Vaara uhkaa verkon reunalaitteissa

Hyökkääjä iskee kriittisten haavoittuvuuksien kautta

Verkon reunalaitteilla tarkoitetaan oman verkon ja julkisen internetin välissä toimivia liikennettä välittäviä laitteita, kuten palomuureja, reitittimiä ja VPN-palvelimia. Verkon reunalaitteissa piilee huomattavia riskejä yrityksen turvallisuuden kannalta, sillä kaikki sisään tuleva ja ulospäin menevä verkkoliikenne kulkee reunalaitteiden kautta. Useissa yrityksissä on yhä käytössä jako talon ”suojattuun sisäverkkoon” ja internetin ulkoiseen verkkoon. Jos hyökkääjä onnistuu reunalaitteiden haavoittuvuuksia hyväksikäyttämällä pääsemään talon sisäverkkoon, on hänen mahdollista tehdä mitä haluaa.

Traficom:in Kyberturvallisuuskeskus on varoittanut viimeisen vuoden aikana useaan otteeseen verkon reunalaitteiden haavoittuvuuksista ja tietoturvariskeistä. Tunnusten vuotamisen lisäksi altistavia tekijöitä kyberhyökkäykselle on mm. reunalaitteiden tietojen näkyminen avoimena internetiin sekä virheelliset konfiguraatiot. Useat valmistajat kuten Ivanti, Fortinet sekä SonicWall ovat tiedottaneet tuotteidensa vakavista haavoittuvuuksista viimeisen vuoden aikana. Osa näistä haavoittuvuuksista on ollut hyökkääjillä kohteena jo ennen kuin laitteiden käyttäjät ovat saaneet tiedon vaarasta.

Tiedotteissaan Kyberturvallisuuskeskus on kertonut, että sillä on tiedossa useita kymmeniä Ivanti ja Fortinet -laitteisiin liittyviä tietomurtoja, joiden kanssa he ovat auttaneet organisaatioita. Yhdysvaltojen kyberturvallisuusviranomainen CISA taas julkaisi kumppanimaiden kanssa lausuman, jossa kerrottiin, että Ivanti:n tarjoama työkalu ei välttämättä havaitse laitteelle tunkeutumista, ja haavoittuvuuksia hyväksi käyttämällä osaavan hyökkääjän on mahdollista piileskellä verkkoympäristössä pitkään paljastumatta. Lisäksi oli huomattu, että edes tehdasasetusten palautus tai ohjelmiston päivitys ei aina poista hyökkääjän pääsyä laitteeseen.

Seuraa epätavallista toimintaa ja varaudu pahimpaan

On hyvin todennäköistä, että reunalaitteista löytyy haavoittuvuuksia jatkossakin, joten epätavallinen toiminta olisi erittäin tärkeää havaita ajoissa. Tämän vuoksi yrityksellä olisi syytä olla lokitiedon hallintatyökalu. JMJping:in Lokivahdin SIEM-palvelun ominaisuuksia on muun muassa lokitietojen (esimerkiksi käyttöoikeudet, tapahtumat ja virheet) keräys ja tallennus yhteen paikkaan, mikä auttaa valvomaan IT-järjestelmien toimintaa. Lisäksi JMJ Lokivahti valvoo ja analysoi kerättyä lokitietoa ja hälyttää huomatessaan epätavallisia toimia kuten epäonnistuneet kirjausyritykset pääkäyttäjän tunnuksilla epätavallisesta sijainnista, epätavalliseen aikaan. Lokitiedot, joista tapahtumia voidaan selvittää ovat äärimmäisen tärkeitä, kun omassa tietoverkossa tapahtuu jotakin epätavallista.

Kriittisiä haavoittuvuuksia verkon reunalaitteissa on julkaistu lähes kuukausittain. Näistä vaikeimpia ovat ”zero-day threat” eli nollapäivä -haavoittuvuudet, jotka ovat vain hyökkääjän tiedossa siihen asti, kunnes hyökkäys tai sen yritys on havaittu. Laitevalmistajan korjaavien päivitysten tai ohjeiden tulo saattaa kuitenkin kestää pahimmassa tapauksessa päiviä tai jopa viikkoja. On syytä huomioida, että mikä tahansa kriittinen haavoittuvuus voi johtaa yrityksen tilanteeseen, jossa nopeita toimenpiteitä tarvitaan. Puutteellinen tietoturva ylipäätään voi johtaa tietovuotojen lisäksi taloudellisiin menetyksiin, mainehaittoihin ja oikeudellisiin seuraamuksiin.

