Monivaiheinen tunnistautuminen eli Multi-factor Authentication (MFA) on ollut pitkään yritysten ensisijainen keino suojata pääsyä järjestelmiinsä. Olemme kuitenkin huomanneet lisääntyvissä määrin tapauksia viime aikoina, joissa pelkkä käyttäjän hyväksyntä ei yksinään enää riitä suojaamaan yritysten Microsoft 365 –ympäristöjä. Tässä kirjoituksessa käsittelen lyhyesti, miksi näin on, miten verkkorikolliset pystyvät huijaamaan käyttäjiltä erilaiset tunnistuskoodit, ja mitä yritykset voivat tehdä suojatakseen paremmin pilvipalvelunsa.
Kalastelumenetelmät perinteisen MFA:n ohittamiseksi
Perinteinen MFA lisää turvallisuutta vaatimalla käyttäjältä kahta tai useampaa todennusmenetelmää: Jotain, mitä käyttäjä tietää (salasana), jotain, mitä käyttäjällä on (koodi puhelimesta) tai esimerkiksi jotain, mikä on käyttäjälle ominaista (sormenjälki, kasvotunnistus). Vaikka MFA tarjoaa turvakerroksen esimerkiksi heikkoja salasanoja ja salasanojen uudelleenkäyttöä vastaan, MFA:n heikkous on käyttäjissä, ja tätä heikkoutta rikolliset hyödyntävät.
Kalasteluhuijaukset ovat kehittyneet yksinkertaisista sähköposteista monimutkaisiin hyökkäyksiin. Hyökkääjät voivat esimerkiksi käyttää ”attacker-in-the-middle" (AitM) -tekniikoita, joissa he luovat väärennetyn, mutta aidolta näyttävän kirjautumissivun. Linkki sivuun välitetään käyttäjälle usein hänen omalta yhteistyökumppaniltaan, joka on langennut itse vastaavaan hyökkäykseen. Tutulta tulleeseen viestiin luotetaan helpommin.
Tällaisen viestin saatuaan ja linkkiä klikattuaan käyttäjä saattaa uskoa olevansa aidolla kirjautumissivulla syöttäen sinne salasanansa. Hyökkääjä välittää tiedot oikealle palvelulle ja tämä käynnistää MFA-prosessin, josta hyökkääjä välittää koodipyynnön käyttäjälle. Koska käyttäjä luulee olevansa aidolla sivulla, hän hyväksyy kirjautumisen MFA-sovelluksestaan, ja näin hyökkääjä saa pääsyn käyttäjän tiliin. Lopuksi käyttäjän selain vielä käännetään oikeaan osoitteeseen, ja koska käyttäjä todennäköisesti oli aiemmin jo kirjautunut, aukeaa esimerkiksi haluttu sivu valmiiksi sisäänkirjautuneena. Käyttäjä ei siis huomaa antaneensa tunnistetietoja väärään paikkaan, ja näin ollen on varma ettei ole missään vaiheessa tullut huijatuksi.
Microsoftin Entra Conditional Accessin laitetunnistuksen avulla lisäturvaa
Suosittelemme lisäämään monivaiheeseen tunnistautumiseen vaiheita joilla voidaan tehokkaammin suojata pilvipalveluita. Yksi erinomainen ratkaisu niiden toteuttamiseen on Microsoftin Entra ID (ent. Azure AD) Conditional Access, jolla MFA-vaatimuksetkin toteutetaan.
Conditional Access, vapaasti suomennettuna ehdollinen pääsy, tuo MFA:n lisäksi paljon muitakin monipuolisia tapoja toteuttaa ja kohdentaa pääsynhallinnan suojaamismenetelmiä. Tämä tarkoittaa, että pääsyä ei säännellä vain sen perusteella kuka yrittää päästä järjestelmään, vaan myös mistä, millä laitteella, mihin sovellukseen ja missä olosuhteissa. Yhtenä menetelmänä pysyy mukana perinteinen MFA, mutta sen tueksi suosittelemme vaatimaan laitetunnistusta.
Conditional Accessin laitetunnistuksen hyödyt
Laitetunnistuksen suurin hyöty tulee siitä, että vaikka hyökkääjä saisi käyttäjän vakuutettua siitä, että hän on kirjautumassa aidolle kirjautumissivulle, laitetta on vaikeampi huijata. Laite ei katso miltä sivu näyttää, vaan sitä, täsmääkö sivun osoite ja varmenne siihen, mitä ne pitäisi olla. Näiden väärentäminen siten, että laite tulee huijatuksi, on huomattavasti vaikeampaa.
