Meistä jokainen on nähnyt tilastoja siitä, kuinka suuria taloudellisia tappioita sähköpostin kautta tehdyt hyökkäykset ovat aiheuttaneet ja kuinka isosta ongelmasta on kyse. Kauhutarinoiden sijaan pyrin tässä kirjoituksessani avaamaan

  • miksi sähköpostin kautta tehdyiltä hyökkäyksiltä suojautuminen on edelleen vaikeaa,
  • mitä mahdollisuuksia meillä on suojautumiselle ja
  • miten voimme parantaa oman organisaatiomme viestihygienian tasoa.

Haasteet

Sähköposti perustuu edelleen samaan teknologiaan, joka kehitettiin 1970-luvun alussa, eli Internetin “edeltäjään” Arpanetiin. Tietoturva ei silloin ollut etusijalla, ei sitä osattu edes ajatella samalla tavalla kuin tänä päivänä. Historian saatossa sähköpostiin on tehty erinäisiä tietoturvaparannuksia, mutta edelleen pätevät samat teknologiset lainalaisuudet. Karrikoidusti: voit lähettää sähköpostiviestin kenen tahansa nimissä ja domain-päätteellä. On vastaanottajaorganisaation ja viime kädessä loppukäyttäjän vastuulla selvittää, olenko oikeasti se, kenen nimissä lähetän postia, vai joku aivan toinen henkilö. Yleisesti käytetty postikorttivertaus on hyvä ja sähköpostiviestit tulisikin mieltää yhtä luotettaviksi.

Sähköpostin yleistyessä organisaatiossa 1990-luvun loppupuolella alkoivat myös väärinkäytökset. Osa meistä muistaa “I love you” -viruksen, joka levisi sähköpostin avulla. Kukapa olisi voinut välttää kiusauksen, kun työkaverisi sermin takaa lähettää sinulle rakkaudenosoituksen. Näistä ajoista sekä ensimmäisistä ns. nigerialaiskirjeistä on tultu pitkälle. Sama perustaktiikka toimii kuitenkin edelleen: hyökkääjä hyväksikäyttää uteliaisuuttamme sekä tahtoamme uskoa toisesta aina ensiksi hyvää.

Tänä päivänä hyökkäyksiä eivät enää tee harrastelijat, vaan alan ovat vallanneet ammattimaiset rikollisjärjestöt ja erinäiset valtiolliset toimijat. Taloudelliset hyödyt ovat niin yritys- kuin valtiollisen vakoilunkin motiiveja. ”Ammattimaisuus” näkyy myös hyökkäystekniikoissa. Uusia tapoja ilmenee jatkuvasti, mikä aiheuttaa harmaita hiuksia meille, jotka yritämme pysyä hyökkääjien kantapäillä ja heikentää heidän mahdollisuuksiaan. Kilpajuoksu on kuitenkin loputon, koska rikolliset ovat useimmiten askeleen edellä.

Olin taannoin tietoturvaseminaarissa missä käsiteltiin Darkwebiä ja mitä kaikkea siellä tapahtuu. Oli lähes absurdia kuulla, miten kattavat markkinat siellä on tarjolla. Saat esimerkiksi ostettua SaaS-palveluna Ransomware-hyökkäysalustan täysin avaimet käteen toteutettuna. Eli et tarvitse lainkaan teknistä osaamista toteuttaaksesi kiristyshaittaohjelmakampanjoita. Olemme nähneetkin viime aikoina erittäin ikäviä esimerkkejä. Tekniikka ei ole enää esteenä, kunhan vain riittävästi sairasta mieltä ja röyhkeyttä riittää. Huolestuttavaa oli myös nähdä rekrytointi-ilmoituksia, joissa rikollistahot etsivät riveihinsä heidän näkökulmastaan “out of the box” -ajattelijoita eli IT-asiantuntijoita, jotka voisivat kertoa mitä sellaisia haavoittuvuuksia voitaisiin hyödyntää, joita rikolliset eivät itse ole tulleet ajatelleeksi. Vuosipalkka tästä on noin kymmenkertainen verrattuna siihen mitä esimerkiksi Suomessa IT-asiantuntijoille keskimäärin maksetaan.

Kylmä tosiasia on, ettei M365 sellaisenaan pakasta vedettynä ja perusasetuksilla ole tänä päivänä tietoturvanäkökulmasta riittävä, oli organisaatio sitten toimialaltaan millainen tai minkäkokoinen tahansa. On tehtävä oikeita asioita tietoturvan osalta.

