Un informe de evaluación comparativa de preparación y riesgo cibernético de ExtraHop revela la proliferación y el riesgo de protocolos expuestos a Internet en las redes empresariales. Más del 60% de las empresas exponen el protocolo de control remoto SSH a la Internet pública y el 36% de las empresas utilizan el protocolo FTP inseguro.
ExtraHop, el proveedor líder de inteligencia de red nativa de la nube, publicó hoy los resultados del Informe de preparación y riesgo cibernético de evaluación comparativa de ExtraHop que muestran que un porcentaje significativo de organizaciones están exponiendo protocolos inseguros o altamente sensibles como SMB, SSH y Telnet a la Internet público. Ya sea intencional o accidental, estas vulnerabilidades amplían la superficie de ataque de cualquier organización al brindarles a los atacantes cibernéticos un fácil acceso a la red.
Fuerte aumento de los ciberataques
Desde la invasión rusa de Ucrania, los gobiernos y los expertos en seguridad de todo el mundo han notado un aumento significativo de los ataques cibernéticos. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y otras agencias gubernamentales como ENISA, CERT-EU, ACSC y SingCERT han instado a las organizaciones a centrarse en fortalecer sus defensas de seguridad generales y comenzar a reducir la probabilidad de un ciberataque dañino. Una de las principales recomendaciones de estas agencias es que las organizaciones deben deshabilitar todos los puertos y protocolos innecesarios o inseguros.
En el nuevo informe, ExtraHop realizó un análisis de los entornos de TI empresariales para evaluar la postura de ciberseguridad de la empresa en función de puertos abiertos y protocolos sensibles, lo que permitió a los líderes de seguridad y TI evaluar su postura de riesgo y la superficie de ataque en relación con otras organizaciones. El estudio desglosa cuántos protocolos vulnerables están expuestos a Internet por cada 10.000 dispositivos que ejecutan un protocolo determinado.
Principales resultados del benchmarking
SSH es el protocolo sensible más vulnerable
Secure Shell (SSH) es un protocolo bien diseñado con buena criptografía para el acceso seguro a dispositivos remotos. También es uno de los protocolos más utilizados, lo que lo convierte en un objetivo popular para los ciberdelincuentes que desean acceder y controlar los dispositivos corporativos. El sesenta y cuatro por ciento de las organizaciones tienen al menos un dispositivo que se conecta a la Internet pública mediante este protocolo. En 32 de 10.000 empresas, 32 dispositivos están en riesgo.
La carga de LDAP es alta
El Protocolo ligero de acceso a directorios (LDAP) es un protocolo de aplicación independiente del proveedor que administra la información de directorio distribuida de una manera organizada y fácil de consultar. Los sistemas Windows usan LDAP para buscar nombres de usuario en Active Directory. De forma predeterminada, estas consultas se transmiten en texto claro, lo que brinda a los atacantes la capacidad de obtener nombres de usuario. Dado que el 41 % de las organizaciones tienen al menos un dispositivo que expone LDAP a la Internet pública, este protocolo sensible tiene un factor de riesgo descomunal.
Riesgos Cibernéticos: Protocolos de Base de Datos Abierta
Los protocolos de bases de datos permiten que los usuarios y el software interactúen con las bases de datos, insertando, actualizando y recuperando información. Cuando un dispositivo desprotegido escucha un registro de base de datos, también revela la base de datos. El veinticuatro por ciento de las organizaciones tiene al menos un dispositivo que expone Tabular Data Stream (TDS) a la Internet pública. Este protocolo de Microsoft para comunicarse con bases de datos transmite datos en texto claro y, por lo tanto, es vulnerable a las escuchas. El sustrato de red transparente (TNS), esencialmente la versión Oracle de TDS, está expuesto en al menos un dispositivo en el 13 % de las organizaciones.
Registros del servidor de archivos en riesgo
Al observar los cuatro tipos de registros (registros de servidores de archivos, registros de directorios, registros de bases de datos y registros de control remoto), la gran mayoría de los ataques cibernéticos son contra registros de servidores de archivos, donde los atacantes mueven archivos de una ubicación a otra. El treinta y uno por ciento de las organizaciones tienen al menos un dispositivo que expone el bloque de mensajes del servidor (SMB) a la Internet pública. Estos dispositivos se divulgan en 64 de cada 10.000 empresas.
Riesgos cibernéticos: FTP no es tan seguro como podría ser
El Protocolo de transferencia de archivos (FTP) no es un protocolo completo de acceso a archivos. Transmite archivos a través de redes y prácticamente no ofrece seguridad. Transmite datos, incluidos nombres de usuario y contraseñas, en texto claro para que los datos puedan interceptarse fácilmente. Aunque existen al menos dos alternativas seguras, el 36% de las organizaciones exponen al menos un dispositivo que utiliza este protocolo a la Internet pública, y tres de cada 10.000 dispositivos.
El uso del protocolo difiere según la industria: esto es una indicación de que diferentes industrias invierten en diferentes tecnologías y tienen diferentes requisitos para almacenar datos e interactuar con usuarios remotos. Mirando todas las industrias juntas, SMB fue el protocolo más extendido.
- En los servicios financieros, las PYMES están en riesgo en 34 de cada 10.000 XNUMX dispositivos.
- En sanidad, las pymes están presentes en siete de cada 10.000 dispositivos.
- En la fabricación, las PYMES están expuestas en dos de cada 10.000 XNUMX dispositivos.
- En el comercio minorista, las pymes están expuestas en dos de cada 10.000 XNUMX dispositivos.
- En SLED, SMB está presente en cinco dispositivos de cada 10.000.
- En la industria de la tecnología, las PYMES están en riesgo en cuatro de cada 10.000 XNUMX dispositivos.
Las empresas siguen confiando en telnet
Telnet, un antiguo protocolo para conectarse a dispositivos remotos, está obsoleto desde 2002. Aún así, el 12 % de las organizaciones tiene al menos un dispositivo que utiliza este protocolo para la Internet pública. Como práctica recomendada, las organizaciones de TI deben deshabilitar telnet dondequiera que se encuentre en su red.
"Los puertos y los protocolos son esencialmente las puertas y los pasillos que utilizan los atacantes para explorar las redes y causar estragos", dijo Jeff Costlow, CISO de ExtraHop. “Por eso es tan importante saber qué protocolos se ejecutan en su red y qué vulnerabilidades están asociadas con ellos. Esto brinda a los defensores el conocimiento para tomar una decisión informada sobre su tolerancia al riesgo y tomar medidas, como inventariar continuamente el software y el hardware en un entorno, parchear el software de forma rápida y continua e invertir en herramientas para obtener información y análisis en tiempo real, para mejorar su seguridad cibernética. preparación."
Más en ExtraHop.com
Acerca de ExtraHop ExtraHop se dedica a ayudar a las empresas con una seguridad que no puede ser socavada, burlada o comprometida. La plataforma dinámica de ciberdefensa Reveal(x) 360 ayuda a las empresas a detectar y responder a amenazas avanzadas, antes de que pongan en peligro a la empresa. Aplicamos IA a escala de nube a petabytes de tráfico por día, realizando decodificación de velocidad de línea y análisis de comportamiento en toda la infraestructura, cargas de trabajo y datos sobre la marcha. Con la visibilidad completa de ExtraHop, las organizaciones pueden identificar rápidamente el comportamiento malicioso, buscar amenazas avanzadas y realizar investigaciones forenses de cada incidente con confianza.