Edellisessä blogissani käsittelin yleisesti Zero Trustia. Nyt kerron, miten Centeron palvelut edistävät tiettyjä Zero Trustin osa-alueita. On hyvä todeta, että kyseinen suojausmalli sisältää monta eri osa-aluetta, joita voidaan vahvistaa lukuisilla erilaisilla tavoilla. Centero Carillon ja Centero Software Manager eivät yksinään tee autuaaksi, mutta ne kohentavat radikaalisti juuri oman pelipaikkansa puolustusta.

Vähimpien oikeuksien periaate

Kerrostalon asukkaalla ei ole talon yleisavaimia. Samaan tapaan IT-ympäristöissä asukkaisiin verrattavilla käyttäjillä ei pitäisi olla yleisavaimiin verrattavia pääkäyttäjäoikeuksia.

Nykyaikana tietotyöntekijä joutuu tunnistautumaan erilaisiin järjestelmiin, laitteisiin ja palveluihin jatkuvasti. Yleisesti ottaen näissä kaikissa tulisi olla kirjautuneena aina niin matalalla roolilla tai käyttöoikeudella, kuin mahdollista. Tämän tarkoituksena on estää loppukäyttäjää tekemästä haitallisia toimia vahingossa tai tahallisesti. Myös siinä tapauksessa, että mahdollinen hyökkääjä saa tunnukset haltuunsa, rajoitukset toimivat samalla tapaa.

Windows-käyttöjärjestelmässä on ollut iät ajat käyttäjätunnuksiin kytkettyjä erilaisia rooleja. Yleisimmin käyttäjä joko kuuluu käyttäjät (users) ja/tai järjestelmänvalvojat (administrators) ryhmään. Windows 10 käyttäjät -ryhmän kuvaus kuuluu näin: ”Käyttäjät eivät voi tehdä järjestelmänlaajuisia muutoksia vahingossa tai tarkoituksellisesti. He voivat kuitenkin käyttää useimpia sovelluksia.”

Zero Trust -suojausmallissa ei oletuksena luoteta yhteenkään käyttäjään. Siksi loppukäyttäjän ei tule kuulua järjestelmänvalvojat-ryhmään.

BeyondTrust julkaisi vuonna 2020 raportin koskien Microsoftin haavoittuvuuksia vuodelta 2019. Raportti on aika hurjaa luettavaa liittyen käyttäjäoikeuksien vaikutukseen haavoittuvuuksien hyödyntämisessä.

  • 77 % Microsoftin käyttöjärjestelmiin kohdistuvien kriittisten haavoittuvuuksien hyödyntämisestä olisi voitu estää poistamalla käyttäjiltä paikalliset järjestelmänvalvojan oikeudet.
  • Vuorostaan yleisimmille työasemien käyttöjärjestelmille eli Windows 10, 8.1 ja 7 vastaava lukema oli 80 %.
  • Tuo vastaava luku Microsoft Edge ja Internet Explorer -selaimille oli 100 %.

Alta voit katsoa, mitä arvostettu kyberturvallisuuden asiantuntija, Sami Laiho, kertoo edelliseen kappaleeseen liittyvistä asioista helmikuussa 2021 järjestämässä webinaarissamme.

 

Toisin sanottuna poistamalla paikalliset järjestelmänvalvojan oikeudet käytöstä, voidaan taklata suurin osa kriittisistä haavoittuvuuksista omassa työasemaympäristössä.

Jotkut ajattelevat, että saman asian ajaa jatkuva kuukausittainen käyttöjärjestelmien päivittäminen. Käyttöjärjestelmäpäivityksen tuoma suoja astuu kuitenkin vasta voimaan kun päivitys on asennettu ja päätelaite on uudelleenkäynnistetty. Ajattelepa kuitenkin, kuinka kauan kestää, ennen kuin organisaatiosi saa päivitettyä laitekantaan viimeisimmät tietoturvapäivitykset.

Ponemonin (Ponemon 2019) tekemän tutkimuksen mukaan kriittiseksi tai korkeaksi luokitellun haavoittuvuuden hyväksikäyttöä huomataan keskiarvollisesti 43 päivän kuluttua korjaavan päivityksen julkaisusta. Saman tutkimuksen mukaan organisaatiot päivittävät kriittisesti haavoittuvan ohjelman keskiarvollisesti 16 päivässä.

Kun näistä edellä mainituista tutkimuksista vedetään johtopäätöksiä, keskimäärin 80% kriittisten haavoittuvuuksien hyödyntäminen voidaan estää jo 16 päivän ajan, ennen kuin organisaatio saa asennettua paikkaavan tietoturvapäivityksen.

Nollapäivähaavoittuvuus on haavoittuvuus, johon ei sillä hetkellä ole saatavilla päivitystä tai korjausta, kun tieto haavoittuvuudesta tulee julkiseksi. Kyberrikolliset käyttävät nollapäivähaavoittuvuuksia hyvin aktiivisesti, koska nollapäivähaavoittuvuuksia ei pystytä heti paikkaamaan. Tämän vuoksi käyttäjäoikeuksien järkevä hallinta on kaikkein tehokkain lääke nollapäivähaavoittuvuuksien hyödyntämistä vastaan.

