Tämä teksti on valitettavasti saatavilla vain kielillä: English.
Category: Blog
Healthcare Compliance in the Nordics & DACH: Navigating Regulation, Risk & Digital Transformation
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
Consolidation is the Future of IT Operations: A Strategic Imperative for 2025
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
DORA & Cyber Resilience Governance Strategies for 2025
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
The Future of Protection is Cloud Security Mesh
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
What is Hacking? Types, Tools, and How to Guard Against Cyber Threats
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
A Guide to Types of Cyber Attacks
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
How a CoE Can Supercharge Your Threat Detection Capabilities?
Tämä teksti on valitettavasti saatavilla vain kielillä: English.
CITRIXIN TIETOVUOTO IRIDIUM-HAKKERIEN TOIMESTA: 8 TURVALLISUUSKEINOA TIETOVUOTOJEN ESTÄMISEKSI
Citrix Systems, Inc. on yhdysvaltalainen monikansallinen ohjelmistoyritys, joka tarjoaa palvelin-, sovellus- ja työpöytävirtualisointia, verkkoteknologioita, ohjelmistoa palveluna (SaaS) ja pilvipalveluteknologioita. Citrixin ratkaisujen kerrotaan olevan käytössä yli 400 000 asiakkaalla maailmanlaajuisesti, mukaan lukien 99 prosentilla Fortune 100 -yrityksistä ja 98 prosentilla Fortune 500 -yrityksistä.
Hyökkäys
FBI ilmoitti Citrixille, että Iranista käsin toimiva hakkeriryhmä nimeltään Iridium on hyökännyt yrityksen sisäiseen verkkoon ja varastanut/ladannut 6 teratavua erittäin arkaluontoista tietoa. He hyödynsivät yhdistelmää erilaisia työkaluja, tekniikoita ja menetelmiä, jotka mahdollistivat verkkointruusion ja verkon käyttöoikeuden saavuttamisen.
“Citrix pahoittelee syvästi tapahtuman aiheuttamia vaikutuksia niihin asiakkaisiin, joita tietomurto koskee. Citrix sitoutuu tiedottamaan asiakkaita tutkimuksen etenemisestä ja jatkamaan yhteistyötä asiaankuuluvien lainvalvontaviranomaisten kanssa”, sanoi Citrixin CSIO Black.
Hakkerien Taktiikka
FBI:n mukaan hakkerit käyttivät password spraying ja credential stuffing -tekniikoita. Password sparying on tekniikka, jota käytetään tunnettuja heikkoja salasanoja samanaikaisesti useita tilejä vastaan ja yritetään näin ohittaa ensimmäinen turvakerros ja edetä eteenpäin. Credential stuffingissa käytetään tietomurtojen yhteydessä varastettuja käyttäjänimiä ja salasanoja. Näitä tekniikoita hyödyntämällä hakkerit onnistuivat saamaan pääsyn Citrixin järjestelmään ja lataamaan tiedostot.
Tutkintaraportti
Tutkimusten perusteella Citrix vahvisti, että hakkerit saivat osittaisen pääsyn yrityksen verkkoon 13. lokakuuta 2018 – 8. maaliskuuta 2019 välisenä aikana ja varastivat tiedostoja Citrixin sisäisestä järjestelmästä. Varastetut tiedot sisälsivät nykyisten ja entisten työntekijöiden tietoja, taloustietoja sekä tietoja edunsaajista ja sosiaaliturvatunnuksista.
Tietoturvakeinot tällaisen tietovuodon estämiseksi:
- Ota käyttöön monivaiheinen tunnistautuminen (esim. Google Keys)
- Ota käyttöön captcha tietyissä tilanteissa
- Mustalistaa IP-osoitteet, jotka ovat peräisin muutamasta (tai yhdestä) IP-osoitteesta. Estä osoitteet, jotka yrittävät kirjautua useisiin tileihin.
- Luo hälytykset tilille, jonka kynnysarvojen rajat on saavutettu
- Ilmoita käyttäjille ja tiimeille epätavallisista turvallisuustapahtumista
- Ota käyttöön monivaiheinen kirjautumisprosessi (esim. kaksivaiheinen tunnistautuminen ja monivaiheinen tunnistautuminen)
- Rajoita pääsyä toimiston ulkopuolelta
- Kiellä yksinkertaiset salasanat ja opeta käyttäjiä käyttämään monimutkaista salasanaa salasanahallintatyökalujen avulla
Citrixin Ratkaisu ja ennaltaehkäisy tulevaisuudessa
Ratkaisun löytämiseksi tietovuotoon ja vastaava tilanteen estämiseksi tulvaisuudessa Citrix on tehnyt yhteistyötä johtavan ulkoisen kyberturvayrityksen kanssa. He tekevät myös yhteistyötä FBI:n kanssa kyberrikoksen tutkinnassa.
