Ein ExtraHop-Benchmarking-Bericht über Cyber-Risiken und -Bereitschaft zeigt Verbreitung und Risiken von Internet-exponierten Protokollen in Unternehmensnetzwerken auf. Mehr als 60 % der Unternehmen setzen das Remote-Control Protokoll SSH dem öffentlichen Internet aus und 36% der Unternehmen nutzen das unsichere FTP-Protokoll.
ExtraHop, der führende Anbieter von Cloud-nativer Netzwerkintelligenz, hat heute die Ergebnisse des ExtraHop Benchmarking Cyber Risk and Readiness Reports veröffentlicht, die zeigen, dass ein signifikanter Prozentsatz der Unternehmen unsichere oder hochsensible Protokolle wie SMB, SSH und Telnet dem öffentlichen Internet aussetzt. Ob absichtlich oder versehentlich, diese Sicherheitslücken erweitern die Angriffsfläche jeder Organisation, indem sie Cyberangreifern einen einfachen Zugang zum Netzwerk bieten.
Starke Zunahme der Cyberangriffe
Seit der russischen Invasion in der Ukraine haben Regierungen und Sicherheitsexperten auf der ganzen Welt eine deutliche Zunahme der Cyberangriffe festgestellt. Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) und andere Regierungsbehörden wie ENISA, CERT-EU, ACSC und SingCERT haben Unternehmen nachdrücklich aufgefordert, sich auf die Stärkung ihrer allgemeinen Sicherheitsvorkehrungen zu konzentrieren und damit zu beginnen, die Wahrscheinlichkeit eines schädlichen Cyberangriffs zu verringern. Eine der wichtigsten Empfehlungen dieser Agenturen ist, dass Unternehmen alle unnötigen oder unsicheren Ports und Protokolle deaktivieren sollten.
In dem neuen Bericht führte ExtraHop eine Analyse der IT-Umgebungen von Unternehmen durch, um die Cybersicherheitslage von Unternehmen auf der Grundlage offener Ports und sensibler Protokolle zu bewerten, so dass Sicherheits- und IT-Verantwortliche ihre Risikolage und Angriffsfläche im Vergleich zu anderen Unternehmen einschätzen können. Die Studie schlüsselt auf, wie viele anfällige Protokolle von jeweils 10.000 Geräten, auf denen ein bestimmtes Protokoll ausgeführt wird, dem Internet ausgesetzt sind.
Wichtigste Ergebnisse des Benchmarking
SSH ist das am meisten gefährdete sensible Protokoll
Secure Shell (SSH) ist ein gut durchdachtes Protokoll mit guter Kryptografie für den sicheren Zugriff auf Remote-Geräte. Es ist außerdem eines der am weitesten verbreiteten Protokolle, was es zu einem beliebten Ziel für Cyberkriminelle macht, die auf Geräte im Unternehmen zugreifen und diese kontrollieren wollen. Vierundsechzig Prozent der Unternehmen haben mindestens ein Gerät, das über dieses Protokoll mit dem öffentlichen Internet verbunden ist. In 32 von 10.000 Unternehmen sind 32 Geräte gefährdet.
LDAP-Belastung ist hoch
Das Lightweight Directory Access Protocol (LDAP) ist ein herstellerneutrales Anwendungsprotokoll, das verteilte Verzeichnisinformationen in einer organisierten, leicht abfragbaren Weise verwaltet. Windows-Systeme verwenden LDAP, um Benutzernamen in Active Directory nachzuschlagen. Standardmäßig werden diese Abfragen im Klartext übertragen, was Angreifern die Möglichkeit gibt, Benutzernamen zu ermitteln. Da 41 % der Unternehmen mindestens ein Gerät haben, das LDAP dem öffentlichen Internet ausgesetzt ist, hat dieses sensible Protokoll einen übergroßen Risikofaktor.
Cyber-Risiken: Offene Datenbankprotokolle
Datenbankprotokolle ermöglichen Benutzern und Software die Interaktion mit Datenbanken, das Einfügen, Aktualisieren und Abrufen von Informationen. Wenn ein ungeschütztes Gerät ein Datenbankprotokoll abhört, gibt es auch die Datenbank preis. Vierundzwanzig Prozent der Unternehmen haben mindestens ein Gerät, das Tabular Data Stream (TDS) für das öffentliche Internet zugänglich macht. Dieses Microsoft-Protokoll für die Kommunikation mit Datenbanken überträgt die Daten im Klartext und ist damit anfällig für Abhörmaßnahmen. Transparent Network Substrate (TNS), im Wesentlichen die Oracle-Version von TDS, ist bei 13 % der Unternehmen auf mindestens einem Gerät offengelegt.
