Alte Protokolle sind Cyber-Risiken im Netzwerk

Benchmarking-Bericht über Cyber-Risiken im Netzwerk

Beitrag teilen

Ein ExtraHop-Benchmarking-Bericht über Cyber-Risiken und -Bereitschaft zeigt Verbreitung und Risiken von Internet-exponierten Protokollen in Unternehmensnetzwerken auf. Mehr als 60 % der Unternehmen setzen das Remote-Control Protokoll SSH dem öffentlichen Internet aus und 36% der Unternehmen nutzen das unsichere FTP-Protokoll.

ExtraHop, der führende Anbieter von Cloud-nativer Netzwerkintelligenz, hat heute die Ergebnisse des ExtraHop Benchmarking Cyber Risk and Readiness Reports veröffentlicht, die zeigen, dass ein signifikanter Prozentsatz der Unternehmen unsichere oder hochsensible Protokolle wie SMB, SSH und Telnet dem öffentlichen Internet aussetzt. Ob absichtlich oder versehentlich, diese Sicherheitslücken erweitern die Angriffsfläche jeder Organisation, indem sie Cyberangreifern einen einfachen Zugang zum Netzwerk bieten.

Anzeige

Starke Zunahme der Cyberangriffe

Seit der russischen Invasion in der Ukraine haben Regierungen und Sicherheitsexperten auf der ganzen Welt eine deutliche Zunahme der Cyberangriffe festgestellt. Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) und andere Regierungsbehörden wie ENISA, CERT-EU, ACSC und SingCERT haben Unternehmen nachdrücklich aufgefordert, sich auf die Stärkung ihrer allgemeinen Sicherheitsvorkehrungen zu konzentrieren und damit zu beginnen, die Wahrscheinlichkeit eines schädlichen Cyberangriffs zu verringern. Eine der wichtigsten Empfehlungen dieser Agenturen ist, dass Unternehmen alle unnötigen oder unsicheren Ports und Protokolle deaktivieren sollten.

In dem neuen Bericht führte ExtraHop eine Analyse der IT-Umgebungen von Unternehmen durch, um die Cybersicherheitslage von Unternehmen auf der Grundlage offener Ports und sensibler Protokolle zu bewerten, so dass Sicherheits- und IT-Verantwortliche ihre Risikolage und Angriffsfläche im Vergleich zu anderen Unternehmen einschätzen können. Die Studie schlüsselt auf, wie viele anfällige Protokolle von jeweils 10.000 Geräten, auf denen ein bestimmtes Protokoll ausgeführt wird, dem Internet ausgesetzt sind.

Wichtigste Ergebnisse des Benchmarking

SSH ist das am meisten gefährdete sensible Protokoll

Secure Shell (SSH) ist ein gut durchdachtes Protokoll mit guter Kryptografie für den sicheren Zugriff auf Remote-Geräte. Es ist außerdem eines der am weitesten verbreiteten Protokolle, was es zu einem beliebten Ziel für Cyberkriminelle macht, die auf Geräte im Unternehmen zugreifen und diese kontrollieren wollen. Vierundsechzig Prozent der Unternehmen haben mindestens ein Gerät, das über dieses Protokoll mit dem öffentlichen Internet verbunden ist. In 32 von 10.000 Unternehmen sind 32 Geräte gefährdet.

LDAP-Belastung ist hoch

Das Lightweight Directory Access Protocol (LDAP) ist ein herstellerneutrales Anwendungsprotokoll, das verteilte Verzeichnisinformationen in einer organisierten, leicht abfragbaren Weise verwaltet. Windows-Systeme verwenden LDAP, um Benutzernamen in Active Directory nachzuschlagen. Standardmäßig werden diese Abfragen im Klartext übertragen, was Angreifern die Möglichkeit gibt, Benutzernamen zu ermitteln. Da 41 % der Unternehmen mindestens ein Gerät haben, das LDAP dem öffentlichen Internet ausgesetzt ist, hat dieses sensible Protokoll einen übergroßen Risikofaktor.

Cyber-Risiken: Offene Datenbankprotokolle

Datenbankprotokolle ermöglichen Benutzern und Software die Interaktion mit Datenbanken, das Einfügen, Aktualisieren und Abrufen von Informationen. Wenn ein ungeschütztes Gerät ein Datenbankprotokoll abhört, gibt es auch die Datenbank preis. Vierundzwanzig Prozent der Unternehmen haben mindestens ein Gerät, das Tabular Data Stream (TDS) für das öffentliche Internet zugänglich macht. Dieses Microsoft-Protokoll für die Kommunikation mit Datenbanken überträgt die Daten im Klartext und ist damit anfällig für Abhörmaßnahmen. Transparent Network Substrate (TNS), im Wesentlichen die Oracle-Version von TDS, ist bei 13 % der Unternehmen auf mindestens einem Gerät offengelegt.

