Vuonna 2016 Deloitten miljooniin sähköposteihin murtauduttiin, kun hakkerit pääsivät käsiksi ylläpitäjän tiliin, jonka avulla he pääsivät rajoittamattomasti Deloitten pilvipohjaiseen sähköpostijärjestelmään. Tapauksen tutkimuksissa paljastui, että ylläpitäjän tilillä oli vain yksi suojaustaso - salasana - ilman muita tunnistusmenetelmiä.
Tämä olisi voitu helposti estää, jos järjestelmänvalvojan tilillä olisi ollut käytössä kaksitekijätodennus (2FA). Salasanan käytön lisäksi 2FA edellyttää, että käyttäjät antavat lisätodisteita, jotka vahvistavat heidän henkilöllisyytensä. Tämä voi olla joko jotain, joka on vain käyttäjällä itsellään, kuten älypuhelin, tai biometrinen tunniste, kuten sormenjälki.
Microsoft arvioi, että monitekijätodennuksen tehokkuus on yli 1,5 prosenttia. 99,9 prosenttiaja estää käytännössä kaikki tilien vaarantamishyökkäykset. Tämä on erittäin tärkeää, kun otetaan huomioon, että "murtunut todennus" on jatkuvasti ollut yksi OWASP Top Ten -haavoittuvuuksista.
Hakkerit käyttävät yleensä jotakin seuraavista tekniikoista saadakseen käyttäjän tunnistetiedot:
- Laajapohjainen phishing tarkoittaa sitä, että haitallinen toimija lähettää väärennetystä sähköpostiosoitteesta yleisen sähköpostiviestin, jossa vastaanottajia kehotetaan kirjautumaan väärennetylle verkkosivulle käyttäen heidän todellisia tunnuksiaan. Phishing-sähköpostissa ilmoitetut syyt voivat vaihdella "uuden työkalun käyttöönotosta", "salasanan palauttamisesta" tai ironisesti "epäilyttävän tilitoiminnan vahvistamisesta".
- Spear phishing noudattaa samaa mallia kuin laajapohjainen phishing, mutta sähköpostiviestit on suunnattu kullekin kohteelle. Tämä tarkoittaa sitä, että sähköpostiviestissä käyttäjälle osoitetaan hänen oikea nimensä tai hänen säännöllisesti käyttämänsä sovellukset. Spear phishing -sähköpostiviestit vaikuttavat uskottavammilta kuin vastaavat, mikä lisää niiden onnistumisprosenttia.
- Tunnusten täyttämishyökkäykset, joissa haitallinen toimija, joka onnistuu löytämään tai ostamaan kohteen salasanan, pääsee käsiksi kaikkiin tileihin, joilla on sama salasana. Tämä on erityisen ongelmallista, kun otetaan huomioon käyttäjien henkilökohtainen tietoturvatietoisuus. Vuodesta 2020 lähtien yli 50 prosenttia ihmisistä myöntää käyttävänsä samaa salasanaa useilla tileillä. Tämä jättää sekä heidän henkilökohtaiset tietonsa että heidän työtietonsa alttiiksi tämäntyyppisille hyökkäyksille.
- Salasanojen levittämisen avulla hyökkääjät pääsevät sisään kokeilemalla yleisiä tai oletussalasanoja. Yleisimpiä esimerkkejä ovat salasanat, kuten "123456" ja "password".
Miksi kaksitekijätodennus on tärkeä?
Kuten näemme, salasanan murtaminen ei ole mahdoton tehtävä, eikä se vaadi hyökkääjiä penkomaan kohteen roskiksia siinä toivossa, että he löytäisivät paperin, johon on kirjoitettu heidän tunnistetietonsa.
Näiden kolmen hyökkäystyypin - tietojenkalasteluhyökkäysten, valtakirjojen täyttämisen ja salasanojen levittämisen - välillä on helppo kuvitella, että tuhannesta työntekijästä ainakin yksi voi joutua vaaraan. Ja se asettaa koko organisaation vaaraan.