Miten organisaatioiden pitäisi suojautua?

  • Tietoturvan tulee olla johdon agendalla jatkuvasti ja näkyvästi esillä. Strutsipuolustuksen aikakausi on ollut jo kauan aikaa ohi. Organisaatiot ja erityisesti niiden johto eivät voi tänä päivänä tuudittautua oletukseen “uskoimme, että asiat meillä ovat kunnossa”, ”ei meistä ole kukaan kiinnostunut” tai ”oletimme pilvipalvelutarjoajan huolehtivan näistä asioista”.
  • Ota asiantuntija avuksesi. Vaikka oma osaaminen riittäisikin tietoturvan perusasioiden kuntoon saattamiseksi M365:n osalta, on tässäkin tapauksessa hyvä saada vahvistukseksi vielä toinen mielipide.
  • Prosessit kuntoon. Miten toimimme tietoturvapoikkeamissa, entä miten hoidamme pahimmassa tapauksessa kriisiviestinnän? Kun ”shit hits the fan”, ei ole aikaa ryhtyä miettimään miten lähdemme viemään asioita eteenpäin. Aikaa ei ole tuhlattavaksi.
  • Tuplavarmistukseen Multi-Layered Security. Tämä asia on ollut viime aikoina omalla agendallani. Turvautuako yhteen tuotteeseen vai pitäisikö rinnalle ottaa toinen kerros turvaksi? Viime vuosina on tullut markkinoille ratkaisuja, jotka integroituvat API-rajanpinnan avulla EOP:n (Exchange Online Protection) ja Defender for Office 365:n kanssa. Olen itse ollut hieman skeptinen tuomaan kolmannen osapuolen tuotetta suojaamaan M365:n sähköpostiliikennettä, varsinkin kun tuotteet ovat toimineet täysin erillään M365-tenantista ilman integrointia API-rajapinnan kautta. Näissä sähköpostit kierrätetään ensin kolmannen osapuolen pilvipalvelun tai paikalliseen infraan asennetun sähköpostin suodatuspalvelimen kautta. Pahimmassa tapauksessa ratkaisu on vaatinut Microsoftin omien suojaustoimien poistamista, koska aitoa integraatiota ratkaisujen välillä ei ole.

Olemme ottaneet omaan käyttöömme ja palvelureppuumme tuotteen, joka integroituu API-rajapinnalla M365-tenantiin ja toimii yhteen Microsoftin      suojaustoimien kanssa. Tuotteella olemme saaneet paremmin kiinni Spam-, kalastelu- ja jopa haittakoodia sisältäviä viestejä, jotka olisivat tulleet Microsoftin omien suojausten läpi. Tuotteella voimme lisäksi toteuttaa loppukäyttäjien kalasteluviestikoulutuksia tarvittaessa täysin automatisoituna. Tuotteen tuoma lisäarvo on havaittu selkeästi.

  • Oma henkilöstö on kriittisessä asemassa tietoturvahyökkäysten torjumisessa teknisten tuotteiden lisäksi, sillä mikään tekninen ratkaisu ei tuo sataprosenttista suojausta. On erittäin tärkeää kouluttaa omaa henkilöstöä tietoturvan osalta esimerkiksi kalasteluviestikoulutuksella. Markkinoilta löytyy erinomaisia vaihtoehtoja myös koulutusten toteutukseen käytännössä.

M365 ja erityisesti sen sähköpostin suojaus vaatii jatkuvaa huolenpitoa ja seuraamista. Sen lisäksi, että suojaustoimia tulee tehdä sisäänpäin tulevan postiliikenteen osalta, on syytä huolehtia myös omasta viestihygieniasta, eli miten suojaamme omat osoitteemme mahdollisilta väärinkäytöksiltä. SPF ja DKIM ovat jo laajalti käytössä organisaatioissa, mutta valitettavasti kattavimman suojauksen antama DMARC on jäänyt käyttöönottamatta. Ajattelinkin kertoa näistä omien osoitteiden suojauksen vaihtoehdoista seuraavassa kirjoituksessani.

 

Herättikö kirjoitus sinussa ajatuksia? Vastaan mielelläni mahdollisiin kysymyksiin ja kommentteihin. Parhaiten minut tavoittaa sähköpostitse mika.hakkarainen@nerdynet.com tai LinkedIn-viestillä.

Jaa