MITEN SUOJAUTUA PALVELUNESTO-HYÖKKÄYKSILTÄ (DDOS) JA KALASTELURITYKSILTÄ

Yrityksiin kohdistuvat sähköpostihuijaukset ja laajat palvelunestohyökkäykset ovat yleisempiä lomakaudella.

Kirjoittaja: Eija Paajanen
Päivämäärä: maaliskuu 31, 2016
Lukuaika: 3 Minuuttia

Mukava lomakausi lähestyy. Valitettavasti lomakausi on myös hakkeroinnin, sähköpostihuijausten ja kalasteluhyökkäysten phishing) ja laajojen palvelunestohyökkäysten (DDoS) sesonkia.

Yksi historian suurimmista yrityshakkeroinneista, Sony Pictures -yhtiön tapaus viime vuodelta, on edelleen ajankohtainen. Sama voisi kohdata mitä tahansa yritystä koska tahansa. Hyvin todennäköisesti kaikki alkaisi siitä, kun tavallinen työntekijä klikkaa petollista sähköpostia.

Toista vuotta Sonyyn kohdistuneesta murrosta laajat palvelunestohyökkäykset (DDoS) ovat yleisempiä kuin koskaan.  Lähestyvä lomakausi vain lisää tahtia. Jos joku haluaa vahingoittaa sinua tai yritystäsi, mikäpä olisi sopivampi ajankohta palvelunestohyökkäykselle kuin lomasesonki? Lomakausi ja sitä vähän edeltävä aika on monille yrityksille kiireisintä aikaa. Taloudelliset vaikutukset voivat olla huomattavat mikäli kaupat menevät sivu suun. DDoS-hyökkäyksen työkaluja voi helposti ostaa netistä ja hyökkäyksiä myydään avoimesti myös palveluna. Eipä siis ihme, että DDoS-hyökkäysten määrä saavutti kaikkien aikojen huippunsa Q2/2015. Akamain raportin mukaan kasvuvauhti Q2/2014:stä Q2/2015:een oli peräti 132 %.

Tietojenkalastelu ja sähköpostihuijaukset (phishing) nekin yleistyvät lomakauden lähestyessä., kun yritykset ovat kiireisimmillään. Forbesin mukaan  uniikkien phishing-sähköpostihyökkäysten määrä on kasvanut satoihin tuhansiin vuodessa. Nämä hyökkäykset jäljittelevät tunnettujen toimijoiden, kuten Facebookin, PayPalin, Microsoftin ja pankin sähköposteja. Haitallinen liitetiedosto murtaa pahaa aavistamattoman kohteen.

Suuri maailmanlaajuinen phishing-kampanja kohdistui DHL-logistiikkayhtiön asiakkaisiin, sekä kuluttajiin että yrityksiin. Hyökkäys voi iskeä yhtä hyvin pieneen kuin suureen yritykseen. Hyökkääjät kuitenkin kohdistavat kalasteluviestit usein pieniin yrityksiin ehkä siksi, että niitä pidetään helpompina uhreina.

Eikö olisi korkea aika arvioida uudelleen yrityksen tietoturva ennen lomasesongin alkamista? Et varmasti halua olla yksi ensimmäisistä, helpoista kohteista. Taistele siis kyberhyökkäyksiä vastaan. Varmista, että yrityksesi data on aina turvassa. Selvitä, mitä on tehtävä, jotta yrityksesi ei ole seuraava phishing- tai DDoS-hyökkäyksen uhri.  Kannattaa aloittaa valmistelut hyvissä ajoin ennen seuraavaa lomakautta.

F-Securen asiantuntija Jarmo Niemelä antaa joitakin perusohjeita, joilla voi minimoida phishing- ja DDoS-hyökkäysten onnistumisen mahdollisuudet.

Laaja palvelunestohyökkäys, DDoS. Tärkeintä on tehdä itsestään liikkuva kohde. Pidä ensimmäinen kontaktipinta, joka on yrityksesi web-sivusto (www.yritys.fi), internetin näkökulmasta liikkuvana. Kannattaa tukeutua vaikkapa suureen pilvipalveluiden tarjoajaan, jolla on useita datakeskuksia yrityksesi julkisille web-palveluille. Näin voit pyörittää palveluita useissa kohteissa tai voit siirrellä palveluita eri paikkoihin palveluntarjoajan pilvessä.

Useimmat hyökkääjät eivät tunne palvelusi rakennetta. Niinpä he hyökkäävät julkiseen web-sivustoosi ja estävät kaikkien samaan verkkoliitäntään tukeutuvat palvelut, mikä voi aiheuttaa mittavia oheisvahinkoja. Näin kävi esimerkiksi suomalaiselle pankille, jonka julkiseen web-sivustoon kohdistettiin DDoS-hyökkäys. Valitettavasti maksupalvelut olivat samassa internet-liittymässä. Tästä syystä hyökkäys esti myös asiakkaiden debit- ja luottokorttien toiminnan. Asiakkaat eivät pystyneet nostamaan rahaa käteisautomaateista, eivätkä he pystyneet maksamaan korteilla.

Tällaisten tilanteiden välttämiseksi:

  1. Toteuta yleisölle tarkoitetut julkiset verkko- ja muut palvelut pilvessä tai varmista muilla tavoin, että palvelut eristetään yrityksesi varsinaisesta infrastruktuurista niin, että mikä tahansa DDoS-hyökkäys iskee vain web-sivustoon, ja muut palvelut silti toimivat.
  1. Varmista, että julkisia palveluitasi hoitavalla palveluntarjoajallasi on DDoS-hyökkäysten torjuntapalvelu ja että tämä palvelu sisältyy sopimukseesi.

Kattava päätelaitteiden suojaaminen on tärkein lääke kalasteluhyökkäyksiä vastaan. Organisaatiossa aina joku joskus hairahtuu. Aamukahvi jäi ehkä juomatta. Työntekijä klikkaa petollista linkkiä epähuomiossa, vaikka hän ei normaalisti niin tekisi. Silti työntekijät pitää toki kouluttaa olemaan valppaina ja toimimaan oikein saadessaan epäilyttävän viestin.

Ota käyttöön niin sanottu vahva autentikointi eli kaksitasoinen tunnistautuminen kaikissa yrityksen toiminnan kannalta kriittisissä palveluissa, kuten esimerkiksi julkisissa Twitter- ja Facebook-profiileissa. Suosi muitakin sellaisia palveluita, jotka tarjoavat kaksitasoisen tunnistautumisen. Tällaisia ovat onneksi muun muassa kaikki suomalaiset pankit. Kaksitasoinen tunnistautuminen tukeutuu nimensä mukaisesti kahteen tekijään, esimerkiksi salasanaan ja korttiin. Salasanan kadottaminen ei ole likimainkaan niin vaarallista kuin järjestelmät, joihin tunnistaudutaan pelkästään salasanalla.

Kuhunkin järjestelmään, johon tunnistaudutaan pelkästään salasanalla, on tärkeätä määritellä yksilöllinen, täysin satunnainen salasana. Salasana tallennetaan taatusti turvalliseen bittisäilöön, josta käyttäjä aina tarvittaessa voi sen hakea. Jos yksilöllinen salasana varastetaan, sillä pääsee onneksi vain yhteen palveluun, mutta ei muualle.  Yksi salasana ei siis avaa täysiä oikeuksia kaikkiin palveluihin.

Muistathan käyttää kaksitasoista tunnistautumista kaikkiin tärkeisiin kohteisiin, kuten esimerkiksi salasanat säilövään palvelimeen.


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s