Kun sekaan kuitenkin lisätään toinen todennustapa, kompromissiriski lähestyy nollaa. Vaikka salasana voidaankin murtaa, hyökkääjän mahdollisuudet päästä myös etänä käsiksi kohteen todennuslaitteeseen tai biometriseen tunnisteeseen ovat lähes olemattomat. Näin 99,9 prosenttia tilien vaarantamisista voidaan estää.
Turvallisuustietoisuuskoulutus on kriittinen tekijä kaksitekijätodennuksen onnistumiselle.
Kahden tekijän todennuksen käyttöönotossa organisaatiossasi on kaksi näkökohtaa.
Ensinnäkin teknologia. Kaksitekijätodennuksen käyttöönottamiseksi on valittava menetelmä, jolla käyttäjät todennetaan. Yleisin menetelmä on nykyään älypuhelimen käyttö. Office 365:n kaltaisissa tuotteissa on sisäänrakennetut MFA-toiminnot ja käytäntöjen hallinta, joiden avulla käyttäjien mobiilisovellukset voidaan helposti määrittää henkilöllisyyden todisteeksi.
Toinen ja ehkä haastavin asia ovat ihmiset. Käyttäjien on suoritettava ylimääräinen kirjautumisvaihe joka kerta, kun he käyttävät työkalua, jossa MFA on käytössä. Tässä kohtaa tietoturvatietoisuuskoulutus on välttämätöntä. Jos työntekijöille ei järjestetä koulutuskampanjaa, jossa kerrotaan kaksitekijätodennuksen tärkeydestä, jotkut käyttäjät saattavat kokea ylimääräisen todennusvaiheen hankalaksi ja siirtyä käyttämään luvattomia sovelluksia - kuten WhatsAppia - tiedostojen ja viestien jakamiseen. Tällaista luvattoman sovelluksen käyttöä kutsutaan varjo-IT:k si, ja se on erittäin riskialtis käytäntö, koska se ohittaa kaikki yrityksen tietoturvatoimet.
Käyttäjien tietoisuus tietoturvasta on entistäkin tärkeämpää, kun tarkastelemme uudelleen valtakirjojen täyttämishyökkäystä. Jos yli 50 prosenttia käyttäjistä käyttää samaa salasanaa useilla tileillä, on myös hyvin todennäköistä, että he jakavat salasanoja henkilökohtaisten ja työtilien välillä.
Ihmisen palomuurin luominen kaksitekijätodennuksen avulla
Tästä syystä suosittelemme, että tietoturvatietoisuuskoulutuskampanjoita laajennetaan työntekijöiden henkilökohtaisiin tietoturvatottumuksiin. 2FA:n ottaminen käyttöön henkilökohtaisissa sähköpostipalveluissa, kuten Gmailissa, on helppo ottaa käyttöön ja kätevä käyttää. Tästä yksittäisestä toimenpiteestä on kaksisuuntaista hyötyä, suoraan käyttäjälle ja epäsuorasti organisaatiolle, sillä se minimoi tietomurtojen riskin.
Sen lisäksi, että kaksitekijätodennuksen tärkeyttä korostetaan henkilökohtaisessa käytössä, tapahtumienhallintakoulutus voi myös auttaa käyttäjiä, jotka ovat joutuneet tietoturvaloukkauksen kohteeksi, noudattamaan menettelyä, jolla voidaan estää lisävahinkoja, kuten raportoimaan tietoturvaloukkauksista asianomaisille tietotekniikkaryhmille ja vaihtamaan salasanoja tarpeen mukaan.
Koulutuskampanjat, joilla edistetään henkilökohtaista tietoisuutta tietoverkkoturvallisuudesta, ovat ainoa keino saada käyttäjien vapaaehtoinen sitoutuminen. Kun työntekijät ymmärtävät, miten tärkeää on pitää sekä työ- että kotitietotekniikka- ja viestintäpalvelut turvassa, he luovat vankan perustan koko yritykselle.
