Pelkkä monivaiheinen tunnistatuminen (MFA) ei pidä yritystäsi turvassa

Monessa organisaatiossa ajatellaan edelleen näin:
“Meillä on monivaiheinen tunnistautuminen käytössä, joten käyttäjätilit ovat turvassa.”

Ajatus on ymmärrettävä, sillä MFA on ollut ja on edelleen yksi tehokkaimmista yksittäisistä keinoista suojata käyttäjätilejä. Uhkakenttä on kuitenkin muuttunut ja yrityksiltä vaaditaan aiempaa parempaa ymmärrystä tietoturvasta.

Tosiasia on, että tänä päivänä pelkkä MFA ei enää takaa sitä turvaa, jota siltä usein odotetaan.

Hyökkäykset eivät kohdistu ainoastaan salasanoihin – vaan myös ihmisiin

Aiemmin hyökkääjän tavoite oli yksinkertaisesti murtaa tai varastaa salasana.
Nyt tavoite on toinen.

Nykyhyökkäyksissä ei välttämättä yritetä kiertää MFA:ta teknisesti, vaan hyödynnetään käyttäjää itseään. Hyökkääjä haluaa, että käyttäjä kirjautuu sisään aivan normaalisti – mutta hyökkääjän puolesta.

Yksi yleinen esimerkki tästä on niin sanottu Adversary-in-the-Middle -hyökkäys. Käyttäjä ohjataan aidolta näyttävälle kirjautumissivulle, hän syöttää tunnuksensa ja hyväksyy MFA-pyynnön kuten aina ennenkin. Useimmiten käyttäjästä kaikki vaikuttaa aivan normaalilt, mutta kirjautumissessio päätyy hyökkääjän haltuun.

Monivaiheinen tunnistautuminen toimi teknisesti täsmälleen kuten sen on tarkoitus, mutta se ei estänyt hyökkäystä.

MFA-väsymys on todellinen ilmiö

Toinen yleistynyt ilmiö on niin sanottu MFA-pommitus. Hyökkääjä laukaisee kirjautumisyrityksiä toistuvasti, jolloin käyttäjän puhelimeen alkaa tulla jatkuvia hyväksyntäpyyntöjä.

Lopulta käyttäjä joko:

• hyväksyy pyynnön vahingossa
• tai hyväksyy sen saadakseen ilmoitukset loppumaan

Sinusta lukijana voi tuntua, että ei kai kukaan oikeasti lankea noin ilmiselvään huijausyritykseen. Tosiasiassa tällainen virhe voi tapahtua käyttäjälle esimerkiksi kiireessä, väsyneenä tai ihan vain vahingoissa.

Olet ehkä itsekin joskus esimerkiksi kesken palaverin vain ”kuitannut jonkin ilmoituksen” puhelimesta häiritsemästä. Valitettavasti vähemmän valveutuneelle käyttäjälle MFA-ilmoitus voi olla vain häiriötekijä muiden joukossa.

Tässäkään tapauksessa MFA ei ole “rikki”. Ongelma on siinä, että järjestelmä ei ymmärrä kontekstia, eikä käyttäjä aina pysähdy miettimään, miksi pyyntö tuli juuri nyt.

Todellinen ongelma ei ole MFA. Ongelma on se, mitä sen ympäriltä puuttuu

Kun sanotaan, että “pelkkä MFA ei riitä”, se tulkitaan joskus väärin. Kyse ei ole siitä, että MFA olisi turha tai vanhentunut.

Päinvastoin, MFA on edelleen varsin toimiva käyttäjien kirjautumisten suojaamisen kivijalka – vaikka sen rinnalla ovat yleistyneet muutkin menetelmät, kuten passkeyt.

Ongelma syntyy silloin, jos:

• kirjautumisia ei seurata jatkuvasti
• poikkeavaa käyttäytymistä ei havaita
• riskeihin ei reagoida nopeasti
• ympäristöä tarkastellaan yksittäisten asetusten, ei kokonaisuuden kautta

Modernit identiteettihyökkäykset eivät pysähdy yhteen suojauskerrokseen. Siksi puolustuksenkaan ei pitäisi perustua vain yhteen ominaisuuteen.

