Kontoturbe nõuded IT juhtidele

Kaasaegsed paroolipoliitika nõuded

Traditsioonilised paroolinõuded, mis keskendusid keerukusele ja sagedasele paroolide vahetamisele, on asendunud uute standarditega. NIST SP 800-63B Revision 4 on toonud olulisi muudatusi, mida peaksite oma ettevõtte turvapoliitikas rakendama.

• Minimaalne pikkus peab olema vähemalt 15 tähemärki, kui parool on ainus autentimisfaktor. CISA soovitab kriitiliste süsteemide puhul isegi 16 tähemärgi pikkust alampiiri.
• Vältige meelevaldseid keerukusreegleid (nt nõue kasutada suuri tähti, numbreid ja sümboleid korraga). NIST-i uuringud näitavad, et need reeglid sunnivad kasutajaid looma kergesti ennustatavaid mustreid.
• Rakendage paroolide kontrollimist vastu musti nimekirju (blocklists). Süsteem peaks blokeerima paroolid, mis on varem kompromiteeritud, levinud sõnastikusõnad või organisatsioonispetsiifilised terminid.
• Lõpetage sunduslik perioodiline paroolide vahetamine. Kasutajaid peaks sundima parooli muutma ainult siis, kui on tõendeid konto kompromiteerimise kohta.
• Eelistage paroolifraase (passphrases), mis koosnevad mitmest mitteseotud sõnast. Need on kasutajale kergemini meeldejäävad, kuid brute-force rünnakutele vastupidavamad.

Tõhusaks halduseks on soovitatav kasutada tsentraalset lahendust, kus paroolide haldamine on integreeritud üldise turvakaadri osaks.

Kalastamiskindel mitmefaktoriline autentimine

Kuigi igasugune mitmefaktoriline autentimine (MFA) on parem kui selle puudumine, on tänapäeval standardiks muutumas kalastamiskindel (phishing-resistant) MFA. CISA peab seda kuldstandardiks, millele üleminek peaks olema iga IT-juhi prioriteet.

• Kasutage FIDO/WebAuthn või PKI-põhist autentimist, mis on immuunne vahendusrünnakutele (AiTM).
• Vältige SMS-põhist 2FA-d, kuna see on haavatav SIM-kaardi vahetamise rünnakutele. Rakenduspõhised koodid on turvalisemad, kuid parim lahendus on riistvaralised turvavõtmed või biomeetria.
• Rakendage numbri sobitamist (number matching) mobiilsetes autentimisrakendustes, et vähendada “MFA bombing” rünnakute edukust, kus kasutajat pommitatakse kinnitustaotlustega kuni ta neile ekslikult vajutab.
• Prioritiseerige MFA rakendamist administraatoritele, juhtkonnale ja töötajatele, kellel on ligipääs tundlikule infole.

Täpsemat infot erinevate lahenduste kohta leiate meie kaheastmelise autentimise ja erinevate sisselogimise meetodite juhenditest.

Juurdepääsu haldus ja Zero Trust põhimõtted

Suurtes organisatsioonides ei piisa enam ainult sissepääsu kaitsmisest. Peate rakendama Nullusalduse (Zero Trust) arhitektuuri, kus iga ligipääsutaotlust kontrollitakse rangelt.

• Rakendage minimaalsete õiguste põhimõtet, tagades töötajatele ligipääsu ainult neile ressurssidele, mis on vajalikud nende tööülesannete täitmiseks.
• Kasutage keskset identiteedihaldust (IAM), mis võimaldab paroolihalduri abil või SSO kaudu tsentraalselt hallata ja vajadusel koheselt eemaldada lahkunud töötajate õigused.
• Seadistage Microsoft 365 keskkonnas automaatsed teavitused kahtlase tegevuse korral, näiteks ebatavaliste asukohtade või seadmete kaudu sisselogimisel.
• Kasutage tingimuslikku juurdepääsu (Conditional Access), mis hindab sisselogimise riskiastet reaalajas, arvestades seadme turvapiire ja kasutaja käitumist.

Seire, audit ja pidev autentimine

NIST SP 800-63B Revision 4 on lisanud uue sektsiooni sessioonide seire (session monitoring) kohta. See tähendab aktiivsete sessioonide pidevat hindamist, et tuvastada võimalikku identiteedipettust peale esmast sisselogimist.

• Teostage regulaarseid auditid paroolide lähtestamise logidele, et tuvastada süsteemseid probleeme või rünnakukatseid.
• Rakendage sessioonide aegumise reegleid: AAL1 tasemel peaks sessioon lõppema vähemalt iga 30 päeva järel, AAL2 tasemel on nõutav reautentimine peale 30-minutilist tegevusetust.
• Automatiseerige turvaseire, kasutades masinõpet anomaaliate tuvastamiseks kasutajate käitumises.
• Suurettevõtetele, kes vajavad tipptasemel analüütikat, on soovitatav Microsoft 365 E5 litsents, mis pakub täiustatud ohutõrje (Advanced Threat Protection) funktsioone.

Vastavus regulatsioonidele ja standarditele

Kontoturbe nõuded on tihedalt seotud juriidiliste kohustustega. Eestis tegutsevad suurettevõtted peavad järgima mitmeid raamistikke, et tagada andmete kaitse ja süsteemide stabiilsus.

• Eesti infoturbestandard (E-ITS) on kohustuslik paljudele organisatsioonidele ning selle rakendamine nõuab süsteemset lähenemist kontoturbele ja riskihaldusele.
• Küberturvalisuse seadus paneb paika selged kohustused oluliste teenuste osutajatele, sealhulgas intsidentidest teavitamise korra.
• ISO 27001 standardile vastav infoturbe halduse süsteem aitab luua struktureeritud raamistiku kõigi turvameetmete haldamiseks.
• NIS2 direktiiv toob kaasa karmimad nõuded ja suuremad trahvid nõuete rikkumise korral, rõhutades juhtkonna vastutust küberturvalisuse tagamisel.

Kontoturbe nõuete täitmine ei ole ühekordne projekt, vaid pidev protsess. Teie organisatsiooni turvataseme tõstmine algab tehniliste meetmete ja töötajate teadlikkuse kombineerimisest. Kui soovite veenduda, et teie ettevõtte kontod on kaitstud vastavalt uusimatele standarditele, on professionaalne IT hooldus ja süsteemide audit parim viis riskide maandamiseks.