Osuvasti nimetty matovirus on yksi aggressiivisimmista ja tuhoisimmista uhista, joita organisaatio voi kohdata. Toisin kuin monet hyökkäykset, jotka luottavat käyttäjän virheeseen, mato voi livahtaa verkkoon huomaamatta ja levitä kopioimalla itseään yhdistetyissä järjestelmissä. Yhdestä tartunnan saaneesta koneesta voi nopeasti tulla kymmeniä, kun haittaohjelma(uusi ikkuna) kopioi itseään ja etsii uusia kohteita.

Tämä itsestään leviävä käyttäytyminen teki NotPetyan kaltaisista pahamaineisista epidemioista niin häiritseviä. Virus siirtyi nopeasti järjestelmien välillä päästyään yritysympäristöihin aiheuttaen operatiivista vahinkoa maailmanlaajuisesti, ennen kuin kyberturvallisuustiimit ehtivät reagoida.

Valitettavasti monilla organisaatioilla on edelleen samoja heikkoja kohtia, joita madot rakastavat, kuten paikkaamattomat järjestelmät, litteät verkot, ylioikeutetut tilit ja epävarvat, jäljittämättömät tilinjakamismenetelmät. Matovirushyökkäys luo suhteettoman suuren liiketoimintariskin, erityisesti silloin, kun madon toiminta toimii laukaisualustana kiristysohjelmille ja laajamittaiselle kirjautumistietojen väärinkäytölle.

Tässä artikkelissa selitämme, missä todellinen altistuminen piilee useimmissa ympäristöissä ja mitkä kerrostetut kontrollit todella pienentävät vahinkoaluetta käytännössä. Tarkastelemme myös, miten salasanojen turvallisuuden vahvistaminen turvallisella yrityksen salasananhallinnalla tukee tätä puolustusta.

Mikä on matovirus?

Miten matovirukset leviävät yritysverkoissa

Miksi matovirukset aiheuttavat vakavia riskejä yrityksille

Turvallisuuskäytännöt, jotka auttavat ehkäisemään matovirusepidemioita

Miten Proton Pass for Business tukee yritysten turvallisuutta

Mikä on matovirus?

Tietokonemato on itsestään lisääntyvä haittaohjelma, joka leviää verkoissa ilman käyttäjän toimia. Termiä matovirus käytetään usein, mutta teknisesti ne ovat kaksi eri uhkaa.

Ero piilee autonomian tasossa ja leviämisen laajuudessa. Tietokonevirus kiinnittyy lailliseen tiedostoon tai sovellukseen ja tarvitsee yleensä jonkun suorittamaan kyseisen tiedoston aktivoituakseen ja levitäkseen. Mato sen sijaan on itsenäinen ohjelma, joka on suunniteltu liikkumaan itsekseen, skannaamaan saavutettavissa olevia järjestelmiä ja leviämään automaattisesti heti, kun se löytää heikkouden.

Päästyään sisälle yritysverkkoon madot pyrkivät kopioimaan itseään. Ne leviävät hyödyntämällä olemassa olevia resursseja, kuten verkkoyhteyksiä, jaettuja palveluita, avoimia portteja ja yleisiä määrityksiä.

Jotkut madot aiheuttavat häiriöitä pelkällä laajuudellaan, tuottaen tarpeeksi tietoliikennettä ja prosessikuormaa heikentääkseen suorituskykyä tai pakottaakseen puolustuksellisiin alasajoihin. Uudemmat mato-pohjaiset kampanjat menevät usein pidemmälle, toimittaen toissijaisia hyötykuormia, kuten kiristysohjelmia, etäkäyttöisiä takaovia, bottiverkkoagentteja tai kirjautumistietoja varastavia komponentteja.

Tämä yhdistelmä autonomista leviämistä ja sitä seuraavia hyötykuormia on syy siihen, miksi madoilla on ollut rooli useissa suurissa globaaleissa vaaratilanteissa, mukaan lukien laajamittaiset kiristysohjelmaepidemiat, tuhoisat wiper-tyyppiset hyökkäykset, massiiviset bottiverkkotartunnat ja nopeat sisäisen verkon kompromissit, jotka ovat mahdollistaneet tietovarkaudet ja verkkotunnuksen laajuisen tunkeutumisen.

Miten matovirukset leviävät yritysverkoissa

Yritysverkot tarjoavat madoille useita reittejä liikkumiseen, eivätkä tehokkaimmat kannat luota vain yhteen tekniikkaan. Ne yhdistävät tyypillisesti automatisoidun skannauksen, haavoittuvuuksien hyödyntämisen ja kirjautumistietojen väärinkäytön, jotta ne voivat jatkaa leviämistään silloinkin, kun yksi reitti on estetty.

On vaikea liioitella, kuinka vahingollinen mato voi olla päästyään sisään yritysverkkoon. Suuret, toisiinsa kytketyt ympäristöt luovat luonnollisia leviämisreittejä, ja kun näkyvyys on rajallinen, eristämisestä tulee huomattavasti vaikeampaa.