Gefährdete Dateiserverprotokolle

Bei der Betrachtung der vier Protokolltypen (Dateiserverprotokolle, Verzeichnisprotokolle, Datenbankprotokolle und Fernsteuerungsprotokolle) zeigt sich, dass die überwiegende Mehrheit der Cyberangriffe auf Dateiserverprotokolle erfolgt, bei denen Angreifer Dateien von einem Ort zum anderen verschieben. Einunddreißig Prozent der Unternehmen haben mindestens ein Gerät, das Server Message Block (SMB) für das öffentliche Internet zugänglich macht. In 64 von 10.000 Unternehmen sind diese Geräte offengelegt.

Cyber-Risiken: FTP ist nicht so sicher wie es sein könnte

Das File Transfer Protocol (FTP) ist kein vollwertiges Dateizugriffsprotokoll. Es sendet Dateien als Stream über Netzwerke und bietet praktisch keine Sicherheit. Es überträgt Daten, einschließlich Benutzernamen und Kennwörtern, im Klartext, so dass die Daten leicht abgefangen werden können. Obwohl es mindestens zwei sichere Alternativen gibt, stellen 36 % der Unternehmen mindestens ein Gerät, das dieses Protokoll verwendet, dem öffentlichen Internet zur Verfügung, und drei von 10.000 Geräten.

Die Verwendung des Protokolls unterscheidet sich je nach Branche: Dies ist ein Hinweis darauf, dass verschiedene Branchen in unterschiedliche Technologien investieren und unterschiedliche Anforderungen an die Speicherung von Daten und die Interaktion mit Remote-Benutzern haben. Betrachtet man alle Branchen zusammen, so war SMB das am weitesten verbreitete Protokoll.

  • Bei den Finanzdienstleistungen sind KMU auf 34 von 10.000 Geräten gefährdet.
  • Im Gesundheitswesen ist SMB auf sieben von 10.000 Geräten vertreten.
  • Im verarbeitenden Gewerbe sind SMB auf zwei von 10.000 Geräten exponiert.
  • Im Einzelhandel ist SMB auf zwei von 10.000 Geräten exponiert.
  • In SLED ist SMB auf fünf von 10.000 Geräten vertreten.
  • In der Tech-Branche ist SMB auf vier von 10.000 Geräten gefährdet.

Unternehmen setzen weiterhin auf Telnet

Telnet, ein altes Protokoll für die Verbindung zu Remote-Geräten, ist seit 2002 veraltet. Dennoch haben 12 % der Unternehmen mindestens ein Gerät, das dieses Protokoll für das öffentliche Internet nutzt. Als beste Praxis sollten IT-Organisationen Telnet überall dort deaktivieren, wo es in ihrem Netzwerk zu finden ist.

„Ports und Protokolle sind im Wesentlichen die Türen und Flure, die Angreifer nutzen, um Netzwerke zu erkunden und Schaden anzurichten“, sagt Jeff Costlow, CISO bei ExtraHop. „Deshalb ist es so wichtig zu wissen, welche Protokolle in Ihrem Netzwerk laufen und welche Schwachstellen mit ihnen verbunden sind. Dies gibt Verteidigern das Wissen, um eine fundierte Entscheidung über ihre Risikotoleranz zu treffen und Maßnahmen zu ergreifen – wie die kontinuierliche Inventarisierung von Software und Hardware in einer Umgebung, das schnelle und kontinuierliche Patchen von Software und die Investition in Tools für Echtzeiteinblicke und -analysen – um ihre Cybersicherheitsbereitschaft zu verbessern.“

Mehr bei ExtraHop.com

 


Über ExtraHop

ExtraHop hat es sich zur Aufgabe gemacht, Unternehmen mit Sicherheit zu helfen, die nicht untergraben, überlistet oder kompromittiert werden kann. Die dynamische Cyber-Defense-Plattform Reveal(x) 360 hilft Unternehmen, komplexe Bedrohungen zu erkennen und darauf zu reagieren – bevor sie das Unternehmen gefährden. Wir wenden KI im Cloud-Maßstab auf Petabytes an Datenverkehr pro Tag an und führen eine Entschlüsselung der Leitungsrate und Verhaltensanalysen für alle Infrastrukturen, Workloads und Daten on the fly durch. Mit der vollständigen Transparenz von ExtraHop können Unternehmen schnell bösartiges Verhalten erkennen, fortschrittliche Bedrohungen jagen und jeden Vorfall zuverlässig forensisch untersuchen.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen