Mis on andmeturbemurre?

Turbemurrete toimumise mõistmine nõuab enamat kui vaid ühele sündmusele vaatamist. Enamik turbemurdeid on haavatavuste, eksisammude või tähelepanuta jäetud riskide ahela tulemus, mida pahalased saavad ära kasutada.

Küberründajad saavad tavaliselt juurdepääsu kõige lihtsama sisenemispunkti tuvastamise kaudu, sageli pigem inimeste või protsesside lünkade kui puhtalt tehniliste nõrkuste kaudu. Sagedased näited:

• Andmepüük ja sotsiaalne manipuleerimine. Andmepüük on endiselt üks levinumaid sisenemispunkte. Pahatahtlikud osalejad esinevad usaldusväärsete asutustena – näiteks IT-meeskondade või tarnijatena – et meelitada kasutajaid jagama identimisteavet või heaks kiitma juurdepääsutaotlusi. Sarnased taktikad, näiteks kõnepüük (hääleandmepüük), kasutavad sama eesmärgi saavutamiseks telefonikõnesid.
• Turberikkega identimisteave. Nõrgad või korduvalt kasutatavad paroolid on endiselt suur risk. Ilma tugevate autentimiskontrollideta, nagu mitmikautentimine (MFA), võivad küberründajad saada juurdepääsu ilma vahetuid häireid käivitamata.
• Lappimata haavatavused. Aegunud süsteemid ja tarkvara võivad paljastada teadaolevaid haavatavusi. Ründajad otsivad aktiivselt neid nõrkusi ja kasutavad neid sisenemiseks ära.
• Valesti konfigureeritud teenused. Pilvekeskkonnad tekitavad riske, kui salvestusruum või teenused on valesti konfigureeritud. Avalikult juurdepääsetavad andmehoidlad on sagedased turbemurrete allikad.
• Kolmanda osapoole riskile avatus. Tarnijatel ja partneritel on sageli juurdepääs sisesüsteemidele ja ühiskasutatavatele platvormidele, näiteks kliendisuhete halduse (CRM) tööriistadele. Kui nende turbeseisund on nõrgem, võivad nad muutuda kaudseks sisenemispunktiks.
• Siseisikute tegevus. Mitte kõik turbemurded pole välised. Töövõtjad või peatöövõtjad võivad andmed tahtmatult ohtu seada või mõnel juhul tegutseda pahatahtliku kavatsusega.

Enamik küberründajaid liigub sihipäraselt läbi etappide sarja, mis on loodud mõju maksimeerimiseks, vältides samas tuvastamist. Need funktsioonid on järgmised.

• Uurimine ja luure – Ründajad koguvad teavet süsteemide, kasutajate ja võimalike haavatavuste kohta, et tuvastada väärtuslikud sihtmärgid.

• Esmane juurdepääs – Küberründajad saavad sissepääsu turberikkega identimisteabe, andmepüügi või muude haavatavuste kaudu.

• Püsivus – Nad loovad viise juurdepääsu säilitamiseks aja jooksul, isegi kui kavandatud sihtmärk avastab esialgsed sisenemispunktid.

• Külgsuunaline liikumine – Üheainsa turberikkega konto kaudu üritavad pahalased laiendada juurdepääsu süsteemides, sihtides sageli võimaluse korral eelisõigustega kontosid.

• Andmete väljaviimine – Delikaatsed andmed kogutakse ja edastatakse keskkonnast välja, mõnikord väikeste osadena, et vältida tuvastamist.

• Monetiseerimine või väljapressimine – Varastatud andmeid võidakse müüa, avalikult lekitada või kasutada lunavara- või väljapressimisskeemides.

Turbemurde elutsükkel rõhutab, miks tugevad isikutuvastuse kontrollid ja varajane tuvastamine on kahju piiramiseks üliolulised.

Organisatsioonid seisavad silmitsi mitme eri tüüpi turbemurretega, millest igaühel on oma riskid ja leevendusstrateegiad. Kuigi need kategooriad sageli kattuvad, aitab nende mõistmine üksikute sündmudena meeskondadel küberkaitset pingereastada.

Välised küberründajad kasutavad juurdepääsu saamiseks selliseid tehnikaid nagu ründevara, lunavara või identimisteabe sisestamine. Identimisteabe sisestamise korral kasutavad pahalased varastatud kasutajanime ja parooli kombinatsioone, et proovida pääseda ligi mitmele kontole. Need küberründed on sageli automatiseeritud ja sihivad sagedasi haavatavusi.

Sisesed turbemurded võivad olla kas pahatahtlikud või juhuslikud. Näiteks võib töövõtja andmeid isikliku kasu saamiseks tahtlikult lahti pakkima või delikaatset teavet tahtmatult ohtu seada valesti konfigureeritud jagamissätete tõttu või sotsiaalse manipuleerimise ohvriks langemise kaudu.