Tunnettujen haavoittuvuuksien skannaus ja hyödyntäminen

Klassinen matokaava alkaa automatisoidulla skannauksella. Haittaohjelma(uusi ikkuna) etsii verkoista laitteita, jotka paljastavat haavoittuvan palvelun (joko internetiin näkyvän tai sisäisen), ja hyödyntää sitten tunnettua virhettä ajaakseen koodia etänä.

WannaCry on yksi tunnetuimmista esimerkeistä mato-pohjaisesta epidemiasta. Vuonna 2017 mato levisi aluksi hyödyntämällä EternalBlue-exploit-ohjelmaan liittyvää Windowsin SMB-haavoittuvuutta ja levisi automaattisesti saavutettavissa olevien järjestelmien välillä.

Organisaatiot, jotka olivat viivyttäneet tai laiminlyöneet asiaankuuluvien turvapäivitysten asentamisen, kärsivät pahiten, ja monissa tapauksissa sisäinen leviäminen aiheutti enemmän häiriöitä kuin alkuperäinen tulopiste. Sairaalat, valmistajat ja julkisen sektorin verkot kokivat laajamittaisia katkoksia, koska sisään päästyään haittaohjelma pystyi jatkamaan liikkumistaan.

WannaCry-epidemia opetti yritysmaailmalle kalliin läksyn. Tietoturvapäivitykset ovat paljon enemmän kuin pelkkää rutiinihuoltoa; ne ovat ensisijainen hallintakeino. Kun kriittiset haavoittuvuudet pysyvät avoimina, madot eivät tarvitse hienostuneita kiertotekniikoita. Ne tarvitsevat vain saavutettavissa olevia kohteita ja tarpeeksi aikaa niiden skannaamiseen.

Samaa EternalBlue-SMB-haavoittuvuutta hyödynnettiin myös muissa suurissa kampanjoissa, mukaan lukien NotPetya ja useat suuret bottiverkko- ja kryptolouhintaepidemiat, mikä osoittaa, kuinka nopeasti yksittäistä paikkaamatonta virhettä voidaan käyttää uudelleen useissa suurivaikutteisissa hyökkäyksissä.

Sivuttaissuuntainen liikkuminen jaettujen palveluiden ja ylläpitotyökalujen kautta

Verkkoon päästyään madonkaltaiset haittaohjelmat yrittävät säännöllisesti levitä sivuttaissuunnassa väärinkäyttämällä samoja työkaluja, joihin yritykset luottavat hallinnossa ja automaatiossa. Sen sijaan, että pudotettaisiin selvästi haitallisia apuohjelmia, monet kampanjat käyttävät sisäänrakennettuja etäsuoritustyökaluja ja Windowsin hallintaliittymiä siirtyäkseen järjestelmästä toiseen. Tämä tekee toiminnasta vaikeammin erotettavaa laillisesta ylläpitotyöstä ja usein viivästyttää sen havaitsemista.

NotPetya on yksi selkeimmistä esimerkeistä tästä kaavasta. Alkuperäisen vaarantumisvaiheen jälkeen se levisi sisäisesti käyttäen useita sivuttaissuuntaisen liikkumisen tekniikoita, mukaan lukien kirjautumistietojen kerääminen ja etäsuoritus PsExecin ja Windows Management Instrumentationin (WMI) kautta. Koska nämä ovat laillisia hallinnollisia mekanismeja, joita käytetään laajasti yritysten IT-operaatioissa, haitallinen tietoliikenne sulautui normaaliin hallintatoimintaan.

Tuloksena oli nopea, koko organisaation laajuinen leviäminen yritysverkkoissa, mikä aiheutti laajamittaisia operatiivisia alasajoja logistiikassa, valmistuksessa ja globaaleissa yritysympäristöissä.

Muut suuret epidemiat ovat käyttäneet vastaavanlaisia lähestymistapoja. Esimerkiksi Ryuk- ja Conti-kiristysohjelmakampanjat yhdistivät usein kirjautumistietojen varkauden laillisiin ylläpitotyökaluihin laajentaakseen ulottuvuuttaan alkuperäisen sisäänpääsyn jälkeen. Myös TrickBot- ja Emotet-tartunnat sisälsivät madonkaltaisia sivuttaissuuntaisen liikkumisen moduuleja, jotka käyttivät uudelleen varastettuja kirjautumistietoja ja alkuperäisiä Windows-työkaluja liikkuakseen sisäisissä verkoissa.

Yhteinen ketju on operatiivinen naamioituminen. Hyökkääjät liikkuvat luotettujen kanavien kautta selvästi haitallisten sijaan, ja juuri tässä salasanavarkaudet ja kirjautumistietojen paljastuminen nousevat vaikutuksen ytimeen.

Jos haittaohjelma onnistuu saamaan ylläpito- tai palvelutilin kirjautumistiedot, sen leviäminen muuttuu nopeammaksi, hiljaisemmaksi ja luotettavammaksi. Toiminta voi näyttää lailliselta lokeissa, koska se on todennettua ja käyttää hyväksyttyjä työkaluja. Käytännössä tämä tarkoittaa, että kirjautumistietojen hygienia ja etuoikeutettujen käyttöoikeuksien valvonta ovat ratkaisevia suojatoimenpiteitä sivuttaissuuntaista liikkumista vastaan.