Tunnetko olosi riittävän turvalliseksi arkaluontoisille tietojesi osalta?
Jos et, kiiruhda ja saat ilmaisen turvallisuusarvion meiltä.
Dell-haavoittuvuus: Miten estää tällainen vastaava hakkerointitoiminta?
Oletko koskaan miettinyt esiasennetun ohjelmiston aiheuttamaa mahdollista tietoturvariskiä tietokoneessasi? Mikä on pahin mahdollinen skenaario? Syytä huoleen on, sillä esiasennettu ohjelma tietokoneessasi voi aiheuttaa vakavan tietoturvariskin. Hyvä esimerkki tästä on Delliin kohdistunut tietomurto.
Dell on yhdysvaltalainen monikansallinen tietokonealan teknologiayritys, jonka ydinosaamista on laitteisto- ja ohjelmistokehitys. Dell suunnittelee, kehittää ja valmistaa henkilökohtaisia tietokoneita (PC) sekä erilaisia tietokoneeseen liittyviä tuotteita.
Esiasennettu Dell SupportAssist, joka aiemmin tunnettiin nimellä Dell System Detect, tarkistaa tietokonejärjestelmäsi laitteiston ja ohjelmiston kunnon. Tämän apuohjelman tavoite on:
- Vuorovaikutus Dellin tukisivuston kanssa ja Dell-tuotteiden automaattinen tunnistaminen palvelutunnisteesta tai Express-palvelukoodista.
- Tarkistaa asennetut laiteajurit ja asentaa puuttuvat tai saatavilla olevat ajuripäivitykset.
- Suorittaa laitteistodiagnostiikkatestejä.
Bill Demirkapi, nuori (17-vuotias) itsenäinen tietoturvatutkija, löysi kriittisen etäkoodin suoritushaavoittuvuuden Dellin SupportAssist-ohjelmassa.
Miten Dell SupportAssist toimii käytännössä? Se käyttää tietokoneen järjestelmässä paikallisesti toimivaa verkkopalvelinta, joka käyttää yhtä porteista 8884, 8883, 8886 tai portti 8885. Lisäksi se hyväksyy erilaisia komentoja URL-parametreina suorittaakseen ennalta määriteltyjä tehtäviä tietokoneella. Nämä tehtävät voivat sisältää esimerkiksi yksityiskohtaisten järjestelmätietojen keräämistä tai ohjelmiston lataamista etäpalvelimelta ja sen asentamista järjestelmään.
“Auktorisoimaton hyökkääjä, joka jakaa verkkopääsyn haavoittuvaisen järjestelmän kanssa, voi vaarantaa järjestelmän huijaamalla käyttäjän lataamaan ja suorittamaan haitallisia suoritettavia tiedostoja hyökkääjän isännöimiltä sivustoilta SupportAssist -clientin kautta.” Dell tiedotti haavoittuvaisuuden löydyttyä.
Korjatakseen tilanteen Dell on paikannut alkuperäisvalidoinnin (CVE-2019-3718) haavoittuvuuden Support Assist -ohjelmistossa. Tämä estää käyttäjiä joutumasta CSRF (Cross-Site Request Forgery) -hyökkäysten uhriksi.
Uusi kyberturvapalvelumme voi estää yllä mainitun ARP-hyökkäyksen IOC- ja IOA-menetelmiin perustuvan havaitsemis- ja korjausprosessin avulla. Analysoimalla digitaalista jalanjälkeä voimme estää vastaavat hyökkäykset hyödyntäen digitaalista forensiikkaa ja petoksenhallintamenetelmiä.
Yritysverkko-infrastruktuurin osalta voimme:
- Automatisoida uhkien korrelaatiojärjestelmän ja estää hyökkäykset käyttäen tekoälyyn perustuvaa uhkatiedustelua ja käyttäytymisanalyysiä.
- Havaita hyökkäykset proaktiivisesti uhkia metsästäen (turva-analytiikka tuntemattomien ja piilotettujen uhkien havaitsemiseen).
- Seurata verkko- ja päätelaitteita riskien tunnistamiseksi IT-ympäristössä.
- Pysäyttää uhka ympäristössä hyödyntäen IOC / IOA -menetelmiä.
Korjatakseen tilanteen Dell on paikannut alkuperäisvalidoinnin (CVE-2019-3718) haavoittuvuuden Support Assist -ohjelmistossa. Tämä estää käyttäjiä joutumasta CSRF (Cross-Site Request Forgery) -hyökkäysten uhriksi.
