Неправильные настройки безопасности делают многие предприятия уязвимыми


Вы не смогли посетить Transform 2022? Ознакомьтесь со всеми сессиями саммита в нашей доступной библиотеке прямо сейчас! Смотреть здесь.


В разное время и по разным причинам организации оставляют порты (каналы связи) и протоколы (методы связи) открытыми для Интернета.

новый исследование от компании кибербезопасности Экстрахоп показывает, насколько распространены и опасны такие воздействия в ключевых отраслях.

По словам директора по информационной безопасности ExtraHop Джеффа Костлоу, результаты оказались тревожными по всем направлениям, потому что преднамеренное или случайное раскрытие информации расширяет поверхность атаки организации. Неправильные конфигурации часто являются наиболее распространенными пробелами, используемыми хакерами, потому что они являются такой легкой мишенью.

«Некоторые люди могут посмотреть на это и подумать: ну, что это за устройство или два, которые подключены к Интернету?» — сказал Костлоу. «Мое предупреждение заключается в том, что не все или даже многие устройства должны подвергаться воздействию окружающей среды, чтобы создавать риск. Достаточно одной открытой двери, чтобы впустить киберпреступников в вашу среду, где они могут затем двигаться в боковом направлении и потенциально начать катастрофическую атаку».

Ключевые выводы о киберугрозах

Выводы отчет показывают, что большое количество организаций раскрыли протоколы баз данных, сказал Костлоу.

Эти протоколы позволяют пользователям и программному обеспечению взаимодействовать с базами данных, вставляя, обновляя и извлекая информацию. Когда открытое устройство прослушивает протокол базы данных, оно раскрывает базу данных и ее важную и конфиденциальную информацию.

Опрос показал, что 24 % организаций предоставляют доступ к табличным потокам данных (TDS), а 13 % — к общедоступному Интернету.

Обе технологии представляют собой протоколы для связи с базами данных, которые передают данные в виде открытого текста.

Другие выводы

  • Более 60 % организаций предоставляют защищенные оболочки протокола удаленного управления (SSH) в общедоступном Интернете. SSH обычно используется для шифрования данных, передаваемых между компьютерами.
  • 36% выявляют небезопасные протоколы передачи файлов (FTP), которые представляют собой передачу данных по сети между серверами и компьютерами.
  • 41% организаций имеют по крайней мере одно устройство, предоставляющее LDAP доступ к общедоступному Интернету. Системы Windows используют упрощенный протокол доступа к каталогам (LDAP) для поиска имен пользователей в Microsoft Active Directory (AD), собственной службе каталогов софтверного гиганта. По умолчанию эти запросы передаются в виде открытого текста, пояснил Костлоу.

«Этот чувствительный протокол имеет огромный фактор риска», — сказал он.

Между тем, во многих отраслях серверные блоки сообщений (SMB) являются наиболее распространенным открытым протоколом. SMB позволяет приложениям на компьютере читать и записывать файлы и запрашивать услуги у серверных программ в компьютерной сети.

  • В сфере финансовых услуг SMB представлен на 34 устройствах из 10 000.
  • В здравоохранении SMB выявляется на семи устройствах из 10 000.
  • В государственных, местных и образовательных учреждениях (SLED) SMB представлен на пяти устройствах из 10 000.

Устаревшие протоколы: широко распространен Telnet

Что «может быть наиболее тревожным», сказал Костлоу, так это то, что 12% организаций имеют по крайней мере одно устройство, открывающее протокол Telnet для общедоступного Интернета.

Telnet — это протокол, используемый для подключения к удаленным устройствам, но Костлоу указал на его древность — он был устарел с 2002 года.

«В качестве передовой практики ИТ-организациям следует отключать Telnet везде, где он находится в их сети», — сказал он. «Это старый, устаревший и очень небезопасный протокол».

Организации также должны отключить протокол блокировки сообщений файлового сервера (SMBv1). Сетевой протокол прикладного уровня обычно используется в Windows для предоставления общего доступа к файлам и принтерам.

Исследование ExtraHop показало, что в 31% организаций было хотя бы одно устройство, предоставляющее доступ к этому протоколу в общедоступном Интернете. Кроме того, 64 из 10 000 устройств выставили этот протокол в открытый доступ в Интернет.

Костлоу указал, что SMBv1 был развитый в 1980-х годах и был официально инвалид в Microsoft Active Directory в апреле 2019 года. Протокол особенно уязвим для ВнешнийСиний, По словам Костлоу, это серьезный и хорошо известный эксплойт, который позволяет хакерам получать удаленный доступ и используется для распространения печально известной программы-вымогателя WannaCry. Сегодня доступны более безопасные и эффективные версии SMB.

В целом, SMBv1 и Telnet «рискованы по своей сути», сказал Костлоу. «ИТ-лидеры должны сделать все возможное, чтобы удалить их из своей среды».

Улучшение вашей безопасности

Толчком к отчету послужила публикация Агентством по кибербезопасности и безопасности инфраструктуры (CISA) Щиты вверх уведомление в феврале в ответ на вторжение России в Украину. По словам Костлоу, в нем были даны рекомендации по новым подходам к киберзащите, многие из которых сосредоточены на основах кибербезопасности: паролях, исправлениях и правильной конфигурации.

«Развитие разведывательных данных указывает на то, что российское правительство изучает варианты потенциальных кибератак», — предупреждается в уведомлении. «Каждая организация — большая и малая — должна быть готова реагировать на разрушительные киберинциденты».

Цель отчета состояла в том, чтобы предоставить дорожную карту «приоритетов безопасности и гигиены», сказал Костлоу.

Протоколы связаны с конфиденциальной информацией — паролями в виде простого текста и именами пользователей AD, среди прочего. И «к сожалению» — не говоря уже о небрежности — пароль в AD часто просто «admin», — сказал Костлоу.

«Это может упростить киберпреступникам доступ к вашей среде, важной или конфиденциальной информации и даже к вашей интеллектуальной собственности», — сказал он.

Часто организации даже не подозревают, что эти конфиденциальные протоколы раскрыты. Такое воздействие может быть результатом простой человеческой ошибки или настроек по умолчанию. В других случаях это отсутствие понимания безопасности со стороны ИТ-команд, настраивающих свои сетевые конфигурации.

По словам Костлоу, всем организациям следует оценивать использование ими сетевых протоколов. Анализируя конфигурацию своих сетей и устройств, а также шаблоны трафика, они могут лучше понять свои риски безопасности и принять меры для повышения своей готовности к кибербезопасности.

Костлоу также рекомендовал организациям создавать и поддерживать реестр программного и аппаратного обеспечения в своей среде, чтобы защитники могли отслеживать, что и где используется.

В конечном счете, по словам Костлоу, «базовый уровень «нормальности» облегчает обнаружение аномального, потенциально злонамеренного поведения».

Читать полный отчет для дальнейшего понимания.

Миссия VentureBeat должна стать цифровой городской площадью, на которой лица, принимающие технические решения, смогут получить знания о трансформирующих корпоративных технологиях и заключать сделки. Узнайте больше о членстве.

Leave a Comment