top of page
Etsi

Kohti turvallista ja kalastelun kestävää Microsoft 365 -ympäristöä

Modernin tietoturvan ytimessä on identiteetti. Microsoft 365 -käyttäjätunnus, eli Entra ID identiteetti ei ole vain avain sähköpostiin vaan pääsykoodi kaikkiin yrityksenne Microsoft 365 -palveluihin, dataan ja lukuisiin liiketoimintasovelluksiin.


Pelkkä salasana on ollut jo pitkään vanhentunut suojauskeino ja nyt olemme tilanteessa, jossa edes perinteinen kaksivaiheinen tunnistautuminen (MFA) ei aina riitä. Tilalle tarvitaan kalastelun kestävää (phishing resistant) tunnistautumista.





Miksi perinteinen MFA ei riitä ja miten se murretaan?


Perinteinen MFA (kuten tekstiviestikoodit tai Authenticator-sovelluksen "hyväksy"-painike) on edelleen huomattavasti parempi kuin pelkkä salasana. Rikolliset ovat kuitenkin jo pitkään hyödyntäneet perinteisen MFA:n puutteita ja oppineet kiertämään sen Adversary-in-the-Middle (AiTM) -hyökkäyksillä. AiTM-hyökkäys tapahtuu yksinkertaistettuna käytännössä näin:


  1. Työntekijä saa esim. sähköpostitse aidolta näyttävän linkin ja päätyy verkkorikollisen valesivustolle, joka näyttää identtiseltä Microsoftin kirjautumissivun kanssa

  2. Henkilö syöttää Microsoft 365 -tunnuksensa ja hyväksyy MFA-pyynnön puhelimestaan normaalisti

  3. Taustalla toimiva hyökkääjä kaappaa kirjautumisistunnon evästeen (session token) sillä sekunnilla, kun käyttäjä hyväksyy kirjautumisen

  4. Hyökkääjä pääsee sisään järjestelmään kirjautumisistunnon evästeen avulla eikä käyttäjätunnusta ja salasanaa edes tarvita


Koska perinteinen MFA-menetelmä ei ota kantaa millä sivustolla henkilö parhaillaan vierailee, kirjautumispyyntö menee kiltisti läpi. Hyökkäyksen uhri ei välttämättä myöskään edes tajua tulleensa huijatuksi, koska päätyy itse omaan Microsoft 365 -ympäristöönsä kirjautumisen jälkeen.


Katso alla olevasta videosta kuinka helposti Microsoft 365 -tili on murrettavissa, jos käytössä on vain perinteinen MFA.





Miten kalastelun kestävä tunnistautuminen muuttaa tilanteen?


Kalastelun kestävät tunnistautumistavat kuten Passkey (FIDO2) ja Windows Hello for Business muuttavat tunnistautumista oleellisesti ja poistavat ihmisen tekemän arviointivirheen riskit.


Kun tunnistautumiseen käytetään kalastelun kestävää menetelmää, kuten sormenjälkeä, kasvojentunnistusta tai fyysistä turva-avainta (esim. YubiKey), laite ja Microsoftin pilvi käyvät keskenään salaisen keskustelun:


  1. Toisin kuin ihminen, laite tunnistaa välittömästi, onko kirjautumissivu luotettu (esim. login.microsoftonline.com) vai rikollisen luoma huijaussivusto. Jos sivu on väärä, laite kieltäytyy keskustelemasta sen kanssa.

  2. Mitään koodia tai salasanaa ei lähetetä verkon yli. Tunnistautuminen on sidottu fyysisesti juuri siihen laitteeseen, jota käytetään. Vaikka hyökkääjä saisi houkuteltua henkilön valesivulle, rikollinen ei voi kopioida laitetta tai sormenjälkeä etänä


Työntekijöille tämä on usein myös helpompaa, koska samalla poistuu tarve muistaa salasanaa. Työkoneella kirjautumiseen riittää pelkkä laitteen lukituksen avaaminen (esim. kasvojentunnistus), ja muissa tapauksissa tunnistautuminen hoituu esim. Microsoft Authenticator-sovelluksella ja sen Passkeys-ominaisuudella.


Miksi kalastelun kestävä tunnistautuminen on kriittistä Microsoft 365 -ympäristössä?


M365-ympäristössä ja modernissa tietoturvassa ylipäätään identiteetin suojaaminen on tärkein asia. Jos yrityksessä on käytössä kertakirjautuminen (Single Sign-On, SSO) Entra ID:n avulla, niin yksi ainoa kaapattu tunnus voi avata ovet kymmeniin eri kriittisiin liiketoimintasovelluksiin.


Phishing Resistant MFA katkaisee hyökkäysketjun heti alussa. Se ei ainoastaan yritä tunnistaa käyttäjää, vaan varmistaa samalla kirjautumisketjun eheyden ja sen, että henkilö on kirjautumassa luotettuun palveluun.


Siirtyminen kalastelun kestävään maailmaan ei tapahdu hetkessä, mutta alkuun pääsee helposti:


  1. Kartoita kriittiset käyttäjät ja aloita näistä, koska he ovat usein hyökkääjien ensisijaisia kohteita

  2. Hyödynnä Microsoft Entra ID -ominaisuuksia, joilla voidaan määrittää, että pääsy arkaluontoiseen tietoon vaatii nimenomaan kalastelun kestävän tunnistautumisen

  3. Siirry hiljalleen pois salasanojen käytöstä ja ota käyttöön Windows Hello for Business ja Passkeys sekä ohjeista käyttäjiä uusista kirjautumismahdollisuuksista

  4. Käytä ehdollista pääsyä (Conditional Access), ja salli kirjautuminen vain yrityksenne hallitsemilta ja turvallisilta laitteilta

 

Haluatteko varmistaa, että yrityksenne Microsoft 365 -ympäristön suojaus on ajan tasalla? 


Siirtyminen kalastelun kestävään tunnistautumiseen on yksi merkittävimmistä askelista, jonka yrityksenne voi ottaa Microsoft 365 -ympäristön suojaamiseksi. Tällä voidaan poistaa perinteisten kalasteluhyökkäysten riskit ja samalla parantaa työntekijöiden käyttökokemusta.


Autamme teitä rakentamaan polun kohti salasanatonta ja kalastelun kestävää Microsoft 365 -ympäristöä. Ota yhteyttä esimerkiksi alla olevalla lomakkeella tai varaa tapaaminen, niin aloitetaan yrityksenne tietoturvan parantaminen nykytilanteen kartoituksella.

◄ Takaisin

Miten voimme auttaa?
Ota yhteyttä

Lähetä viesti alla olevalla lomakkeella tai varaa tapaaminen ja ratkaistaan liiketoimintanne tai IT:n tarpeet yhdessä.

Olen lukenut ja hyväksyn rekisteri- ja tietosuojaselosteen*

Bitmore on luotettava kumppani

Bitmore on työntekijöidensä omistama moderni sekä innovatiivinen pilviaikakauden IT-kumppani, yksittäisistä palveluista kokonaisvaltaiseen IT-infran täysulkoistukseen.

Y-tunnus: 2707904-6

Evästekäytäntö | Rekisteri- ja tietosuojaseloste

Yhteystiedot:

myynti@bitmore.fi

020 703 2981

Miestentie 9, 02150 Espoo

© Bitmore Oy. Kaikki oikeudet pidätetään.

Seuraa meitä:

  • Bitmore - Linkedin
  • Bitmore - Facebook
  • Bitmore - Instagram
  • Itewiki icon
bottom of page