Tietoturva on nykypäivänä tärkeämpää kuin koskaan ja yksi keskeisimmistä käsitteistä tässä kontekstissa ovat hyökkäyspolut ja hyökkäyspinta. Mutta mitä nämä termit oikeastaan tarkoittavat ja miksi niiden ymmärtäminen on olennaista jokaiselle organisaatiolle? Näistä perusteista Matias Haapaniemi avaa tämänkertaisessa blogissaan.
Hyökkäyspolut ja hyökkäyspinta
Tietoturvassa kuulee usein kaksi termiä: hyökkäyspinta ja hyökkäyspolut. Ne kuulostavat teknisiltä, mutta niiden taustalla piilee yksinkertainen idea.
Hyökkäyspintaa ovat kaikki ne kohdat, joihin ulkopuolinen voi “koskea”. Ajattele organisaatiotasi talona: ovet, ikkunat, postiluukku ovat osa hyökkäyspintaa.
Digitaalisessa maailmassa hyökkäyspintaa ovat esimerkiksi:
- Julkiset verkkopalvelut ja nettisivut
- Työntekijöiden käyttäjätunnukset ja salasanat
- Pilvipalvelut, integraatiot julkisten palveluiden välillä ja rajapinnat
- Läppärit, puhelimet ja palvelimet
- Kolmansien osapuolien lisäosat ja palvelut
Mitä enemmän organisaatiossasi on ”aukkoja”, sitä suurempi on hyökkäyspinta ja sitä kautta enemmän mahdollisuuksia väärinkäytöksiin.
Hyökkäyspolku on reitti, jota pitkin hyökkääjä etenee lähtöpisteestä tavoitteeseensa.
- Taloesimerkissä hyökkäyspolku voi olla:
Postiluukku → Eteinen → Olohuone → Kassakaappi - Digitaalinen hyökkäyspolku voi olla taas:
Kalasteluviesti → Yksittäinen käyttäjätunnus → VPN:n kautta pääsy sisäverkkoon → Palvelin, jossa on korjaamattomia haavoittuvuuksia → Tiedostopalvelin, jossa on arvokasta dataa
On tärkeää ymmärtää, että yksittäinen “aukko” ei aina kaada koko taloa. Vaaralliseksi tilanne muuttuu, kun pienet heikkoudet yhdistyvät sujuvaksi poluksi.
Perusteista käytäntöön
Miksi tällä kaikella on siis väliä? Yksinkertaisesti ilmaisten hyökkäyspoluista ja hyökkäyspinnasta pitää välittää, koska:
- Hyökkäyspinnan pienentäminen vähentää mahdollisuuksia aloittaa hyökkäys
- Hyökkäyspolkujen katkaiseminen estää hyökkäyksen etenemisen, vaikka hyökkäyksen aloitus onnistuisi
Miten organisaatioiden tietohallintojen kannattaa siis toimia käytännössä?
- Kartoita – et voi suojata palveluita, joista et ole tietoinen
- Karsi – poista ylimääräiset palvelimet, tunnukset, laitteet ja palvelut
- Vahvista – aktivoi MFA, lisää tietoturvakovennuksia, ota käyttöön Endpoint Detection & Response (EDR) ja määritä laitteiden palomuurit
- Riko hyökkäysketjuja – tarvitseeko päätelaitteelta sallia RDP-yhteydet toiselle päätelaitteelle? Entäpä tarvitseeko tulostimelta sallia RDP-yhteydet Domain Controllerille?
- Auditoi – toimivatko palomuurin asetukset kuten niiden pitäisi? Onko verkossa uusia laitteita, joita ei ole huomioitu?
Tule Above IT:n Afterwork -tilaisuuteen ja opi miten Microsoft Defenderin ratkaisuilla hallitaan hyökkäyspintaa ja katkaistaan hyökkäyspolkuja. Jaamme parhaat käytännöt, joilla saat enemmän irti jo käytössä olevista tuotteista, samalla säästäen merkittävästi käsin tehtyä työtä.