Hyökkääjän ensipääsy organisaation tietoverkkoon voi tapahtua monin eri tavoin, kuten haittaohjelman asentumisella käyttäjän työlaitteeseen kalasteluhyökkäyksen kautta tai murtautumalla suoraan internetin reunalla sijaitsevaan organisaation IT-järjestelmään. Näitä keinoja käsiteltiin tarkemmin aiemmassa artikkelissa Kun kyberturva pettää – miten kyberhyökkäykset usein alkavat.
Tässä artikkelissa tarkastellaan, mitä tapahtuu hyökkääjän päästyä sisään järjestelmään – kuinka hyökkäykset etenevät ja miten organisaatiot voivat varautua.
Verkon tiedustelu – hyökkääjän ensimmäinen askel
Ensipääsyn jälkeen hyökkääjän ensisijainen tavoite on kartoittaa kohdeympäristöä. Hän pyrkii tunnistamaan organisaation sisäiset IT-palvelut, käyttäjätiedot ja verkkoarkkitehtuurin rakenteen.
Tiedustelu voidaan tehdä joko suoraan murretulla laitteella tai käyttämällä sitä ponnahduslautana organisaation sisäverkkoon, jolloin tietoliikennettä voidaan ohjata hyökkääjän omalta laitteelta muuta organisaation sisäverkkoa kohti. Tyypillisiä työkaluja tässä vaiheessa ovat myös järjestelmänvalvontaan tarkoitetut porttiskannerit, joilla voidaan tunnistaa avoimet palvelut ja niiden perustiedot.
Windows-ympäristössä hyökkääjä voi kartoittaa käyttäjätunnuksia, ryhmäjäsenyyksiä ja mahdollisia heikkouksia esimerkiksi Active Directory -palvelusta. Lisäksi hän saattaa etsiä avoimista verkkojaoista käyttäjätietoja tai kirjautumistietoja, jotka voivat avata laajemman pääsyn järjestelmiin.
Tiedusteluvaiheen tulokset ohjaavat hyökkääjän seuraavia siirtoja – haavoittuvimmat järjestelmät ja parhaiten hyödynnettävimmät käyttäjätunnukset valikoituvat kohteiksi jatkotoimenpiteille.
Käyttäjäoikeuksien korotus – hyökkäyksen kriittinen vaihe
Usein ensivaiheessa haltuun saadut käyttäjätunnukset eivät tarjoa riittävää pääsyä hyökkääjän tavoitteiden saavuttamiseksi. Tämä vaihe on erityisen kriittinen kiristyshaittaohjelmatoimijoille, joiden tavoitteena on usein varastaa ja salata organisaation tietoja sekä vaatia lunnaita niiden palauttamisesta.
Laajemman pääsyoikeuden saavuttamiseksi hyökkääjä saattaa hyödyntää:
- Käyttäjätunnusten heikkoja salanoja, esimerkiksi brute force tai kerberoasting -hyökkäysten avulla.
- Eri järjestelmissä toistuvia pääkäyttäjätunnusten identtisiä salasanoja pass-the-hash -hyökkäyksen avulla.
- Tietoturvahaavoittuvuuksille altistavia konfiguraatiovirheitä Active Directory -palvelussa tai Active Directory Certificate Services -palvelun sertifikaattimalleissa.
- Päivittämättömiä versioita käyttöjärjestelmistä tai muista palveluista, jotka sisältävät tunnettuja haavoittuvuuksia.
Mikäli hyökkääjä onnistuu saavuttamaan pääkäyttäjätason oikeudet, hän voi kontrolloida koko järjestelmää, asentaa haittaohjelmia ja ylläpitää pääsyään ympäristöön piilossa organisaation puolustukselta.
Lopullinen operaatio – mikä on hyökkääjän tavoite?
Kun hyökkääjä on saanut haluamansa pääsyn organisaation verkkoon, hän toteuttaa varsinaisen hyökkäyksensä. Tämä voi tarkoittaa esimerkiksi:
- Tiedon varastamista joko yksittäisessä tapauksessa tai jatkuvana prosessina.
- Kiristyshaittaohjelman suoritusta, joka salaa tiedostoja tai kokonaisia järjestelmiä, estäen niiden käytön.
- Muuta organisaation IT-järjestelmätoimintojen häirintää.
Hyökkäyksen kesto voi vaihdella tunneista useisiin päiviin, mutta usein rikolliset etenevät nopeasti maksimoidakseen vahingot ennen kuin uhri ehtii reagoida. Nopean reagoinnin mahdollistamiseksi organisaation on tärkeää panostaa valvontajärjestelmiin, jotka havaitsevat poikkeavan toiminnan reaaliajassa.
Mitä tehdä, jos hyökkäys on käynnissä?
Jos organisaatio epäilee aktiivista tietomurtoa tai se on tunnistetusti jo tapahtunut, on kriittistä toimia nopeasti ja hallitusti. Omatoiminen reagointi voi pahimmillaan johtaa suurempiin vahinkoihin, joten asiantunteva apu on suositeltavaa.
Elisa tarjoaa yrityksille tietomurtotutkintapalvelua (Digital Forensics and Incident Response eli DFIR) -palvelua, joka sisältää:
- Nopea reagointi tietoturvapoikkeamiin ja niiden vaikutusten minimointi.
- Hyökkäyksen etenemisen ja hyökkääjän toimien analysointi.
- Yksityiskohtainen raportti tapahtuneesta ja suositukset jatkotoimenpiteistä.
Palvelu on saatavilla kahdella eri mallilla:
- Retainer-palvelu, jossa vasteajasta ja toimintamalleista on sovittu etukäteen.
- Best effort -malli, jossa palvelun saatavuus riippuu sen hetkisestä resursoinnista.
Lisätietoja palveluista löydät Elisa Kyberturvakonsultoinnin verkkosivuilta.
Tietoturvariskien hallinta ei ole pelkästään tekninen kysymys – se vaatii kokonaisvaltaista ennakointia, tehokasta valvontaa ja nopeaa reagointikykyä. Kun organisaatio ymmärtää, miten hyökkäykset etenevät, se voi paremmin valmistautua ja suojautua kyberuhkia vastaan.
Lue myös:
Mehiläisellä kyberturvan jatkuva kehittäminen on toiminnan ytimessä
Kaikki artikkelit