Salasanojen arvaaminen, kirjautumistietojen varkaudet ja heikko tunnistautuminen

Jotkin madot sisällyttävät kirjautumistietohyökkäykset suoraan omaan leviämislogiikkaansa. Sen sijaan, että ne luottaisivat vain ohjelmistohaavoittuvuuksiin, ne yrittävät aktiivisesti kerätä salasanoja tartunnan saaneista järjestelmistä tai arvata niitä automatisoiduilla väsytyshyökkäyksillä. Tämä antaa niille mahdollisuuden jatkaa leviämistä silloinkin, kun alkuperäinen hyödyntämisreitti on suljettu.

Conficker on hyvin dokumentoitu esimerkki tästä. Windows-haavoittuvuuden hyödyntämisen lisäksi se yritti levitä käynnistämällä sanakirjahyökkäyksiä ylläpitäjien salasanoja vastaan koko verkossa. Se kokeili järjestelmällisesti yleisiä ja heikkoja salasanayhdistelmiä jaettuja resursseja ja ylläpitotilejä vastaan.

Ympäristöissä, joissa etuoikeutettuja kirjautumistietoja oli vähän, niitä käytettiin uudelleen tai ne olivat ennalta-arvattavia, tämä lisäsi leviämisnopeutta merkittävästi. Conficker myös haki kirjautumistietoja vaarantuneilta koneilta ja käytti niitä uudelleen tunnistautuakseen muihin järjestelmiin, yhdistäen hyödyntämiseen ja kirjautumistietoihin perustuvan leviämisen.

Uudemmat madonkaltaiset ja modulaariset haittaohjelmaperheet, mukaan lukien TrickBot ja Emotet, ovat käyttäneet kirjautumistietojen purkutyökaluja eristääkseen välimuistissa olevia salasanoja ja hajautusarvoja muistista, ja käyttäneet niitä sitten uudelleen sivuttaissuuntaiseen liikkumiseen. Tämä tekniikka antaa hyökkääjille mahdollisuuden edetä käyttäen laillista tunnistautumista haavoittuvuuksien hyödyntämisen sijaan, mikä usein vähentää tietoturvahälytyksiä ja pidentää viipymäaikaa.

Heikot salasanat, monivaiheisen tunnistautumisen (MFA) puute ja ylioikeutetut tilit jättävät verkkonne alttiiksi matohyökkäyksille. Vaikka alkuperäinen sisääntulopiste olisi puhtaasti tekninen, kirjautumistietojen vahvuus, yksilöllisyys ja käyttöoikeuksien laajuus määrittävät usein sen, kuinka kauas hyökkäys voi edetä.

Juuri tässä jäsennelty kirjautumistietojen hallinta ja salasanakontrollit ovat käytännönläheisessä roolissa hidastamassa leviämistä ja rajoittamassa sitä, kuinka pitkälle kirjautumistietoihin perustuva leviäminen voi edetä. Turvalliset yritysten salasananhallinnat, kuten Proton Pass, auttavat tukemaan tätä muun muassa valvottavien tiimikäytäntöjen, pakollisen 2FA:n ja vahvojen salasanojen vaatimusten avulla.

Siirrettävät tietovälineet ja yhteydettömät leviämisreitit

Kaikki yritystason leviäminen ei tapahdu puhtaasti verkossa. Jotkin madot on suunniteltu useilla leviämiskanavilla, jotta ne voivat liikkua silloinkin, kun verkkoreitit on rajoitettu. Skannauksen ja etähyödyntämisen lisäksi ne saattavat käyttää siirrettäviä tietovälineitä, kuten USB-levyjä, yhdistettyjä verkkojakoja ja jaettuja kansioita, hypätäkseen järjestelmien välillä, mukaan lukien segmentit, jotka eivät ole suoraan yhteydessä internetiin tai jotka on yhdistetty vain löyhästi.

Windows-haavoittuvuuden hyödyntämisen ja heikkojen ylläpitäjien salasanojen arvaamisen lisäksi tietyt Conficker-variantit levisivät myös siirrettävien levyjen kautta kopioimalla itseään ja hyödyntämällä tuohon aikaan yleisiä automaattisen käynnistyksen kaltaisia toimintoja. Tämä monivektorinen suunnittelu auttoi sitä pysymään organisaatioissa ja liikkumaan osittain segmentoituissa ympäristöissä, mukaan lukien laboratorioverkot ja operatiiviset vyöhykkeet, jotka eivät olleet suoraan yhteydessä internetiin.

Nykyaikaiset mato-ominaisuuksia omaavat haittaohjelmaperheet ovat käyttäneet vastaavia varareittejä, pudottaen kopioita jaettuihin hakemistoihin, väärinkäyttäen kirjautumisskriptejä tai istuttaen hyötykuormia yleisesti käytettyihin tiedostosijainteihin, jotta ne aktivoituvat, kun toinen käyttäjä avaa ne.