Gefährdete Dateiserverprotokolle
Bei der Betrachtung der vier Protokolltypen (Dateiserverprotokolle, Verzeichnisprotokolle, Datenbankprotokolle und Fernsteuerungsprotokolle) zeigt sich, dass die überwiegende Mehrheit der Cyberangriffe auf Dateiserverprotokolle erfolgt, bei denen Angreifer Dateien von einem Ort zum anderen verschieben. Einunddreißig Prozent der Unternehmen haben mindestens ein Gerät, das Server Message Block (SMB) für das öffentliche Internet zugänglich macht. In 64 von 10.000 Unternehmen sind diese Geräte offengelegt.
Cyber-Risiken: FTP ist nicht so sicher wie es sein könnte
Das File Transfer Protocol (FTP) ist kein vollwertiges Dateizugriffsprotokoll. Es sendet Dateien als Stream über Netzwerke und bietet praktisch keine Sicherheit. Es überträgt Daten, einschließlich Benutzernamen und Kennwörtern, im Klartext, so dass die Daten leicht abgefangen werden können. Obwohl es mindestens zwei sichere Alternativen gibt, stellen 36 % der Unternehmen mindestens ein Gerät, das dieses Protokoll verwendet, dem öffentlichen Internet zur Verfügung, und drei von 10.000 Geräten.
Die Verwendung des Protokolls unterscheidet sich je nach Branche: Dies ist ein Hinweis darauf, dass verschiedene Branchen in unterschiedliche Technologien investieren und unterschiedliche Anforderungen an die Speicherung von Daten und die Interaktion mit Remote-Benutzern haben. Betrachtet man alle Branchen zusammen, so war SMB das am weitesten verbreitete Protokoll.
- Bei den Finanzdienstleistungen sind KMU auf 34 von 10.000 Geräten gefährdet.
- Im Gesundheitswesen ist SMB auf sieben von 10.000 Geräten vertreten.
- Im verarbeitenden Gewerbe sind SMB auf zwei von 10.000 Geräten exponiert.
- Im Einzelhandel ist SMB auf zwei von 10.000 Geräten exponiert.
- In SLED ist SMB auf fünf von 10.000 Geräten vertreten.
- In der Tech-Branche ist SMB auf vier von 10.000 Geräten gefährdet.
Unternehmen setzen weiterhin auf Telnet
Telnet, ein altes Protokoll für die Verbindung zu Remote-Geräten, ist seit 2002 veraltet. Dennoch haben 12 % der Unternehmen mindestens ein Gerät, das dieses Protokoll für das öffentliche Internet nutzt. Als beste Praxis sollten IT-Organisationen Telnet überall dort deaktivieren, wo es in ihrem Netzwerk zu finden ist.
„Ports und Protokolle sind im Wesentlichen die Türen und Flure, die Angreifer nutzen, um Netzwerke zu erkunden und Schaden anzurichten“, sagt Jeff Costlow, CISO bei ExtraHop. „Deshalb ist es so wichtig zu wissen, welche Protokolle in Ihrem Netzwerk laufen und welche Schwachstellen mit ihnen verbunden sind. Dies gibt Verteidigern das Wissen, um eine fundierte Entscheidung über ihre Risikotoleranz zu treffen und Maßnahmen zu ergreifen – wie die kontinuierliche Inventarisierung von Software und Hardware in einer Umgebung, das schnelle und kontinuierliche Patchen von Software und die Investition in Tools für Echtzeiteinblicke und -analysen – um ihre Cybersicherheitsbereitschaft zu verbessern.“
Mehr bei ExtraHop.com
Über ExtraHop ExtraHop hat es sich zur Aufgabe gemacht, Unternehmen mit Sicherheit zu helfen, die nicht untergraben, überlistet oder kompromittiert werden kann. Die dynamische Cyber-Defense-Plattform Reveal(x) 360 hilft Unternehmen, komplexe Bedrohungen zu erkennen und darauf zu reagieren – bevor sie das Unternehmen gefährden. Wir wenden KI im Cloud-Maßstab auf Petabytes an Datenverkehr pro Tag an und führen eine Entschlüsselung der Leitungsrate und Verhaltensanalysen für alle Infrastrukturen, Workloads und Daten on the fly durch. Mit der vollständigen Transparenz von ExtraHop können Unternehmen schnell bösartiges Verhalten erkennen, fortschrittliche Bedrohungen jagen und jeden Vorfall zuverlässig forensisch untersuchen.