Mitä MFA:n lisäksi oikeasti tarvitaan?

Jos tavoitteena on oikeasti suojattu Microsoft 365 -ympäristö, MFA on vasta lähtökohta. Sen ympärille tarvitaan kokonaisuus, joka elää ja reagoi.

Käytännössä tämä tarkoittaa esimerkiksi:

Jatkuvaa seurantaa
Epäilyttävät kirjautumiset, poikkeavat muutokset ja riskisignaalit havaitaan silloin, kun niihin voidaan vielä reagoida.

Kontekstin ymmärtämistä
Kaikki poikkeamat eivät ole uhkia. Olennaista on erottaa normaali toiminta aidosta riskistä.

Selkeitä toimintamalleja
Kun jotain tapahtuu, pitää olla selvää, mitä tehdään seuraavaksi – ilman että jokaisen täytyy olla tietoturva-asiantuntija.

Kokonaiskuvaa
Yksittäinen hälytys ei kerro vielä paljoa. Vasta useiden signaalien yhdistäminen paljastaa, mitä ympäristössä oikeasti tapahtuu.

Miksi jatkuva identiteettien seuranta korostuu juuri Microsoft 365 -ympäristössä?

Microsoft 365 on monelle organisaatiolle liiketoiminnan kriittisin alusta: sähköposti, tiedostot, Teams-keskustelut ja hallintaoikeudet kulkevat saman identiteetin kautta.

Tämä tekee käyttäjätileistä houkuttelevan kohteen hyökkääjille, mutta samalla se tarjoaa myös mahdollisuuden parempaan suojaan, jos ympäristöä seurataan aktiivisesti. Kun kirjautumistietoja, poikkeavia signaaleja ja käyttäjäkäyttäytymistä tarkastellaan kokonaisuutena, uhkat voidaan tunnistaa ennen kuin ne ehtivät aiheuttaa vahinkoa.

Juuri tässä jatkuva seuranta ja kontekstin ymmärtäminen nousevat keskiöön: ne muuttavat yksittäiset tapahtumat hallituksi kokonaisuudeksi ja tukevat sekä tietoturvaa että liiketoiminnan jatkuvuutta.

Miksi MFA‑hyökkäykset havaitaan usein liian myöhään?

Monessa organisaatiossa identiteetteihin liittyvät poikkeamat huomataan vasta jälkikäteen – jos silloinkaan.

Yksi syy tähän on se, että kirjautumisia tarkastellaan usein yksittäisinä tapahtumina, ei osana laajempaa käyttäytymiskuvaa. Yksittäinen onnistunut kirjautuminen ei välttämättä herätä huomiota, vaikka sitä olisi edeltänyt epätavallinen sijainti, uusi laite tai poikkeava ajankohta.

Kun MFA on käytössä, oletetaan helposti, että kaikki hyväksytyt kirjautumiset ovat myös oikeita. Tämä ajattelutapa jättää hyökkääjälle tilaa toimia rauhassa.

Ilman jatkuvaa seurantaa hyökkäys voi jatkua päiviä tai viikkoja ennen kuin ensimmäiset selkeät merkit näkyvät. Juuri siksi identiteettiturvassa ratkaisevaa ei ole vain se, estetäänkö kirjautuminen, vaan se, ymmärretäänkö millainen kirjautuminen on kyseessä ja reagoidaanko ajoissa, kun jokin ei enää näytä normaalilta.

Yhteenveto

MFA on edelleen tärkeä ja välttämätön osa identiteettiturvaa, mutta yksinään se voi antaa väärän turvallisuuden tunteen.

Todellinen suoja syntyy vasta silloin, kun tunnistautumista, käyttäjiä ja koko ympäristöä seurataan jatkuvasti ja kun havaittuihin riskeihin osataan myös reagoida ajoissa.

M365-ympäristön tietoturva ei ole yksittäinen asetus tai ominaisuus. Se on jatkuva prosessi.