Miksi matovirukset voivat olla nopeampia kuin niihin vastaaminen

Matojen määrittävä ominaisuus on automaation tuoma nopeus. Ne vähentävät tai jopa poistavat kokonaan hyökkääjän riippuvuuden ihmisen toiminnasta. Mitään klikkausta tietojenkalasteluun ei vaadita, haitallista liitettä ei tarvitse avata, eikä käyttäjän tarvitse tehdä väärää päätöstä. Jos yhteys on olemassa ja tekninen heikkous on läsnä, mato voi toimia itsekseen.

Kirjautumistietojen uudelleenkäyttö ja heikot salasanat voivat nopeuttaa leviämistä, mutta jopa ilman niitä autonominen leviäminen on usein riittävää aiheuttamaan suuren vaaratilanteen.

Tämä automaatio supistaa reagointi-ikkunaa. Hyvin dokumentoiduissa epidemioissa organisaatiot ovat siirtyneet yhdestä vaarantuneesta päätepisteestä laajamittaiseen sisäiseen tartuntaan tunneissa, eivät päivissä. Siihen mennessä, kun valvontatyökalut havaitsevat epätavallisen tietoliikenteen tai järjestelmän epävakauden, haittaohjelma saattaa jo olla läsnä useissa segmenteissä. Tämä pakottaa turvallisuustiimit reaktiiviseen eristämiseen eristämällä verkkoja, poistamalla palveluita käytöstä ja suorittamalla hätätilanteen kirjautumistietojen palautuksia harkitun korjaamisen sijaan.

Toiminnallisesti varautuminen matoviruksiin on vähemmän täydellistä ennaltaehkäisyä ja enemmän leviämisen hidastamista sekä sen varhaista havaitsemista. Kontrollit, jotka tuovat esiin epänormaalin sisäisen skannauksen ja rajoittavat sivuttaissuuntaista liikkumista, antavat teille lisäaikaa reagoida. Vahva kirjautumistietojen hygienia pysyy kriittisenä tekijänä sivuttaissuuntaisen liikkumisen rajoittamisessa ja murron jälkeisten vahinkojen vähentämisessä, erityisesti silloin, kun hyökkääjät yrittävät liikkua varastettujen salasanojen avulla. Matoskenaarioissa aika on kaikkein tärkein resurssi.

Miksi matovirukset aiheuttavat vakavia riskejä yrityksille

Mato-pohjaiset hyökkäykset luovat erilaisen riskiprofiilin verrattuna useimpiin muihin haittaohjelmatilanteisiin. Koska madot on suunniteltu leviämään automaattisesti, ne voivat muuttaa rajallisen vaarantumisen verkon laajuiseksi tapahtumaksi, ennen kuin normaalit kontrollit ja tarkastussyklit ehtivät mukaan. Tämä nopeus vahvistaa kaikkia jälkiseuraamuksia: käyttökatkoja, kirjautumistietojen paljastumista, vaatimustenmukaisuusvelvoitteita ja palautumiskustannuksia.

Yritysjohtajille keskeinen ero on vahinkoalue. Rajoitettu haittaohjelmatartunta saattaa vaikuttaa vain muutamaan järjestelmään. Mato-ominaisuuksia omaava epidemia voi häiritä osastoja, toimipaikkoja ja jaettua infrastruktuuria samanaikaisesti. Tämä muuttaa sitä, miten vaaratilanteet kehittyvät, kuinka kauan palautuminen kestää ja kuinka paljon operatiivista ja sääntelyyn liittyvää altistumista kertyy prosessin aikana.

Laajamittainen toiminnan häiriö

Käyttäjälähtöisissä haittaohjelmissa häiriöt rajoittuvat aluksi työasemaan, jaettuun tiimikansioon tai pieneen joukkoon tilejä. Madot poistavat tämän rajan, koska ne leviävät automaattisesti, ja käyttökatko leviää tartunnan mukana.

Tämä tarkoittaa, että jaetuista palveluista tulee epävakaita tai ne eivät ole saatavilla, päätepisteitä irrotetaan verkosta niiden eristämiseksi ja palvelimia otetaan pois verkosta sivuttaissuuntaisen liikkumisen pysäyttämiseksi. Useissa suurissa mato-pohjaisissa epidemioissa organisaatiot, kuten sairaalat, valmistajat ja logistiikkapalvelujen tarjoajat, ovat joutuneet sulkemaan kokonaisia verkkosegmenttejä tai keskeyttämään toimintansa tilapäisesti vain saadakseen tilanteen takaisin hallintaan.

Jatkuvuuden näkökulmasta tämä muuttaa tietoturvaloukkauksen liiketoiminnan keskeytystapahtumaksi. Vastaaminen siirtyy korjaamisesta tilannearviointiin: mikä on pakko pitää yhdistettynä, mikä on eristettävä ja mikä voidaan rakentaa uudelleen myöhemmin.