Tarkistaminen

Kyberturvallisuuden kannalta ideaalitilanteessa kaikki loppukäyttäjät tulee pitää käyttäjät-ryhmässä. Oikeassa elämässä on kuitenkin poikkeuksia, ja joskus tulee tarve, että loppukäyttäjän tarvitsee suorittaa joku käyttöjärjestelmän toimenpide korotetuin oikeuksin.

Joissakin tapauksissa käyttäjille annetaan erillinen paikallinen järjestelmänvalvojan tunnus, joskus saatetaan jopa antaa käyttöön toimialuetason järjestelmänvalvojan tunnus tai Azure AD:ssa käyttäjän tili määritellään ylimääräiseksi paikalliseksi järjestelmänvalvojaksi. Kaikissa näissä tapauksissa kuitenkin luotetaan siihen, että käyttäjä pystyy käyttämään tunnuksiaan turvallisesti. Tämä ei kuitenkaan koskaan ole 100 % taattua, koska ulkopuoliset uhat vaanivat alati IT-ympäristöjen heikkoja lenkkejä.

Zero Trust kehottaa tarkistamaan aina. Centero Carillon mahdollistaa tämän. Käyttäjä voi olla kirjautuneena henkilökohtaisella tunnuksella, joka kuuluu ainoastaan käyttäjät-ryhmään, ja kun käyttöoikeuksien korotusta tarvitaan, se suoritetaan Carillonin toimesta erillisellä tilillä. Tätä varten pyydetään organisaation IT-tuesta tai muulta sovitulta taholta aktivointikoodi, joka mahdollistaa korotetun toimenpiteen. Näin hallitaan paikallisia käyttäjäoikeuksia oikealla tavalla.

Mikäli käytettävyyden ja kyberturvallisuuden välillä tehdään hieman lisää tasapainottelua, mahdollistaa Carillon myös itsepalvelumallin, jossa edistyneet käyttäjät voivat suorittaa korotetun toimenpiteen syöttämällä korotettujen oikeuksien tarpeen syyn UAC-ruudun (User Account Control) tekstikenttään. Kummassakin tapauksessa korotuksia voidaan valvoa ja raportoida.

Centero Carillon mahdollistaa admin-oikeuksia vaadittujen toimenpiteiden suorittamisen turvallisesti itsepalveluna.

Sivuttaissiirtymisen vaikeuttaminen

Käyttäjäoikeuksilla on merkittävä vaikutus myös tietomurron yhteydessä tapahtuvaan sivuttaissiirtymisen ja hyökkääjän jalansijan saamisen vaikeuttamiseen. Päätelaitteille kirjautuminen korotetuilla oikeuksilla saattaa olla liian helppoa jos sitä ei ole rajattu mitenkään.

Liian moni organisaatio käyttää esimerkiksi paikallista järjestelmänvalvojan tunnusta samalla salasanalla kaikilla laitteilla. Useasti tämä on se niin sanottu varatunnus, jolla päästään kirjautumaan jos muut eivät toimi. Tähänkin löytyy paljon suosituksia, mutta perusperiaatteen mukaisesti yhden tilin vaarantuessa muut laitteet eivät saisi olla vaarassa.

Carillon ratkaisee myös tämän ongelman. Jokaisella päätelaitteella voi olla täysin uniikki käyttäjätunnus, joka on oletuksena passivoitu ja jonka salasanaa vaihdetaan jatkuvasti.

Faktat ovat kiistattomat. Vie organisaatiosi kohti Zero Trust -aikakautta, ja ota Carillon käyttöön. Jos olet aiheesta eri mieltä, tervetuloa keskustelemaan kanssani aiheesta Centero Caven virtuaalisen tietoturvalaboratorioon.

Terveisin, Kyberturvallisuuden Teräskoura

 

Lisäluettavaa ja lähteitä

BeyondTrust. 2020. MICROSOFT VULNERABILITIES REPORT 2020.

Ponemon. 2019. COSTS AND CONSEQUENCES OF GAPS IN VULNERABILITY RESPONSE.


Varaa Carillon Demo

Esittelemme Carillonia lyhyessä etädemossa.

Lisää luettavaa aiheesta:

Säästä rahaa parantamalla tietoturvaa

Blogin kirjoittaja on Centeron asiakassuhteista vastaava Teemu Tiainen. Tietoturvaa parantamalla voi säästää rahaa Väitän tässä aluksi, että yksittäistä tietoturvan osa-aluetta parantamalla 50 hengen organisaatio voi helposti säästää 700 € kuukaudessa. Kannattaa lukea, miten tämä on mahdollista. Väitän lisäksi, että tietoturvassa petraamalla, IT-ympäristö voi samalla yksinkertaistua, IT-ylläpidossa voidaan säästää, työntekemisen välineet saattavat muuttua modernimpaan ja monipuolisempaan suuntaan, ja […]

Käyttäjäoikeuksien järkevä hallinta on avain hyvään tietoturvaan!

Organisaation tietoturvan riskitaso ja käyttäjäoikeuksiin liittyvä politiikka kulkevat monesti käsi kädessä. Centeron tekemän tutkimuksen mukaan yllättävän monessa organisaatiossa käyttäjäoikeuksien hallintaan ei suhtauduta tarvittavalla vakavuudella. Ota avuksesi kevytopas ja tutustu faktohin käyttäjäoikeuksien hallinnasta.