Seadmed, nagu sülearvutid, välised draivid või isegi prinditud dokumendid, võivad kaduda või need võidakse varastada. Kui neid pole nõuetekohaselt turvatud, võivad need viia delikaatsete andmete sattumiseni väljapoole organisatsiooni kontrolli.

As organisatsioonid võtavad kasutusele pilveteenuseid, valesti konfigureeritud salvestusruum või õigused võivad jätta andmed avalikult juurdepääsetavaks. Neid probleeme on sageli raske tuvastada ilma pideva jälgimiseta.

Organisatsioonid toetuvad üha enam partneritele ja tarnijatele. Kolmandat isikut mõjutav turbemurre võib paljastada ühiskasutatavaid andmeid, isegi kui organisatsiooni enda süsteemid jäävad turvaliseks.

Identimisteabe turberikked – andmepüügi, parooli korduva kasutamise või jõulise ründe kaudu – on üks levinumaid isikusamasusepõhiste turbemurrete põhjuseid, võimaldades küberründajatel süsteemidele ja andmetele kehtiva identimisteabe abil juurde pääseda.

Turbemurdel võivad olla kauakestvad tagajärjed, ki ulatuvad kaugemale vahetust tehnilisest parandamisest. Paljude organisatsioonide jaoks pole kõige suurem mõju mitte turbemurre ise, vaid sellele järgnevad ahelreaktsioonid.

Turbemurde kulud hõlmavad reageerimise ja taastamise mitut tasandit. Kui turbemurde tulemiks on andmeleke, peavad organisatsioonid intsidenti uurima, ohu tõkestama, mõjutatud isikuid teavitama ja sageli pakkuma parandusteenuseid, näiteks krediidiseiret.

Tegevuslikult võivad turbemurded häirida äriprotsesse, lükata edasi projekte ja suunata ressursse strateegilistest prioriteetidest eemale.

Organisatsioonid peavad vastama ka nõuetele, mis on seotud regulatiivse vastavusega, mis erinevad piirkonniti ja valdkonniti, sealhulgas rangetele turbemurretest teatamise tähtaegadele ning andmetöötlustoimingute ja andmekaartide arvestuse pidamisele.

Sagedased regulatiivsed raamistikud on järgmised:

• Isikuandmete kaitse üldmäärus (GDPR) nõuab õigeaegset turbemurdest teatamist ja rangeid andmekäitlustavasid.
• California tarbijate privaatsuse seadus (CCPA) / California privaatsusõiguste seadus (CPRA) keskendub tarbijate privaatsusõigustele ja läbipaistvusele.
• Ravikindlustuse ülekantavuse ja aruandluse seadus (HIPAA) reguleerib seisundiandmete kaitset.
• Maksekaarditööstuse andmeturbestandardid (PCI DSS) kehtivad maksekaardi andmete turbe kohta.

Nõuete täitmise tõrge võib kaasa tuua trahvid, õigusteabealased menetlused ja regulaatorite suurema tähelepanu.

Lisaks rahalistele ja õigusteabealastele tagajärgedele võivad turbemurded murendada usaldust. Kliendid, partnerid ja sidusrühmad võivad kaotada usalduse organisatsiooni võimesse kaitsta delikaatset teavet – eriti kui sellised riskid nagu varjatud andmed, isikusamasusepõhised ründed või sisemised ohud laiendavad turbemurde ulatust ja mõju. Seda mõju on sageli raske mõõta, kuid see võib aja jooksul olla märkimisväärne.

Isegi tugevate ennetusmeetmete olemasolul peavad organisatsioonid eeldama, et turbemurdeid võib ette tulla. Võime kiiresti tuvastada ja reageerida on mõju minimeerimiseks ülioluline.

Kaasaegne tuvastamine tugineb signaalide seostamisele süsteemide, kasutajate ja andmete vahel, sealhulgas:

• tegevuse jälgimine turbeteabe ja -sündmuste halduse (SIEM) ning turbe orkestreerimise, automaatika ja reageerimise (SOAR) platvormide kaudu.
• lõpp-punkti ja isikusamasuse telemeetria kasutamine anomaaliate tuvastamiseks.
• andmelekketõkestuse (DLP) poliitikate rakendamine ebatavalise andmeliikumise tuvastamiseks.

Need võimalused on sageli osa laiemast IT-turbestrateegiast, mis kombineerib mitut tööriista ja andmeallikat.

Tõhus intsidentidele reageerimise plaan aitab tagada, et turbemeeskonnad saavad tegutseda kiiresti ja järjepidevalt.

Peamised komponendid on järgmised:

• selgelt määratletud rollid ja eskaleerimisteed
• eelkoostatud juhendid tavaliste stsenaariumide jaoks
• õigusteabe- ja vastavustöövood
• kommunikatsiooniplaanid sise-meeskondadele, klientidele ja välistele sidusrühmadele

Kui turbemurre on tuvastatud, on vaja viivitamatut tegutsemist selle leviku piiramiseks.