Tämä tarkoittaa, että vaaratilanteisiin vastaamisen ja liiketoiminnan jatkuvuuden suunnittelussa tulisi mallintaa eksplisiittisesti nopeasti leviäviä sisäisiä haittaohjelmaskenaarioita, ei pelkästään ulkokehän tietomurtoja.

Kirjautumistietojen vaarantuminen ja oikeuksien korottaminen

Madot ja madonkaltaiset kampanjat leikkaavat usein kirjautumistietojen vaarantumisen kanssa. Jotkin variantit keräävät kirjautumistietoja suoraan, kun taas toiset luottavat varastettuihin salasanoihin ja hajautusarvoihin, joita mukanatulevat haittaohjelmat tai hyödyntämisen jälkeiset työkalut keräävät.

Olipa miten tahansa, kelvolliset kirjautumistiedot lisäävät huomattavasti leviämisen nopeutta ja onnistumisprosenttia. Verkkoympäristöt, jotka luottavat jaettuihin ylläpitäjätileihin, uudelleenkäytettyihin salasanoihin järjestelmien välillä tai laajoihin pysyviin käyttöoikeuksiin, ovat erityisen alttiita.

Kirjautumistietojen vaarantuminen muuttaa sivuttaissuuntaisen liikkumisen “mahdollisesta” “rutiininomaiseksi”. Hyökkääjät voivat tehdä kyselyjä hakemistoihin, käyttää hallintatyökaluja ja tavoittaa arvokkaita järjestelmiä luotettuja reittejä pitkin.

Tästä syystä madot ja salasanavarkaudet kytkeytyvät niin tiiviisti toisiinsa todellisissa vaaratilanteissa. Vaarantunutta salasanaa käytetään harvoin vain yhteen tiliin. Monissa yritysympäristöissä siitä tulee hakemisto siitä, minne muualle hyökkääjä voi seuraavaksi siirtyä, mikä on juuri se kohta, jossa kirjautumistietojen hallinto ja hallittu salasanojen hallinta alkavat olennaisesti vähentää riskiä.

Tietojen paljastuminen ja vaatimustenmukaisuuden seuraamukset kasvavat sivuttaisen leviämisen myötä

Vaikka madon ensisijainen hyötykuorma olisi häiriön aiheuttaminen tai kiristysohjelman levittäminen, toissijaisena riskinä on usein tietojen paljastuminen. Kun mato-pohjainen leviäminen saavuttaa jaettuja tiedostoja, yhteistyöjärjestelmiä, sähköpostivarastoja, sisäisiä portaaleja ja tietokantoja, mahdollisesti paljastuneiden tietueiden määrä kasvaa nopeasti. Pääsyreiteistä, joita ei ollut koskaan tarkoitettu laajasti saavutettaviksi, tulee saavutettavia vaarantuneiden tilien ja siirrettyjen istuntojen kautta.

Säännellyille organisaatioille ja korkean luottamuksen palveluntarjoajille tämä paljastuminen laajentaa vaaratilanteen tietoturvaongelmasta vaatimustenmukaisuutta ja sopimuksia koskevaksi ongelmaksi. Tietomurrosta ilmoittamisvelvollisuudet, asiakkaille raportointia koskevat lausekkeet, sääntelijöiden tiedustelut ja ulkopuolisten tahojen auditoinnit saattavat kaikki käynnistyä mahdollisen pääsyn perusteella, ei vain vahvistetun tiedon varastamisen perusteella.

Käytännössä tämä tarkoittaa, että tutkinnan laajuus, lokien laatu ja käyttöoikeuksien jäljitettävyys vaikuttavat suoraan oikeudellisiin ja taloudellisiin lopputuloksiin.

Matoepidemiat sijoittuvat nykyaikaisen yritysten kyberriskin laajempaan kenttään kiristysohjelmien, tietojenkalasteluun perustuvan vaarantumisen ja toimitusketjuhyökkäysten rinnalle, mutta yhdellä keskeisellä erolla: ne supistavat aikajanaa. Nopea leviäminen jättää vähemmän tilaa huolelliselle vahvistukselle ja vaiheittaiselle reagoinnille, mikä lisää raportointivirheiden, huomaamatta jääneiden indikaattoreiden ja valvontapuutteiden todennäköisyyttä.

Saadaksenne laajemman johdon tason yleiskatsauksen siitä, miten nämä riskit yhdistyvät, tutustukaa katsaukseemme nykyisistä kyberturvallisuusuhista, joita yritykset kohtaavat.

Resurssien kuluminen ja piilevät vahingot pidentävät palautumisaikaa

Jotkin madot aiheuttavat aineellista vahinkoa yksinkertaisesti leviämällä aggressiivisesti. Automatisoitu skannaus, kopioituminen ja etäsuoritusyritykset voivat tukkia kaistanleveyden, ylikuormittaa päätepisteitä ja heikentää kriittisiä palveluja. Suorituskyvyn laskiessa järjestelmistä tulee epävakaita, ja IT-tiimit joutuvat suorittamaan laajoja hätäkorjauksia. Tämä pitää sisällään paikkaamista, eristämistä, uudelleenrakentamista ja kirjautumistietojen vaihtamista suurissa laiteryhmissä.

