Hae sivustolta

Cloud Security / Lukuaika 2 min

365:n tietoturva – moniulotteisempaa kuin ensisilmäyksellä kuvittelisi

Tästä aiheesta löytyy aivan varmasti kilpailevia näkemyksiä. Haastaminen on tervetullutta, se osoittaa että yhteinen halu on kehittää turvallisuutta eteenpäin. Mielipiteet pitää kuitenkin pystyä perustelemaan, joten tässä omani pohjiksi. Keskityn Microsoftin 365:n siksi, että sen käyttö on ajankohtaista ja laajemmin pilven tietoturvasta kirjoittaminen on oma aiheensa.

Olli-Pekka Paljakka

Suojan pohjatasosta ja uhista

Microsoftin 365 on laajalti käytetty, ja sen tietoturvaan keskittyminen on tärkeää. Tämä näkyy etenkin kyberturvallisuuskeskuksen tiedotteissa ja alan medioissa. Microsoft itse myy tietoturvaansa laaja-alaisena käsitteenä, johon 365:n oma suojataso liittyy. Osa-alueet ovat kutakuinkin käyttäjien suojaaminen, datan suojaaminen ja hyökkäyksien mitigointi. Tähän jälkimmäiseen mahtuu sitten laitesuojauskin.

Vaikka 365:n turvataso on lähtökohtaisesti korkea, se on myös ristiriitainen. 365:ttä itsessään ei ole hakkeroitu, mutta sen käyttäjiä ja dataa pitää silti suojata. Eli asiakkaat ostavat turvallisen palvelun, mutta eivät ole turvassa? No, ovat, jos palvelua ja siihen liittyviä laitteita käytetään oikein.

365:ttä vastaan hyökätään käytännössä identiteettivarkauksin ja kryptolockerein. Onnistuneen hyökkäyksen tulos on sitten esimerkiksi sähköpostiliikenteen kaappausta, valelaskuja tai lunnasvaateita.

Käyttäjän suojaaminen

Identiteettivarkaudet voidaan estää teknisesti. Se ei tapahdu vakiona, vaan asetuksia pitää tehdä. Väitän, että identiteetin suojauksen osaaminen Microsoftin alustassa on jokaisen alan kumppanin velvollisuus. Onregolle loin tähän palvelunkin. Nostamme suojatasoa perustilasta kohti huippua.

Kaksivaiheinen varmistus on ensimmäinen ominaisuus joka kaikkien pitäisi ottaa käyttöön. Tästä ylöspäin palvelumme estää myös kryptaavat haitakkeet; antivirussovelluksesta riippumatta.

Kun käyttäjän identiteetti on suojattu, tarkistetaan mitä käyttäjälle saakka valuu sähköpostitse. Minimoidaan roska ja pysäytetään phishing. Tähän löytyy Exchange Onlineen suojatyökaluja, Microsoftilta itseltään.

Datan suojaaminen

Datan suojaaminen on teknisesti haastavampaa, ja jää monella Microsoftin asiakkaallakin tekemättä. Data levossa on helppo suojata Bitlockerilla; liikkeessä voidaan seurata liitetiedoston leviämistä, avaamista ja määritellä kauanko liite on käytettävissä.

Datan suojauksen tehokkaammat työkalut löytyvät Azure Information Protection -nimen takaa. Tekniikka tulee sitoa siihen, miten järjestelmää käytetään, miten tietoa jaetaan ja kuinka käyttäjät ymmärtävät suojatason.

Kyse on prosesseista ja koulutuksesta, ei ainoastaan 1,50 €/kk lisenssistä. Pelkästään päälle liipaistuna se ei oikeastaan tuota mitään. Vakio-asetukset nimittäin tuovat Officeen englanninkieliset napit, jotka toimivat suosituksina ilman teknistä vaikutusta. Käyttäjä turtuu näihin helposti, jolloin systeemi on enemmän haitaksi.

