Varoitus – Käyttäjätietojen kalastelua Office 365:ssä!

Tietoturva

Suomen Kyberturvallisuuskeskus julkaisi eilen 11.6. varoituksen Office 365 -palveluja käyttäville organisaatioille.

Varoituksen aiheena oli jälleen Office 365 -käyttäjätunnusten kalastelu sekä haltuun saaduilla tunnuksilla tehdyt tietomurrot. Kyberturvallisuuskeskus julkaisi lisäksi joukon ohjeita ongelmien havaitsemiseen ja estämiseen, ja Suomen Microsoft on myös julkaissut omat ohjeensa. Sekä Kyberturvallisuuskeskuksen että Microsoftin ohjeissa keskeisiä asioita ovat edelleenlähetysmääritysten tutkiminen, mahdollinen edelleenlähetyksen esto, sekä kaksivaiheisen tunnistautumisen käyttöönotto.  

Edelleenlähetysmääritysten tutkiminen on kohtuullisen helppo toimenpide, ohjeita siihen löytyy mm. täältä ja täältä 

Jälkimmäisen linkin takana on myös ohje siihen, miten sääntöjen ja postilaatikon määritysten avulla tapahtuva automaattinen edelleenlähetys voidaan kokonaan estää organisaation ulkopuolelle.  

Näiden ohjeiden avulla voidaan edelleenlähetysmäärityksiä manuaalisesti tutkia, mutta Office 365 -palveluissa on myös jatkuvan valvonnan mahdollisuus: kaikista käyttäjän postilaatikkoon tehtävistä muutoksista jää jälki Exchange Onlinen lokeihin, ja lokitoimintojen automaattisella seurannalla voidaan havaita myös postilaatikkoon tehtävä edelleenlähetysmääritys. Office 365 -palvelujen lokien seuranta ja hyödyntäminen on keskeinen toiminto palvelujen käytössä, ja jokaisen organisaation on panostettava siihen.  

Organisaation on päätettävä, mitä lokeja seurataan, kenen toimesta ja miten, ja sen jälkeen toteutettava seuranta. Lisäksi kannattaa huomata, että Office 365 -palvelut yleensä säilyttävät lokeja ainoastaan 30 – 90 päivää, joten useimmiten organisaation on myös kerättävä lokitiedot johonkin ulkoiseen palveluun, jotta ne ovat käytettävissä myös Microsoftin noudattaman säilytysajan jälkeen.  

Sekä Kyberturvallisuuskeskuksen että Microsoftin ohjeissa korostettiin myös kaksivaiheisen tunnistautumisen käyttöönottoa. Kaksivaiheinen tunnistautuminen on tehokas tapa estää hyökkääjää hyödyntämästä kalasteltua käyttäjätunnusta ja salasanaa. Office 365 -palveluja käyttävien organisaatioiden kannattaa kuitenkin myös kiinnittää huomiota sellaisten tunnistusmenetelmien poistamiseen käytöstä, jotka eivät tue kaksivaiheista tunnistautumista.  

Office 365 -palveluissa on monia eri menetelmiä, joilla käyttäjä voidaan tunnistaa, ja joilla eri palveluihin päästään käsiksi, ja osa näistä ei tue kaksivaiheista tunnistautumista. Näitä usein tarpeettomia tunnistusmenetelmiä voidaan kuitenkin postaa käytöstä ja estää, ja näin parantaa ympäristön tietoturvaa. Lisäksi voidaan hyödyntää ns. Conditional Access -määrityksiä, joiden avulla voidaan määrittää ehtoja ja sääntöjä, joiden täyttyessä käyttäjät pääsevät palveluihin käsiksi.  

Kaiken kaikkiaan tunnusten kalastelun aiheuttamaa riskiä voidaan tehokkaasti pienentää seuraavilla toimenpiteillä:  

  • Ota käyttöön kaksivaiheinen tunnistautuminen kaikille käyttäjille.  

  • Poista tarpeettomat tunnistusmenetelmät käytöstä ja hyödynnä Conditional Access -määrityksiä.  

  • Poista käytöstä mahdollisuus sähköpostien automaattiseen edelleenlähetykseen organisaation ulkopuolelle. 

  • Varmista, että tarpeelliset lokitiedot kerätään ja tallennetaan Office 365 -palveluista, ja että lokitietoja valvotaan aktiivisesti niin kirjautumisten, käyttäjätapahtumien kuin hallintatapahtumienkin osalta.  

  • Opasta käyttäjiä ja kerro heille avoimesti, miksi tällaisia toimenpiteitä tehdään.  

Hyödyntämällä Office 365- ja EMS-palveluihin kuuluvia toiminnallisuuksia voidaan pilviympäristön tietoturvaa parantaa – myös näiden kalasteluhyökkäysten osalta. Ja jos haluat lisätietoja, ole yhteydessä!