VPN-suojaus ransomware-hyökkäyksiltä, jotka laukaisevat ilmoitusvelvollisuudet

VPN-suojaus ransomware-hyökkäyksiltä, jotka laukaisevat ilmoitusvelvollisuudet

Useimmat ihmiset pitävät ransomwarea lukitus- ja kiristysskenaariona: hyökkääjät salaavat tiedostosi, sinä maksat ja saat ne takaisin. Todellisuus on tuhoisampi. Nykyaikaiset ransomware-ryhmät eivät pelkästään salaa tietoja; he varastavat ne ensin. Juuri tämä toinen vaihe, tietojen siirtäminen pois, muuttaa ransomware-tapauksen laillisesti ilmoitettavaksi tietomurroksi ja käynnistää ilmoitusvelvollisuudet lakien, kuten HIPAA:n, osavaltioiden tietomurtoa koskevien säädösten ja FTC:n terveystietomurtoilmoitussäännön nojalla. Ymmärtämällä, miten VPN-suojaus ransomware-hyökkäyksiltä sijoittuu tähän kuvaan, sekä yksityishenkilöt että organisaatiot voivat reagoida fiksummin.

Miten ransomware muuttuu ilmoitettavaksi tietomurroksi

Kaikki ransomware-hyökkäykset eivät täytä Yhdysvaltain lain mukaista tietomurron määritelmää. Pelkkä salaus, jossa tiedot sekoitetaan omissa järjestelmissäsi mutta eivät koskaan poistu niistä, ei välttämättä ylitä laillista kynnystä. Laukaisijana on suojatun tiedon luvaton hankinta tai pääsy siihen. Kun hyökkääjät kopioivat tiedostoja ennen salaamista, tuo tietojen vienti muuttaa tapauksen tietomurroksi, joka edellyttää ilmoitusta asianosaisille henkilöille, viranomaisille ja joissakin tapauksissa tiedotusvälineille.

Tämä "kaksoiskiristysmalli" on nykyään ransomware-ryhmien vakiotoimintatapa. Hyökkääjät uhkaavat julkaista varastetut tiedot vuotosivustoilla, jos lunnaita ei makseta, mikä antaa heille kaksi painostuskeinoa. Uhriorganisaatioiden oikeudellinen altistuminen noudattaa samaa kahtaista rakennetta: toiminnan häiriöt salauksen vuoksi plus viranomais- ja maineseuraamukset tietomurron takia.

Conduentin tietomurto, jossa noin 25 miljoonan amerikkalaisen arkaluonteisia henkilötietoja paljastui, havainnollistaa juuri tätä kaavaa. Yrityspalveluita tuottava firma, joka käsitteli tietoja terveydenhuollon tarjoajille ja valtion virastoille, muuttui väyläksi, jonka kautta ransomware-hyökkäys eteni tietomurron puolelle vaikuttaen ihmisiin, joilla ei ollut suoraa suhdetta tietoturvaloukkauksen kohteeksi joutuneeseen yritykseen.

VPN:n rooli ransomware-hyökkäysketjussa

Jotta ymmärtäisimme realistisesti, mihin VPN pystyy, on hyödyllistä kuvata tyypillinen ransomware-hyökkäysketju. Hyökkääjät saavat alkupääsyn yleisimmin tietojenkalastelusähköpostien, paljaana olevien etätyöpöytäprotokollaporttien (RDP) tai internetiin avoinna olevien järjestelmien paikkaamattomien haavoittuvuuksien kautta. Päästyään sisään he levittäytyvät verkossa vaakasuunnassa, korottavat käyttöoikeuksiaan, tunnistavat arvokkaat tiedot, vievät ne, ja lopulta asentavat salaushyötykuorman.

VPN toimii pääasiassa kahdessa kohtaa tätä ketjua.

Ensinnäkin etätyöntekijöiden yhdistäessä yritysresursseihin VPN salaa päätelaitteen ja verkon välisen tunnelin. Tämä estää hyökkääjiä kaappaamasta käyttäjätunnuksia tai istuntotunnisteita suojaamattomien yhteyksien yli, erityisesti julkisissa Wi-Fi-verkoissa, joka on yleinen väylä tunnusten keräämiseen, mikä johtaa myöhempiin tunkeutumisiin.

Toiseksi toimipisteiden väliset VPN-yhteydet segmentoivat verkkoliikenteen haaratoimistojen ja konesalien välillä. Oikea segmentointi rajoittaa vaakasuuntaista liikkumista. Jos hyökkääjä murtautuu yhteen segmenttiin, hyvin suunniteltu VPN-arkkitehtuuri tiukkoine käyttövalvontoineen voi hidastaa tai estää hänen leviämisensä järjestelmiin, jotka sisältävät arkaluonteisia tietoja – juuri niitä tietoja, jotka vietynä käynnistävät ilmoitusvelvollisuuden.

VPN-yhteyden yhdistäminen monivaiheiseen tunnistautumiseen on erityisen tärkeää organisaatioille. CISA:n oma ransomware-ohjeistus nimenomaisesti mainitsee MFA:n kaikilla VPN-yhteyksillä perustason hallintakeinona, ja hyvästä syystä: varastettujen tunnusten käyttö suojaamatonta VPN-päätepistettä vastaan on yksi yleisimmistä reiteistä, joita ransomware-hyökkääjät käyttävät sisäänpääsyyn.