Matotoiminta on myös äänekästä, mikä tarkoittaa, että se monimutkaistaa huomattavasti oikeuslääketieteellistä tutkintaa. Perimmäistä syytä voi olla vaikeampi paikantaa, koska oireet ilmenevät useissa järjestelmissä samanaikaisesti. Turvallisuustiimit saattavat havaita laajamittaista epävakautta ennen kuin he pystyvät selvästi tunnistamaan nollapotilaan tai alkuperäisen hyödyntämisreitin. Tämä epävarmuus hidastaa laajuuden määrittämistä ja voi pitkittää eristämispäätöksiä.

Yhteenvetona voidaan todeta, että matotapaukset ovat harvoin yksittäisiä vikoja. Ne käyttäytyvät pikemminkin kuin ketjutetut tapahtumat, joissa tekninen leviäminen laukaisee operatiivisen häiriön, mikä puolestaan johtaa vaatimustenmukaisuus-, auditointi- ja palautumisseuraamuksiin. Suunnittelu, työkalut ja kirjautumistietojen kontrollit tulisi suunnitella tämä ketjureaktio mielessä pitäen, ei vain alkuperäistä tietomurtohetkeä.

Turvallisuuskäytännöt, jotka auttavat ehkäisemään matovirusepidemioita

Ihanteellinen puolustus matoja vastaan on kerrostettu lähestymistapa, joka on suunniteltu tekemään kahta asiaa: vähentämään madon sisäänpääsyn tai suorittamisen mahdollisuutta sekä rajoittamaan sitä, kuinka pitkälle se voi levitä, jos niin käy. Alla on esitetty joitakin käytännön toimenpiteitä, joilla on eniten merkitystä yritysverkoissa.

1. Korjaustiedostojen hallinta, joka käsittelee tunnettuja haavoittuvuuksia kiireellisinä

Koska useimmat suuret matoepidemiat onnistuvat hyödyntämällä haavoittuvuuksia, joihin on jo julkaistu korjauksia, tekninen ratkaisu perustuu turvapäivitysten asentamisen ajoitukseen ja toteutukseen.

Korjausten viivästyminen johtuu usein muutoshallinnan kitkasta, käyttöaikahuolista tai epäselvästä omistajuudesta, mutta riskin näkökulmasta alttiina olevia kriittisiä haavoittuvuuksia tulisi kohdella aktiivisena vaaratilanteen polttoaineena.

WannaCry levisi maailmanlaajuisesti ympäristöissä, joissa korjaustiedostoja oli ollut saatavilla, mutta niitä ei ollut täysin julkaistu, tai joissa vanhentuneet järjestelmät olivat jääneet paikkaamatta.

Mitä tämä tarkoittaa käytännössä:

  • Asettakaa korjaustiedostojen SLA-tasot vakavuuden ja altistumisen perusteella, ei mukavuuden perusteella
  • Nopeuttakaa etäsuorituksen ja verkkopalveluiden puutteiden käsittelyä
  • Ylläpitäkää ajantasaista luetteloa tukemattomista ja elinkaarensa päässä olevista järjestelmistä
  • Raportoikaa korjaustiedostojen ruuhka riskimittarina, ei vain IT-mittarina

2. Verkon segmentointi leviämisen hidastamiseksi

Madot leviävät nopeimmin litteissä verkoissa, joissa useimmat järjestelmät voivat kommunikoida useimpien muiden järjestelmien kanssa oletuksena. Segmentointi lisää rajoja, ja rajat luovat havainnointi- ja hallintapisteitä.

Tavoitteena on hallittu ulottuvuus. Vaarantuneella käyttäjän työasemalla ei saisi olla suoria reittejä palvelimiin, ylläpitoliittymiin ja varmuuskopioinfrastruktuuriin.

Käytännön segmentoinnin prioriteetit:

  • Erottakaa käyttäjä-, palvelin- ja ylläpitovyöhykkeet
  • Rajoittakaa sivuttaissuuntaista SMB:tä ja etähallintaprotokollia oletuksena
  • Siirtäkää korkea-arvoiset järjestelmät hyppykoneiden tai käyttöoikeuksien välittäjien taakse
  • Kirjatkaa lokiin ja asettakaa hälytykset segmenttien väliselle ylläpitotoiminnalle

Segmentointi ei pysäytä jokaista matoa, mutta se muuttaa usein nopean epidemian hallittavaksi eristämistehtäväksi.

3. Vahva käyttöoikeuksien valvonta ja vähimmät oikeudet

Madon vaikutus kasvaa voimakkaasti, kun etuoikeutettuja kirjautumistietoja on saatavilla. Jos haittaohjelma saavuttaa ylläpitotason, leviämisestä tulee helpompaa, hiljaisempaa ja luotettavampaa. Oikeuksien rajoittaminen on yksi tehokkaimmista tavoista pienentää vahinkoaluetta.

Keskittykää pysyvien oikeuksien vähentämiseen, älkää pelkästään kontrollien lisäämiseen.

