Mitä tapaus Okta kertoo Zero-Trust tietoturvamallin puuttumisen riskeistä?
Toissapäivän 22.3. uutisoitiin kertakirjautumis- ja identiteetinhallinta palveluja tuottavaan Oktaan kohdistuneesta tietomurrosta. Uutisissa (https://techcrunch.com/2022/03/22/okta-january-hack-breach/) kerrottiin, että Lapsus$ -nimeä käyttävä hakkeriryhmä olisi saanut pääsyn Oktan sisäiseen verkkoon. Tietojen mukaan tietomurto olisi tapahtunut jo tämän vuoden tammikuussa Oktan palvelukumppanin kautta. Eilen (https://techcrunch.com/2022/03/23/okta-breach-sykes-sitel) kerrottiin murron välikappaleena olleen Sitel, joka tuottaa käyttäjätukipalveluja Oktan loppuasiakkaille.
Joka päivä saamme lisää tietoa tietomurrosta, mutta yhä on auki kuinka laajat ja syvät vaikutukset tällä on satoihin Oktan asiakkaisiin, jotka ovat hyökkäyksen tehneen hakkeriryhmän varsinaisina kohteina. Julki annetuissa tiedoissa ei ole myöskään kerrottu millä keinoilla ja menetelmillä, tai mitä tietoturvaheikkouksia hyödyntämällä Lapsus$ -ryhmä on suorittanut ilmeisesti onnistuneen hyökkäyksensä.
Uutisissa on kerrottu, että Sitelin ympäristöön olisi murtauduttu ainakin jo tammikuussa 2022 ja sitä kautta hyökkääjä on oletettavasti saanut pääsyn Oktan sisäiseen verkkoon. Tietomurron motiiviksi Lapsus$ -ryhmä on ilmoittanut halunsa saada käsiinsä Oktan loppuasiakkaiden tietoja. Koska muuta ei varsinaisesti ole kerrottu julkisuuteen, on tässä vaiheessa turha spekuloida asioilla pidemmälle.
Tapauksesta voidaan kuitenkin jo nyt tehdä muutama tärkeä huomio:
Tietoturvallisuuden hallinta verkottuneessa ympäristössä on todella vaikeaa, ellei jopa mahdotonta
Kaksiosainen tunnistus ei selvästikään ole riittävä ratkaisu suojaamaan käyttäjätunnistusta
Zero-Trust mallia ei ole sovellettu, koska ympäristössä on ilmiselvästi ”pehmeitä kohtia” mitä hyökkääjä pystyy hyödyntämään.
Näiden huomioiden valossa vaikuttaa, että me kaikki olemme valtavan haasteen edessä yrittäessämme suojautua vastaavan kaltaiselta hyökkäykseltä. Aivan erityisesti: miten kaikki ne sadat Oktan asiakkaat, joiden tietoja Lapsus$ -hakkeriryhmä on mahdollisesti saanut käsiinsä voivat suojautua tietomurron vaikutuksilta? Miten ylipäänsä moniportaiselta hyökkäyksellä ja sen vaikutuksilta voi yrittää suojautua?
Yksi konkreettinen vastaus on soveltamalla Zero-Trust mallin mukaista identiteettiin perustuva käyttäjätunnistusta. Käytännössä tämä tarkoittaa sitä, että käyttäjätunnistuksessa ei kuulu olla käytössä ns. jaettuja salaisuuksia. Kaikki kertakäyttöisiin salasanoihin perustuvat tunnistusmenetelmät perustuvat palvelimen ja päätelaitteen kesken jaettuun salaisuuteen, kuten avaimeen tai siemenlukuun. Jaettu salaisuus edellyttää aina luottamusta vähintään palvelimeen, ellei päätelaitteeseenkin. Tämä ei ole Zero-Trust mallin mukaista, missä lähdetään siitä, että turvallisuuden pitää olla riippumatonta luottamuksesta.
Jaetun salaisuuden käytöstä voidaan luopua vain, jos tunnistusmenetelmä hyödyntää epäsymmetrisiä avaimia. Näitä ovat FIDO ja PKI-varmennetunnistuksen hyödyntämä yksityisen ja julkisen avainparin menetelmä. FIDO ja PKI-menetelmissä käyttäjän yksityinen avain luodaan ja hallinnoidaan yksinomaan käyttäjän hallinnassa olevassa turvaympäristössä älypuhelimen turvapiirillä, älykortin tai USB-turva-avaimen sirulla. Tunnistuksessa käytetään ainoastaan käyttäjän ja tunnistuspalvelimen julkisia avaimia eikä yksityiset avaimet paljastu missään tilanteessa. Nerokasta tässä on se, että käyttäjän identiteetti voidaan todentaa ja varmistaa vahvasti palvelimella kertakirjautumista varten ilman, että kirjautumisen piirissä olevien palvelujen tarvitsee edes oikeasti luottaa tunnistuspalvelimeen. Tunnistuspalvelimella on ainoastaan tekninen rooli suorittaa todennusprotokolla muiden sovellusten puolesta, mutta sillä itsellään ei ole luottamusroolia kokonaisuudessa. Tämä muutos ratkaisee suurelta osin verkottuneen organisaation vaikeimman turvallisuushaasteen.
Spear Innovations on tuonut markkinoille Zero-Trust mallia tukevan identiteettiperustaisen kertakirjautumisratkaisun, joka perustuu PKI-varmenteita hyödyntävään mobiilitunnistukseen. Vastaamme mielellämme lisäkysymyksiin ja näytämme kuinka ratkaisumme toimii aidossa ympäristössä!
Lisätiedot:
Spear Innovations Oy Ltd
CCO, Eerik Heijari
eerik.heijari@spear.fi
+358 40 5544 380
P.S. Lue myös aiheeseen liittyvä blogi:
Mitä Zero-Trust tarkoittaa vahvan tunnistuksen osalta?
Leave a Reply
You must be logged in to post a comment.