Organisatsioonid rakendavad tavaliselt järgmisi etappe, et:

• isoleerida mõjutatud süsteemid või isikusamasused.
• tühistada juurdepääs ja rotatsiooniga muuta identimisteavet.
• säilitada tõendeid uurimiseks.

Pärast tõkestamist on meeskondade süvenemine suunatud süsteemide taastamisele ja korduvuse riski vähendamisele. Taastamine hõlmab sageli järgmist:

• toimingute taastamine puhastest varukoopiatest.
• süsteemi tervikluse ja juurdepääsukontrollide kontrollimine.
• lünkade tuvastamine ja kaitse tugevdamine.
• reageerimisalaste jõupingutuste parandamine regulaarse testimise kaudu.

Turbemurde vältimiseks vajavad organisatsioonid ennetavat ja mitmekihilist lähenemisviisi, mis käsitleb isikusamasust, andmeid, infrastruktuuri ja inimeste käitumist. Kaaluge järgmiste turbe parimate tavade rakendamist:

• Võta kasutusele täisusaldamatuse mudel: Täisusaldamatus põhineb põhimõttel „ära kunagi usalda, kontrolli alati“. See tähendab pidevat juurdepääsutaotluste valideerimist, minimaalsete õiguste jõustamist ja eelduse tegemist, et turbemurre võib toimuda igal ajal.
• Tugevda isikuturvet: isikusamasus on sageli peamine ründevektor. Organisatsioonid peaksid riskile avatuse vähendamiseks jõustama mitmikautentimist (MFA), jälgima isikusamasuse riske, piirama eelisõigustega juurdepääsu ja regulaarselt vahetama saladusi.
• Kaitse andmeid juhtimise kaudu: andmed tuleks klassifitseerida delikaatsustaseme alusel, kehtestades kontrollid volitamata juurdepääsu või jagamise tõkestamiseks. Andmeturbe seisundi haldusega (DSPM) kooskõlas olevad lahendused aitavad organisatsioonidel mõista, kus delikaatsed andmed asuvad ja kuidas neid kasutatakse.
• Turva pilvekeskkondi: pilve kasutuselevõtt toob kaasa uusi riske. Sellised lahendused nagu pilve turbeseisundi haldus (CSPM), pilve töökoormuse kaitseplatvormid (CWPP) ja pilvepõhised rakenduste kaitseplatvormid (CNAPP) aitavad tuvastada väärkonfiguratsioone ja haavatavusi enne, kui neid saab ära kasutada.
• Halda haavatavusi ja vähenda ründepinda: pidev lappimine ja nõrkusehaldus aitavad tegeleda teadaolevate nõrkustega enne, kui neid saab ära kasutada.
• Vähenda inimlikku riski: töövõtjad on endiselt võtmekaitsejooned. Regulaarne koolitus aitab kasutajatel ära tunda sotsiaalse manipuleerimise taktikaid – nagu andmepüük või kõnepüük – ning vältida tavalisi vigu, mis viivad turbemurreteni.
• Leevenda kolmanda osapoole riski: tarnijaid ja partnereid tuleks regulaarselt hinnata, et tagada nende vastavus turvenõuetele ja vältida täiendava riskile avatuse tekitamist.
• Valmistu intsidentideks: isegi tugevad kaitsed võivad alt vedada. Organisatsioonid peaksid regulaarselt testima intsidentidele reageerimise plaane simulatsioonide ja lauaõppuste kaudu, et tagada valmisolek.

Turbemurde riskidega tegelemine nõuab enamat kui vaid teie andmete kaitsmist. See nõuab koordineeritud nähtavust ja kontrolli isikusamasuse, andmete, lõpp-punktide, pilvekeskkondade ja turbelahenduste vahel. Microsofti turbeteenuse lahendused on loodud koos töötama, et seda lähenemisviisi toetada.

Peamised lahendusalad on järgmised:

• Isikuturve—Microsoft Entra aitab kaitsta identimisteabepõhiste rünnete eest MFA, tingimusjuurdepääsu ja isikusamasuse riskide tuvastamise abil.
• Andmeturve ja juhtimine–Microsoft Purview on loodud selleks, et aidata organisatsioonidel klassifitseerida, kaitsta ja hallata delikaatseid andmeid kogu nende elutsükli jooksul.
• Ohutõrje – Microsoft Defender pakub laiendatud ohutuvastust ja -kõrvaldust kõigis lõpp-punktides, meilides ja pilvrakendustes.
• Pilve turbeseisund–Microsoft Defender for Cloud aitab turvata pilve töökoormusi ja tuvastada väärkonfiguratsioone, kasutades CSPM ja CNAPP võimalusi.
• Turvatoimingud–Microsoft Sentinel toetab täiustatud ohutuvastust, uurimist ja automatiseeritud reageerimist.