Säännöllinen tietoturvan kartoitus auttaa varautumaan

Yrityksen tietoturva olisi syytä kartoittaa säännöllisesti ja kuten viimeisen vuoden aikana olemme saaneet todeta, osa käytössä olevista laitteista ja käytänteistä ovat jo tulleet tiensä päähän. Perinteiset palomuurit ja VPN ovat olleet pitkään tietoturvan perusta, mutta ne eivät enää yksin riitä suojaamaan yrityksen verkkoja ja tietoja. Nykyään tarvitaan monikerroksisia tietoturvaratkaisuja, jotka pystyvät vastaamaan monimutkaisiin ja jatkuvasti kehittyviin uhkiin. Lisäksi etätyö ja pilvipalveluiden käyttö ovat tehneet yritysten verkkoarkkitehtuureista monimutkaisempia.

Kattava tietoturvaratkaisu - SASE

Ratkaisu edellä mainittuihin ongelmiin on Secure Access Service Edge eli tuttavallisemmin SASE, joka yhdistää verkko- ja tietoturvatoiminnot yhdeksi pilvipohjaiseksi palveluksi. Se tarjoaa kattavan ja joustavan ratkaisun, joka mahdollistaa turvallisen pääsyn yrityksen resursseihin mistä tahansa. SASE-ratkaisut sisältävät muun muassa SD-WAN:in, palomuurit, uhkien torjunnan ja Zero Trust -mallin. Zero Trust -mallissa oletetaan, että verkkoympäristö on jatkuvan hyökkäyksen kohteena ja kaikki tietoliikenne sekä lähtevä että tuleva on tarkkailun alla. Se perustuu ajatukseen, että mihinkään verkon sisällä tai ulkopuolella ei pidä automaattisesti luottaa. Kaikki käyttäjät ja laitteet on tunnistettava ja valtuutettava ennen kuin ne saavat pääsyn yrityksen resursseihin. Tämä malli auttaa estämään luvattoman pääsyn ja vähentää tietomurtojen riskiä.

Jos kiinnostuit SASE:sta, ota yhteyttä niin kerromme lisää siitä ja CATO Networks:ista, joka tarjoaa pilvipohjaisen SASE-ratkaisun, joka yhdistää verkko- ja tietoturvatoiminnot yhdeksi kokonaisuudeksi. Cato Networks tarjoaa kattavan tietoturvan, joka suojaa kaikkia käyttäjiä ja laitteita riippumatta niiden sijainnista.

Lue lisää SASE:sta, Zero Trustista ja Cato Networks:sta

JMJping on jokaisen yrittäjän luotettava kumppani tietoturva-asioissa

Varaudu uhkiin - varmista ainakin nämä:

Näkyvyys internetiin

Poista verkon reunalaitteiden hallintapaneelit ja muut käyttöliittymät näkyvistä internetistä. Huolehdi ettei verkon reunalaitteista näy internetiin kuin välttämättömät asiat.

Turvaa varmuuskopioilla

Varmista, että varmuuskopiot ovat ajan tasalla ja saatavilla. Varmuuskopioita on hyvä olla useampi ja ainakin yhtä kannattaa säilyttää erillään, poissa verkosta.

Päivitykset ajan tasalle

Pidä laitteet päivitettyinä ja seuraa haavoittuvuusviestintää käytössä oleviin tuotteisiin liittyen. Varmista, että laitteiden lisenssit ovat ajan tasalla ja että laite on valmistajan päivitystuen piirissä.

Vain tarpeellinen riittää

Tarkista, että laitteilla on käytössä vain tarpeelliset ominaisuudet, kaikki muu on syytä ottaa pois käytöstä.

MFA käyttöön

Monivaiheinen tunnistautuminen (MFA) tulee olla aina käytössä, kun se on mahdollista, niin käyttäjillä kuin ylläpitäjillä.

Toimintamallit kuntoon

Harjoittele etukäteen toimintamallit äkillisten tietoturvapoikkeamien varalta. Miten toimitaan, mihin otetaan yhteyttä ensimmäisenä?

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.