Kohti turvallisempia laitteita
Useissa organisaatioissa tuskaillaan moninaisten laitteiden hallinnan ja tietoturvan kanssa. Saimme laitteisiin kohdistuvista haavoittuvuuksista jälleen merkittävämmän muistuksen alkukesästä, kun CVE-2022-30190 (Follina) nollapäivähaavoittuvuus julkistettiin. Kyberturvallisuuskeskus julkaisi oman artikkelinsa haavoittuvuudesta toukokuun lopussa. Haavoittuvuutta hyödyntämällä oli mahdollista suhteellisen helposti ajaa haitallista koodia esimerkiksi käyttäjän työasemassa. Alttiita hyökkäykselle olivat Windows-työasemat ja palvelimet.
Hyökkäykseen liittyen saimme useita kyselyitä, ja näiden perusteella organisaatiot voi jakaa karkeasti seuraavasti:
- Organisaatioihin joissa voidaan tehdä muutoksia nopeasti, mutta tutkinnan jälkeen mitään ei tarvitse tehdä koska laitteet on kovennettu ja havaintokyvykkyys on paikallaan.
- Organisaatioihin joissa voidaan tehdä muutoksia nopeasti, mutta korjauksia joudutaan tekemään kiireellä.
- Organisaatioihin joissa keskitetty tilannekuva ja hallinta puuttuu ja tiedot joudutaan keräämään ja yhdistämään manuaalisesti eri lähteistä. Korjaukset joudutaan tekemään kiireellä pohjautuen oletuksiin.
Uusia haavoittuvuuksia tulee jatkuvalla syötöllä, ja olemmekin painottaneet, että mikäli yksittäisiin haavoittuvuuksiin joudutaan reagoimaan rajusti on yleensä yleisesti laitetietoturvaan liittyvät asiat hoidettu puutteellisesti.
Laitteiden tietoturvaa ei kannata jättää yksittäisten kontrollien varaan, vaan miettiä laajemman kokonaisuuden kannalta. Mielestämme keskeisimmät elementit ovat:
Hallintaympäristöt ja laiteinventaario
- Mitä laitteita organisaatiossa on? Miten niitä hallitaan? Miten voimme varmistua että kaikki oikeat laitteet ovat hallintavälineiden ja keskitetyn näkyvyyden piirissä?
Kriittiset tietoturvakomponentit
- Ovatko perinteiset kontrollit päällä? Tietoturvapäivitykset asentuvat nopeasti? Kaikki laitteet kryptattu? Palomuuri ja antivirus ovat toiminnassa? Asetukset pakotetaan käyttöön tai laitteen pääsy palveluihin voidaan estää?
EDR, eli Endpoint Detection and Response – keskitetty tietoturvan tilannekuva ja reaaliaikainen pääsynhallinta uhkiin pohjautuen
- Pystymmehän havaitsemaan muutakin kuin tunnistepohjaisia uhkia? Keräämmehän tietoa ympäristön haavoittuvuuksista yhteen näkymään? Voimmehan käyttää näitä tietoja päätöksenteossa?
Laitekovennukset ja haavoittuvuuksienhallinta – Laitteiden kovennusten
- Onhan laitteemme kovennettu? Otettu esim. Attack Surface reduction -säännöt käyttöön? Windows on kovennettu oletusasetuksista? Olemmeko tietoisia mitä parannuksia laitteisiin on tehty? Miten kehitämme ympäristön kovennuksia jatkuvasti?
Kovennuskomponentit kuten Applocker & Windows Defender Application Control (WDAC)
- Rajoitammehan tuntemattomien sovelluksien suorittamista?
Voidaan todeta, ettei yksikään näistä kokonaisuuksista olisi luotettavasti torjunut uhkaa yksinään alkuvaiheessa. Tietoturvassa on kyse kokonaisuuksien hallinnasta, ja eri osa-alueet täydentävät toisiaan. Lähes alkuvaiheesta lähtien Microsoftin Defender for Endpoint/Server pystyi tunnistamaan ja hälyttämään tämän tuoreen haavoittuvuuden käytöstä, ja haavoittuvuus korjattiin lopullisesti Microsoftin tietoturvapäivityksellä.
Onko teidän ympäristössänne edellämainitut asiat mietitty ja selkeitä? Mikäli ei, niin ole yhteydessä ja katsotaan miten asia saadaan kuntoon!