Exchange-hyökkäys muistuttaa, miten tärkeää koko it-järjestelmää on valvoa

Microsoft Exchange -sähköpostipalvelimen haavoittuvuus on johtanut tietomurtoihin organisaatioissa ympäri maailman. Kyberturvallisuuskeskuksen mukaan kyseessä on erittäin poikkeuksellinen tapaus, joka koskettaa satoja organisaatioita pelkästään Suomessa.

Myös Atea on havainnut tietomurtoja asiakkailleen tekemissään tarkistuksissa. Tuottavuuskonsultoinnista vastaavan Jani Branderin mukaan asiakkaiden verkkoympäristöistä on löydetty hyökkääjien asentamia haittaohjelmia.

Atea tarjoaa tietoturvapalveluja ja -konsultointia sekä yksityisen että julkisen sektorin organisaatioille.

”Exchange-tapauksesta tekee poikkeuksellisen se, että organisaatioilla on ollut todella vähän aikaa reagoida sen jälkeen, kun haavoittuvuuksista ja palvelimen päivittämisen tarpeesta kerrottiin. Jos korjaavia päivityksiä ei ole tehnyt 2–3 päivässä, on erittäin todennäköisesti joutunut hyökkäyksen uhriksi”, Atean Technical Consultant Joonas Simolin sanoo.

Atea lähti ratkaisemaan Exchange-haavoittuvuutta suoraan laajempana tietoturvaongelmana, ei vain palvelimen päivitysasiana. Asiakkaiden järjestelmissä tehtiin muun muassa välittömästi suojaustoimia, joilla pyrittiin estämään mahdollisen tunkeutujan eteneminen.

Tietomurtojen tunnistamisessa Atea käyttää tietoturvaratkaisuja, jotka antavat kattavan näkymän asiakkaan verkon ja sen järjestelmien haavoittuvuuksiin. Niiden avulla voi seurata koko it-ympäristöä eli sähköpostipalveluja, työasemia, käyttäjätunnusten toimintaa ja verkkoliikennettä. Järjestelmät havaitsevat, jos ympäristössä on normaalista poikkeavaa toimintaa.

Kuka vain voi joutua tietomurron kohteeksi

Joonas Simolin antaa kuvaavan esimerkin tietoturvatyökalujen eroista: perinteinen virustorjuntaohjelma on poliisi, joka tunnistaa rosvon ulkonäön perusteella. Kehittyneet tietoturvatyökalut puolestaan tunnistavat pahiksen käyttäytymisen perusteella, ja niillä pystytään myös havaitsemaan, mihin kaikkialle hyökkäys on levinnyt.

”Kun puhutaan Exchange-haavoittuvuudesta, sähköpostipalvelimen päivittäminen tukkii oven, josta rosvo on päässyt alun perin sisään. Täytyy kuitenkin tutkia myös, onko rosvo edelleen sisällä piiloutuneena”, Jani Brander kuvailee.

Simolinin mukaan monessa organisaatiossa ajatellaan, ettei niillä ole sellaista arvokasta tietoa, joka voisi kiinnostaa hyökkääjiä. Tähän ajatukseen ei kannata tuudittautua.

Kehittyneen hyökkäyksen kohteeksi voi joutua kuka tahansa. Hyökkäyksiä ei välttämättä kohdisteta tiettyihin organisaatioihin, vaan ne levittäytyvät laajalle ja tunkeutuvat kaikkialle, mihin vain pääsevät. Juuri tästä on kyse Exchange-haavoittuvuudessa – ja sama voi tapahtua minkä tahansa muun palvelun tietoturva-aukon kohdalla.

Hyökkääjät pyrkivät viemään järjestelmistä ensimmäisenä käyttäjätunnuksia ja käyttöoikeuksia, joiden avulla he pääsevät käsiksi muihin tietoihin. Yleensä hyökkäyksen kohteen tietoja myydään eteenpäin tai niillä esimerkiksi kiristetään uhria.

Verkkohyökkäyksiä tehdään hiljaa ja piilossa

Joonas Simolin muistuttaa, että myös kotitoimistoilla olevat työkoneet ovat alttiita tietomurroille: ”Nykyaikaiset verkkohyökkäykset pyrkivät piilottamaan itsensä ja keräämään tietoa järjestelmistä huomaamattomasti. Edelleen luullaan, että kun ei ole näkynyt mitään, niin hyökkäystä ei ole tapahtunut.”

”Tietoturvan nykytilannetta on hyvä arvioida säännöllisin väliajoin ulkopuolisen tietoturva-asiantuntijan kanssa. Voimme auttaa sekä tietoturvan kehittämisessä että parantamisessa”, Jani Brander sanoo.   

 Huomioi tietoturvassa ainakin nämä:

1. Huolehdi perustietoturvasta, kuten järjestelmien päivityksistä ja tietoturvaan liittyvistä prosesseista.
2. Tee tietoturvapäivitykset aina mahdollisimman pian. Erityisen kriittistä tämä on nollapäivähaavoittuvuuksien kohdalla. Niillä tarkoitetaan tietoturva-aukkoja, joille ei ole vielä olemassa korjausta ja jota hyökkääjät saattavat käyttää hyväksi.
3. Varmista, että organisaatiossa on tietoturva-asioihin perehtynyt henkilö tai hanki ulkopuolinen kumppani.
4. Tee tietoturvan auditointi ulkopuolisen tietoturva-asiantuntijan kanssa. Auditoinnissa tarkistetaan, millä tasolla tietoturva ja siihen liittyvät prosessit ovat.
5. Virustorjuntaohjelmat eivät riitä suojaksi verkkohyökkäyksiä vastaan. Poikkeavien tapahtumien tunnistaminen on erityisen tärkeää. Ota käyttöön kehittyneitä tietoturvajärjestelmiä, jotka integroituvat keskenään kokonaistietoturvan näkyvyyden saavuttamiseksi. Tällöin havainnointiaika lyhenee ja ongelmien selvitys on nopeampaa.
6. Kouluta ja tiedota henkilöstöä tietoturva-asioissa. Huomioi, että tietoturvauhkia voi tulla vastaan myös kun tietokonetta tai puhelinta käytetään vapaa-ajalla.