Erittäin arvokkaat käytännöt:

  • Erottakaa ylläpito- ja päivittäiskäyttötilit
  • Poistakaa pysyvät paikalliset ylläpito-oikeudet mahdollisuuksien mukaan
  • Käyttäkää työtehtävään sidottuja roolipohjaisia käyttöoikeuksia
  • Tarkistakaa etuoikeutettujen ryhmien jäsenyydet kiinteän aikataulun mukaisesti

Käyttöoikeuksien tulisi olla tarkoituksellisia, mahdollisuuksien mukaan aikasidonnaisia ja säännöllisesti tarkistettuja, ei ajan myötä kertyneitä ja unohdettuja.

4. Turvallinen kirjautumistietojen hallinta kirjautumistietoihin perustuvan sivuttaissuuntaisen liikkumisen vähentämiseksi

Tämä on suorin yhteys madon leviämisen ja salasanavarkauden välillä. Kirjautumistietoihin perustuva sivuttaissuuntainen liikkuminen kukoistaa siellä, missä salasanojen uudelleenkäyttö on yleistä, jaettuja kirjautumistietoja on vaikea kiertää, salaisuuksia on tallennettu asiakirjoihin tai chat-ketjuihin, eikä kenelläkään ole luotettavaa näkemystä siitä, kenellä on pääsy mihinkin järjestelmiin. Näissä ympäristöissä yksi kaapattu kirjautumistieto avaa usein useita reittejä.

Käytännön tavoitteena on hallinnan rakentaminen kirjautumistietojen suunnittelun kautta. Kun salasanat ovat järjestelmäkohtaisia, suojattuihin holveihin tallennettuja ja jaettu valvottujen mekanismien kautta kopioinnin ja liittämisen sijaan, yksittäinen vaarantuminen ketjuuntuu paljon epätodennäköisemmin. Tämä hidastaa suoraan matojen avustamaa ja hyödyntämisen jälkeistä leviämistä.

Käytännössä tämä tarkoittaa seuraavaa:

  • Ei jaettuja ylläpitäjien salasanoja palvelimien tai palveluiden välillä
  • Ei kirjautumistietoja laskentataulukoissa, palvelupyynnöissä tai chattien lokeissa
  • Holvipohjainen tallennus oikeuksiin perustuvalla jakamisella
  • Nopea, keskitetty salasanojen vaihtaminen, kun vaarantumista epäillään

Turvallinen yrityksen salasananhallinta, kuten Proton Pass, tukee tätä tekemällä vahvojen salasanojen luomisesta, turvallisesta tallennuksesta ja hallitusta jakamisesta oletustyönkulun. Juuri tämä vähentää kirjautumistietoihin perustuvan leviämisen riskiä todellisissa vaaratilanteissa.

5. Työntekijöiden turvallisuustietoisuus, joka vastaa todellisia työnkulkuja

Madot eivät aina vaadi käyttäjän vuorovaikutusta, mutta käyttäjät vaikuttavat silti matoriskiin päivittäisillä valinnoillaan, kuten kytkemällä tuntemattomia laitteita, ohittamalla päivityskehotuksia, hyväksymällä odottamattomia käyttöoikeuspyyntöjä tai reagoimalla tietojenkalasteluun, joka toimittaa alkuperäisen haittaohjelman.

Turvallisuustietoisuus toimii parhaiten silloin, kun sitä käsitellään työpaikan tapana, jota tuetaan selkeillä käytännöillä ja säännöllisellä vahvistamisella. Meillä on jo käytännön opas turvallisuustietoisen kulttuurin rakentamiseen työpaikalla.

6. Valvonta ja havaitseminen, joka saa kiinni epänormaalin leviämisen

Koska madot tuottavat suuria määriä automatisoitua verkon toimintaa, ne paljastavat usein havaittavia malleja jo varhaisessa vaiheessa, jos etsitte oikeita signaaleja. Tehokas valvonta keskittyy vähemmän yksittäisiin hälytyksiin ja enemmän epänormaaliin sisäiseen käyttäytymiseen laajemmassa mittakaavassa.

Tavoitteena on nopea hahmontunnistus. Vahvoja indikaattoreita madonkaltaisesta leviämisestä ovat muun muassa:

  • Yhtäkkiset piikit sisäisessä porttiskannauksessa tai yhteysyrityksissä
  • Epätavallinen SMB-, RDP- tai etäsuoritustietoliikenne vertaisjärjestelmien välillä
  • Tunnistautumisen epäonnistumisten sarjakuvaus, joka viittaa salasanojen ruiskutukseen (password spraying)
  • Uudet tai etuoikeutetut istunnot, jotka ovat peräisin odottamattomista isäntäkoneista
  • Samanaikaiset määritys- tai palvelumuutokset useissa päätepisteissä

Toiminnallisesta näkökulmasta näiden havaintojen tulisi laukaista eristämisen ohjekirjat. Kun varhaisempi matotyylinen leviäminen tunnistetaan, vastaus siirtyy koko yrityksen laajuisesta häiriöstä hallittuun eristämiseen vaaratilanteen pienentämiseksi.

