämä on syy, miksi MDR on niin tärkeä yhteiskunnassamme tänä päivänä. MDR ei ole uusi käsite; se on ollut olemassa jo pitkään. Hallinnoidun havaitsemisen ja reagoinnin päätavoite on varmistaa, että kyberrikokset ja tiedon menetykset estetään. Ei riitä, että rikoksen tekijät saadaan kiinni rikoksen jo tapahduttua. Rikos on estettävä ennen kuin se tapahtuu.
Miten MDR voi auttaa tätä tavoitetta? Hyödyntämällä MDR:ää organisaatiosi voi ymmärtää täysin IT-ympäristön, jossa se toimii. Tämä tarjoaa tärkeitä etuja, jotka auttavat estämään hakkerointia ja väärinkäyttöä.
YMPÄRISTÖN UHKIEN HAVANNOINTI
Kyberturvallisuuden uhkien tunnistamiseksi MDR tutkii ja analysoi millaisille riskeille organisaatiosi voi altistua. Näin voit määrittää tarkasti, mitkä ovat uhista niistä kriittisimpiä. Tämä mahdollistaa ennakoivien toimenpiteiden tekemisen ja näin auttaa sulkemaan ovet kyberrikollisilta. Yhdenkin hyökkäyksen estäminen voi säästää todella merkittäviltä taloudellisilta menetyksiltä.
NOPEUTTAA UHKAHAVAINTOA
Kun organisaatio tietää MDR:n myötä ennalta mahdollisista kohtaamistaan uhista, tekee se uhkien havaitsemisesta yksinkertaisempaa. Koska MDR parantaa myös uhkien analysointia, yrityksesi voi täysin ymmärtää minkälaisia kyberturvallisuusuhat tarkalleen ottaen ovat. Kuvittele, että voit toimia ennen kuin tietomurto tapahtuu. Voit ryhtyä toimiin tänään ja välttää painajaisen huomenna. MDR:n avulla yrityksesi voi nopeasti arvioida tietoturvatasoaan ja ryhtyä tarvittaviin toimenpiteisiin välittömästi.
PARANTAA KYKYÄ REAGOIDA UHKIIN
MDR vahvistaa niiden organisaatioiden kyvykkyyttä, jotka hyödyntävät sitä vastatakseen kyberuhkiin. Valmistautuminen on avainasemassa, kun ollaan tekemisissä hakkerien ja kyberrikollisten kanssa. Organisaatiosi on oltava valmistautunut jokaiseen mahdolliseen uhkaan, oli kyseessä sitten lunnasohjelma, hakkerointi tai tietovuodot. Parantunut tietoisuus suurimmista uhista auttaa sinua reagoimaan paremmin, ennakoimaan uhat ennen niiden toteutumista, määrittelemään heikot kohdat ja eliminoimaan ne.
TEHOSTAA UHKIEN ENNALTAEHKÄISYÄ
Sanotaan, että ennaltaehkäisy on parempi kuin hoito. Kyberhyökkäysten vaikutus nykymaailmassa on laajamittainen. Joka vuosi kyberhyökkäykset aiheuttavat yrityksille huomattavia kustannuksia. Ne vahingoittavat mainetta ja hidastavat liiketoimintaa. MDR:n avulla ennaltaehkäisemisestä tulee paras liittolaisesi. Proaktiivinen turvallisuusvalvonta voi soveltaa todistetusti toimivia sääntöjä turvajärjestelmässäsi, tarjoten siten uuden tason tietomurtojen torjuntaan.
TARVITSEMMEKO TODELLA HALLINNOITUA HAVAITSEMIS- JA REAGOINTIPALVELUA?
Monet liiketoiminnan omistajat tuntevat turhautumista päivittäin tapahtuvien kyberhyökkäysten valtavan määrän takia. MDR antaa sinulle mahdollisuuden ottaa takaisin kontrolli tietoturvaan. MDR on luotettava järjestelmä, joka keskittyy yhteen asiaan: estämään tietomurrot. Olivat ne sitten tahallisia tai tahattomia ja lähtöisin organisaation sisä- tai ulkopuolelta.
Kyberhyökkäysten uhka on jatkuvasti läsnä. Varkaat löytävät jatkuvasti uusia tapoja päästä läpi tietoturvan halkeamista tai aukoista. Heidän menetelmänsä kehittyvät ja ovat entistä hienostuneempia. Koko kyberturvallisuusala kehittyy niin nopeasti, että useimpien liiketoiminnan omistajien ei ole helppo pysyä siinä mukana. Välttääkseen altavastaajan aseman onkin parempi luottaa turvaus alan asiantuntijoiden käsiin.
PÄÄTELMÄT
Vaikka ylläpidetyn havaitsemis- ja reagointipalvelun monimutkaisuus saattaa olla jonkin verran haastavaa ymmärtää, on oleellista muistaa järjestelmän edut. MDR:n avulla voit välttää joutumasta seuraavaksi tietomurron uhriksi ja nukkua huomattavasti paremmin öisin.