Conditional Accessin avulla voidaan määritellä, vaaditaanko pääsyyn MFA:n lisäksi muita ehtoja, kuten esimerkiksi yrityksen Entra ID:hen ja Intuneen liitetty sekä luotettu laite tai esimerkiksi toimiston julkiseen IP-osoitteeseen perustuva sijainti. Tämä tarkoittaa, että vaikka hyökkääjät saisivat käyttäjän tunnistetiedot haltuunsa tavalla tai toisella, he eivät silti pysty saamaan pääsyä pilvipalveluihin, koska eivät täytä muita määriteltyjä ehtoja. Conditional Accessin ominaisuuksia hyödyntämällä voidaan siis paremmin varmistaa, että vain luotetut käyttäjät luotetuilla laitteilla voivat päästä käsiksi yrityksen dataan ja palveluihin.
Laitetunnistus on erittäin kustannustehokas ratkaisu tuomaan lisäturvaa, koska se sisältyy Microsoft 365 Business Premium -palvelupakettiin. Teknisesti mielessä käytössä tulee olla Intune-laitehallinta ja vähintään Entra ID P1 (ent. Azure Active Directory P1).
Huomioitavaa laitetunnistuksen käyttöönotossa
Vaikka laitetunnistuksen avulla saadaan helposti merkittävää lisäturvaa, on sen käyttöönotossa huomioita testauksen lisäksi erityisesti yrityksen työntekijät. Kun pääsy yrityksen palveluihin rajataan vain luotetuille laitteille, vähentää se työntekijöiden vapautta työskennellä miltä laitteelta tahansa. Hyvänä puolena on se, että organisaation tiedot eivät enää päädy esimerkiksi hallinnan ulkopuolella oleville kotikoneille.
Muutoksessa pitää erityisesti huomioida loppukäyttäjien selkeä tiedottaminen ja tuoda esille tietoturvahyödyt myös loppukäyttäjien näkökulmasta.
Conditional accessin sääntöihin voi joutua myös tekemään poikkeuksia, sekä käyttäjä-, sovellus- että sijaintikohtaisesti. Jos yrityksenne käyttää esimerkiksi ulkopuolisia konsultteja, jotka tarvitsevat pääsyn yrityksenne tietoihin, heiltä voidaan vaati vain perinteinen MFA, tai jos jokin sovellus vaatii pääsyn tietysti osoitteesta pelkällä salasanalla, sekin on toteutettavissa. Huomioitavaa on, että Conditional Accessin avulla voidaan myös tehokkaasti rajata mihin tietoon tai sovelluksiin mikäkin käyttäjä saa pääsyn.
Suositukset ja toimenpiteet yrityksille tietoturvan parantamiseksi
Jokaisen yrityksen tulisi arvioida nykyiset turvatoimensa ja päivittää ne vastaamaan nykypäivän kyberturvallisuusuhkia. Tietoturvaa voidaan parantaa lukuisilla eri tavoilla, joita ovat esimerkiksi:
Investoimalla edistyneisiin tietoturvatekniikoihin ja -palveluihin, esimerkiksi tässä kuvattu laitetunnistus ja lisäksi epäilyttävien tapahtumien valvonta ja niihin reagointi eli Managed Detection and Response -palvelun käyttöönotto
Henkilöstön jatkuva kouluttaminen tunnistamaan kalasteluhuijaukset ja muut tietoturvauhat
Laitteiden ja sovellusten inventaarion ylläpito, turvallisista asetuksista huolehtimien ja niiden tietoturvapäivittäminen säännöllisesti
Tarpeettomien laitteiden, palveluiden ja erityisesti internettiin tarpeettomasti auki olevien palveluiden käytöstä poisto
Yhteenveto
Vaikka perinteinen MFA tarjoaa tärkeän turvakerroksen, se ei yksin riitä suojaamaan yritysten pilvipalveluita nykypäivän kehittyneiltä kyberuhkilta. Verkkorikolliset kehittävät jatkuvasti uusia menetelmiä käyttäjien huijaamiseksi, mikä tarkoittaa, että yritysten on omaksuttava monikerroksinen lähestymistapa turvallisuuteen.
Moderni laitehallinta ja tunnistetun laitteen vaatiminen tarjoaa erinomaisen ja kustannustehokkaan tavan hallita pääsyä pilvipalveluihin, varmistaen, että vain luotetut käyttäjät pääsevät käsiksi yrityksenne pilviympäristöihin.