7. Vaaratilanteen eristäminen, joka olettaa nopeutta

Matotapaukset etenevät liian nopeasti hitaille, paljon hyväksyntää vaativille vastausmalleille. Eristämissuunnitelmien tulisi olettaa nopeaa leviämistä ja asettaa päättäväinen toiminta täydellisen tiedon edelle. Ensimmäinen tavoite on leviämisen hidastaminen, vaikka se tarkoittaisi tilapäistä häiriötä.

Keskeisiin eristämistoimenpiteisiin kuuluvat tyypillisesti:

  • Vaikutusten kohteena olevien päätepisteiden ja verkkosegmenttien eristäminen
  • Tunnettujen haitallisten tietoliikennemallien ja protokollien estäminen
  • Sivuttaissuuntaisen liikkumisen kanavien poistaminen käytöstä tai rajoittaminen
  • Pysyvyysmekanismien ja ajoitettujen tehtävien poistaminen
  • Kirjautumistietojen palautuksien pakottaminen, kun vaarantuminen on todennäköistä

Kirjautumistietoihin liittyvät toimenpiteet ovat merkittävä osa eristämistä. Matoavusteisiin vaaratilanteisiin liittyy usein salasanojen paljastumista, tunnisteiden varkauksia tai hajautusarvojen uudelleenkäyttöä, mikä tarkoittaa, että massiivisten salasanojen palautusten, käyttöoikeuksien peruuttamisen ja avainten vaihtamisen tulisi olla ennalta hyväksyttyjä toimintaohjeiden vaiheita, ei vain improvisoituja päätöksiä.

Aivan yhtä tärkeää on se, että eristäminen on sekä organisatorista että teknistä. Tiimit tarvitsevat ennalta määritetyt valtuudet, viestintäreitit ja toimintakynnykset. Kun roolit ja toimintaohjeet ovat selkeitä, vasteaika lyhenee. Matoepidemioissa koordinoinnin nopeus ratkaisee usein sen, kuinka pitkälle vahinko leviää.

Miten Proton Pass for Business tukee yritysten turvallisuutta

Mato-pohjaiset ja madonkaltaiset hyökkäykset onnistuvat harvoin pelkän hyödyntämisen avulla. Sen sijaan ne leviävät ja laajenevat kirjautumistietojen kautta. Kun hyökkääjät voivat käyttää uudelleen tai kerätä salasanoja, sivuttaissuuntaisesta liikkumisesta tulee helpompaa, hiljaisempaa ja nopeampaa. Tämä tekee kirjautumistietojen hallinnosta käytännöllisen valvontapisteen silloinkin, kun alkuperäinen hyökkäysvektori on tekninen.

Proton Pass for Business on suunniteltu vähentämään tätä kirjautumistietoihin liittyvää riskikerrosta. Se auttaa organisaatioita korvaamaan salasanojen hallitsemattoman leviämisen hallituilla, salatuilla holveilla, joissa tiimit voivat luoda vahvoja, yksilöllisiä kirjautumistietoja ja tallentaa ne turvallisiin, salattuihin holveihin. Se lisää myös käytännönläheisiä suojakaiteita – kuten valvottavia käytäntöjä ja pakollisen 2FA:n – tekemään turvallisesta käytöstä organisaation laajuisen oletuksen.

Esimerkiksi hallittu, turvallinen kirjautumistietojen jakaminen korvaa salasanojen epävirallisen jakelun, ja ylläpitäjän käytännöt sekä käyttölokit parantavat näkyvyyttä siihen, kuka voi käyttää mitäkin. Tämä ei korvaa paikkaamista, segmentointia tai valvontaa. Sen sijaan se vahvistaa niitä. Yksilölliset kirjautumistiedot, hallittu jakaminen ja nopeampi salasanojen vaihtaminen rajoittavat suoraan sitä, kuinka pitkälle kirjautumistietoihin perustuva leviäminen voi ulottua, ja yksinkertaistavat reagointia, kun palautuksia tarvitaan.

Proton Pass on avointa lähdekoodia ja riippumattomasti auditoitu, mikä tukee organisaatioita, jotka tarvitsevat todennettavissa olevaa suojaa käyttöoikeustiedoilleen. Osana kerrostettua turvallisuusmallia kirjautumistietojen hygienia on yksi vaikuttavimmista kontrolleista, joita voitte parantaa nopeasti.

Kerrostetussa yrityksen turvallisuuslähestymistavassa kirjautumistietojen hygienia ei ole ainoa kontrolli, mutta se on yksi vaikuttavimmista. Se vähentää mahdollisuutta sille, että yksittäisestä vaarantuneesta salasanasta tulee verkon laajuinen ongelma.

Matoepidemiat etenevät nopeasti, joten toimintasuunnitelmanne on oltava vielä nopeampi. Lukekaa kyberturvallisuuden vaaratilanteisiin vastaamisen oppaamme rakentaaksenne toimintaohjeen, joka auttaa teitä rajaamaan uhkia, koordinoimaan toimintaa ja palautumaan pienemmin häiriöin.