Kehittynyttä tietojen kalastelua vastaan on käytännössä vain yksi tehokas suoja: Fyysinen turva-avain
Elokuun alussa pilvipalvelujen suojaamiseen erikoistunut tietoturvayritys Cloudflare kertoi omassa blogikirjoituksessaan (https://blog.cloudflare.com/2022-07-sms-phishing-attacks/) miten heidän työntekijöitänsä oli joutunut taitavan kalasteluyrityksen kohteiksi. Cloudflare arvioi, että kyseessä oli niin kehittynyt hyökkäys, että suurin osa yrityksistä joutuisi arvaamattaan sen uhreiksi. Itseasiassa, yli 70 Cloudflaren työntekijästä, joihin hyökkäysyritys kohdistui, kolme vastasi kalasteluyritykseen ja nämä luovuttivat hyökkääjälle käyttäjätunnuksensa ja salasanansa. Vaikka Cloudflare panostaa merkittäviä resursseja työntekijöidensä tietoturvaosaamiseen ja verkkoympäristönsä suojaamiseen, yritys kertoi blogikirjoituksessaan avoimesti, että ainoa asia, joka varsinaisesti esti hyökkäyksen onnistumisen oli yksinkertainen FIDO2 turva-avain, joka on jokaiselle työntekijälle pakollinen tunnistusväline.
Hyökkäys perustui reaaliaikaiseen tietojen kalasteluun räätälöidyllä tekstiviestillä ja väärennetyllä aidon näköisellä kirjautumissivulla. Hyökkäys oli suunniteltu poimimaan uhrin käyttäjätunnuksen, salasanan ja kertakäyttöisen TOTP vahvistuskoodin. Aikarajoitukseen perustuva TOTP-menetelmä on käytössä kaikissa suosituissa tunnistussovelluksissa kuten Microsoft MFA, Google Authenticator, DUO Mobile, Okta ja Ping, sekä kaikissa SMS-pohjaisissa tunnistusratkaisuissa. Cloudflaren tekemän selvityksen perusteella, hyökkäys toimi tehokkaasti kaikissa OTP ja SMS suojatuissa ympäristöissä ja näitä teknologioita käyttävät yritykset olivat joutuneet hyökkäysten uhreiksi.
Me tiedämme varsin hyvin, että viime kädessä fyysinen turva-avain on ainoa aidosti tehokas suoja käyttäjän tunnistustietojen varkausyrityksille, koska käyttäjä ei pysty luovuttamaan fyysistä avaintaan hyökkääjälle, vaikka kuinka nokkela ja kehittynyt hyökkäys olisi kyseessä. Cloudflaren avoin ja seikkaperäinen kuvaus heihin kohdistuneesta hyökkäysyrityksestä ja sen estämisestä helpolla ja edullisella turva-avaimella on rohkea avaus. Cloudflare osoittaa, että jokainen yritys voi olla tietomurron uhri huolimatta siitä kuinka paljon työntekijöitä koulutetaan tai tietoverkkoja vahvistetaan, mikäli työntekijöiden tunnistus ei ole Zero-Trust mallin mukaisesti aidosti turvallinen.
FIDO2 tunnistusavain on helppo, edullinen ja nopea ratkaisu käyttäjätilien todelliseen suojaamiseen tietomurroilta, mutta se ei suikaan ole ainoa siinä. Mobiilitunnistus missä tunnistusmenetelmä perustuu laitteen sisään rakennettuun turvapiiriin ja sen suojaamaan julkisen avaimen teknologiaan ajaa saman asian, mutta se tuo lisäksi mukanaan joukon arvokkaita ominaisuuksia, kuten tunnisteiden elinkaaren hallinnan ja aidosti salasanattoman käyttäjäkokemuksen. Me olemme Spearilla aina lähteneet siitä, että tunnistus on riittävän hyvä vasta kun voidaan osoittaa, ettei tunnistusta ole mahdollista ohittaa, kaapata tai väärentää. Tämän vaatimuksen täyttävät meidän FIDO2 tunnistusavain, SpearID Mobile tunnistusratkaisu, sekä SpearID Enterprise kortit ja USB-avaimet.
Olemme erittäin iloisia siitä, että yhä useampi organisaatio on herännyt huomaamaan, miten arvokasta yrityksen turvallisuudelle käyttäjätunnistuksen suojaaminen on. Nyt on hyvä aika herätä myös huomaamaan miten helposti ja edullisesti vahvan suojauksen voi ottaa käyttöön. Aidosti tehokkaan suojan tietomurtoja vastaan voi nyt hankkia edullisesti Spearin uudesta verkkokaupasta: https://shop.spear.fi/products/spearid-pro-fido2