Ymmärtääksesi tekniset mekanismit, joilla ransomware leviää päästyään verkkoon, kannattaa kerrata tämän haittaohjelmakategorian perustoiminta, sillä salausvaihe on vain paljon pidemmän tunkeutumisen loppuhuipennus.

Rajoitukset: Mitä VPN ei voi estää

VPN-suojaus ransomware-hyökkäyksiltä on todellista, mutta rajattua. VPN ei korvaa päätelaitteiden tietoturvaa, ja tällä erolla on merkitystä.

Jos työntekijä klikkaa haitallista sähköpostiliitettä laitteella, joka on jo yhteydessä VPN:ään, haittaohjelma saa suoran pääsyn suojattuun verkkoon. Salattu tunneli toimii molempiin suuntiin: se suojaa laillista liikennettä, mutta se kuljettaa myös haitallista liikennettä, kun päätelaite on murrettu. VPN ei tarkista hyötykuormia haittaohjelmien varalta, se ei paikkaa ohjelmistohaavoittuvuuksia eikä estä käyttäjiä lataamasta saastuneita tiedostoja.

Ransomware-ryhmät ovat kohdistaneet iskuja nimenomaan VPN-ohjelmistoihin itseensä. Laajalti käytössä olevien VPN-tuotteiden haavoittuvuuksia on hyödynnetty alkupääsyn vektoreina, mikä tarkoittaa, että päivittämätön VPN-pääte voi muuttua oveksi, josta hyökkääjät kulkevat sisään sen sijaan, että se olisi heidät ulkona pitävä este. VPN-ohjelmistopäivitysten ajantasaisuus ei ole valinnaista; se on osa puolustusta.

Lisäksi VPN ei suojaa sisäpiirin uhkia, murrettuja toimittajatunnuksia tai hyökkääjiä, jotka ovat vakiinnuttaneet pysyvän jalansijan muita teitä pitkin ennen kuin VPN-käytäntö on otettu käyttöön.

Mitä yksityishenkilöiden ja organisaatioiden tulisi tehdä nyt

Organisaatioiden prioriteetti on käsitellä VPN-yhteyttä yhtenä kerroksena laajemmassa zero-trust-arkkitehtuurissa. Tämä tarkoittaa MFA:n käyttöönottamista jokaisella VPN-yhteydellä, vähimpien oikeuksien periaatteen soveltamista niin, että käyttäjät pääsevät vain omaan rooliinsa liittyviin järjestelmiin, sekä VPN-lokien valvontaa poikkeavan käyttäytymisen, kuten epätavallisina aikoina tai odottamattomista paikoista tapahtuvien kirjautumisten varalta.

Verkon segmentointi VPN-käytäntöjen avulla tulisi tarkistaa tietomurtoilmoituskynnys mielessä. Kysy, missä järjestelmissä on tietoja, joiden vienninen käynnistäisi ilmoitusvelvollisuuden, ja varmista, että nämä järjestelmät ovat tiukimmin hallinnoituja segmenttejä.

VPN-päätteiden päivitysten hallinta ansaitsee erityistä huomiota. Monet korkean profiilin ransomware-tapaukset viime vuosina juontavat juurensa VPN-tuotteiden paikkaamattomiin haavoittuvuuksiin. VPN-ohjelmistopäivitysten käsitteleminen samalla kiireellisyydellä kuin käyttöjärjestelmäpäivitykset sulkee usein huomiotta jäävän aukon.

Yksityishenkilöille julkisissa tai jaetuissa verkoissa VPN:n käyttö vähentää tunnusten kaappaamisen riskiä. Henkilökohtainen VPN-käyttö tulisi kuitenkin yhdistää vahvoihin, ainutlaatuisiin salasanoihin ja MFA:han jokaisessa tärkeässä tilissä, sillä pikemmin tunnusten varkaus kuin verkkoliikenteen sieppaus on todennäköisempi henkilökohtainen uhka.

Varmuuskopiot pysyvät luotettavimpana palautuskeinona ransomwarea vastaan. Offline- tai muuttumattomat varmuuskopiot, joihin hyökkääjät eivät pääse käsiksi ja joita he eivät voi salata, tekevät mahdolliseksi toiminnan palauttamisen ilman lunnaiden maksamista ja ilman niitä tietomurtoilmoitusseurauksia, jotka seuraavat tietojen menetyksestä.

Conduentin tietomurron kaltaisten tapausten opetus on, että yhden organisaation puutteelliset verkkohallintakeinot voivat altistaa kymmeniä miljoonia ihmisiä, jotka eivät ole koskaan olleet suoraan tekemisissä kyseisen organisaation kanssa. Oma VPN-kokoonpanosi, käyttöoikeuskäytäntösi ja segmentointistrategiasi läpikäyminen ei ole abstraktia harjoitusta. Se on käytännön työtä, joka määrittää, pysyykö ransomware-hyökkäys hallittavana vai muuttuuko se tietomurroksi, jolla on oikeudellisia, taloudellisia ja maineeseen liittyviä seurauksia vuosien ajan.