Hallitsemattomista korotetuista käyttöoikeuksista hallitsemattomia korotettuja kyberturvallisuusriskejä

Mikään ei kiinnosta tietoturvahyökkäyksen tekijää enemmän kuin pääseminen kiinni kohdeympäristön korotettuihin käyttöoikeuksiin ja pääkäyttäjätunnuksiin, jotka tarjoavat vapaan kulkuoikeuden kohteen verkossa ja järjestelmissä.

Vaaralliseksi tilanteen tekee, se, että pääkäyttäjätunnusten päätyminen hyökkääjän käsiin tapahtuu usein aivan liian helposti korotettujen käyttöoikeuksien hallinnassa olevien merkittävien puutteiden vuoksi. Kaksiosaisen blogisarjan ensimmäisessä osassa perehdymme korotettuihin käyttöoikeuksiin liittyviin riskeihin ja niiden hallinnan tyypillisimpiin ongelmakohtiin.

Rahat ja maine pelissä

Korotetuiksi käyttöoikeuksiksi nimensä mukaisesti luokitellaan kaikki käyttöoikeudet, jotka tarjoavat peruskäyttäjää laajemmat oikeudet kyseessä olevaan järjestelmään tai sovellukseen. Tyypillisimpiä korotettuja käyttäjätilejä ovat erilaiset pääkäyttäjätilit, joita tarvitaan ympäristöjen asennuksiin, ylläpitoon ja hallinnointiin, sekä laitteiden, sovellusten ja palveluiden toistensa kanssa kommunikoimiseen käyttämät tilit.

Korotettuja käyttäjätilejä kutsutaan usein kuitenkin myös ”avaimiksi kuningaskuntaan”, sillä ne tarjoavat pääsyyn organisaatioiden kriittisimpiin ja sensitiivisempiin tietoihin, kuten rahaliikenteeseen, asiakkaiden henkilötietoihin tai tuotekehitystietoihin. Korotettujen käyttäjätilien väärinkäytöksellä on mahdollista näiden tietojen varastaminen, muokkaaminen ja tuhoaminen. Kohdeorganisaatiolle tästä aiheutuu sekä suoria taloudellisia tappiota että merkittävää mainehaittaa, jonka korjaaminen voi pahimmillaan olla mahdotonta.

Käyttäjätunnuksien suojaaminen turvallisuuden keskiössä

Parin vuoden takaisessa raportissaan tutkimuslaitos Forrester arvioi korotettujen käyttäjätunnusten olevan osana 80 %:ssa tehdyistä tietomurroista. Hyökkääjät pyrkivät saamaan jalansijan organisaation verkossa esimerkiksi kalastelusähköpostiin sisällytetyn haittaohjelman avulla. Tämän jälkeen kohdeympäristön haavoittuvuuksia hyödyntämällä hyökkääjä pyrkii saamaan haltuunsa suurempia käyttöoikeuksia omaavia arvokkaampia tunnuksia, jotka mahdollistavat vapaan lateraalisen liikkumisen verkon sisällä palvelusta toiseen.

Korotettujen käyttäjätunnusten vääriin käsiin joutumisen vakavista seurauksista johtuen Gartner nosti korotettujen käyttöoikeuksien hallinnan (privileged access management, PAM) ensimmäiselle sijalle kesäkuussa julkaisemallaan vuoden 2018 tärkeimpien IT-turvallisuusprojektien listallaan. Organisaatioiden tulisikin viimeistään nyt ryhtyä tarkalla silmällä paneutumaan siihen, miten korotettujen käyttäjätunnusten hallinta on tällä hetkellä toteutettu heidän omassa ympäristössään.

Nykytila selville ja prosessit kuntoon

Luottotietoyhtiö Equifaxin yli 140 miljoonaa asiakasta koskeneen kesän 2017 massiivisen tietomurron tutkinnassa selvisi, että yhtiön Argentiinan toimipisteen verkkoportaali, jota työntekijät käyttivät asiakkaidensa luottotietojen käsittelyyn, oli ”suojattu” käyttäjätunnus-salasana parilla ”admin/admin”. Tiedätkö sinä, että omassa organisaatiossasi ei toimita samalla tavalla? Korotettujen käyttäjätunnusten hallinnan nykytilan kartoituksen saa nopeasti liikkeelle kysymällä organisaation tietoturvasta vastaavilta onko heillä tiedossa:

• Mitä korotettuja käyttäjätunnuksia organisaatiolla on käytössä?
• Kenellä on oikeus käyttää näitä tunnuksia?
• Milloin käyttöoikeudet on viimeksi katselmoitu?
• Käytetäänkö suositusten mukaisia vahvoja salasanoja?
• Milloin käyttäjätunnusten salasanat tai sertifikaatit on viimeksi vaihdettu?
• Käytetäänkö korotettuja käyttäjätunnuksia ainoastaan niiden mahdollistamien korotettujen toimintojen suorittamiseen?

Jos vastaus johonkin näistä on ”ei”, ”en tiedä” tai ”ei koskaan”, niin korotettujen käyttäjätunnusten hallinnan prosessien ja menetelmien tehostamistarpeita tulisi harkita pikaisesti.

Blogisarjan toinen osa Turvaa ja hallinnoi korotetut käyttäjätunnukset PAM-työkalulla