Maalaisjärkinen, intuitiivinen jako on toimivampi: vaikkapa yrityksen sisäisille dokumenteille nappi, joka estää jaon omafirma.fi ulkopuolelle ja toinen lista johtoryhmälle on huomattavasti intuitiivisempi – samalla vakiotason voi jättää julkiseksi. Niin, ja kuuluu lisenssiin mahdollisuus turvapostiinkin.

Suojataso pitää ulottaa PC:stä mobiililaitteisiin. Hölmömmillään tietoturvaa yritetään ylläpitää kieltämällä sitä sun tätä: omat mobiililaitteet, PC:t ja laitteiden kuljettaminen työpaikan ulkopuolelle. Oikeasti pitää miettiä missä järjestelmässä data on turvassa, kuka sitä saa käyttää ja miten se jaetaan. Tällöin järjestelmät saadaan sallimaan oikea käyttö, eikä käyttäjiä tarvitse kieltää jatkuvasti ja erikseen. Oikeanlainen toteutus on siis datassa haastavampi kuin identiteetissä.

Microsoftin Intune liittyy tähän, eikä sitä tarvitse opetella kokonaisuudessaan suojausta luotaessa. Pienen ruudun Office voidaan määrätä säilyttämään data Microsoftin pilvessä. Datan valuminen kolmannen osapuolen palveluihin, kuten henkilökohtaiseen gmailiin, dropboxiin tai puhelimen tiedostokansioon voidaan estää; eli suojaus tapahtuu sovellustasolla.

Toki, tälle löytyy kiertoteitä – jos Excel-taulukkoa ei saa näpistettyä kuvankaappauksella, ainahan ruudun voi valokuvata. Tällöin tieto on kuitenkin jo valunut väärälle käyttäjälle ja ongelma on isompi.

Alustan suojaus

Tämä on arvojärjestyksessä kolmantena, enkä vieläkään totea, että asennetaan hyvä antivirus. Ensin vähennetään hyökkäyspinta-alaa ja lujitetaan järjestelmää. Karkeasti yleistäen vähennetään kulmia, joista haitakkeet voivat päästä järjestelmään, ja hyödynnetään teknologiaa kuten Windows 10:n sandboxia tilanteesta riippuen.

Windows 10 kehittyy jatkuvasti, puolen vuoden syklillä. Alan lehdistö keskittyy valitettavan usein kuluttajapuolen juttuihin, kuten Paint 3D. Pellin alla Windowsin tietoturva kehittyy jatkuvasti, ja sandboxing on vain yksi esimerkki.

Kun identiteetti ja data on suojattu, modernit hyökkäykset estetty ja alustaa lujitettu, vasta sitten mietitään mikä antivirus valitaan. Eli se mikä normaalisti ostetaan ensin päätyy listan varsin vähäpätöiseen asemaan. Keskustelut siitä onko Windows Defender parempi kuin F-Secure, Norton, Avira tai muut ei oikeastaan ole minkään arvoinen.

Lopuksi

Ylätason konsepti käyttäjä-data-alusta on tehokas, ja sen tueksi voidaan sitten tarjota teknologioita. Jätän sen mieluummin kaupallisen keskustelun puolelle, ulos tästä blogista – peace.

Suositut artikkelit

Cloud Badass - Azure-webinaariMiksi ja milloin kannattaa valita Azure ja julkipilvi? Cloud Badass - Azure-webinaariAzure ja tietoturva – parhaat käytännöt IaaS, CaaS, PaaS, FaaS, SaaS – mitä mikäkin tarkoittaa?
Olli-Pekka Paljakka

Olli-Pekka Paljakka


Solution Development Lead
Onrego
olli-pekka.paljakka@onrego.fi +358 45 216 9020
Onrego - Azure-asiantuntija

Maksuton Pilviklinikka

Tarjoamme organisaatioille maksutta 1 tunnin session, jossa autamme ja sparraamme ajankohtaisen julkipilveä tai IT-infraa koskevan haasteen kanssa.

Aikoja on tarjolla rajoitetusti, joten kannattaa toimia nyt.

Lue lisää