Un rapport ExtraHop Cyber Risk and Readiness Benchmarking révèle la prolifération et le risque des protocoles exposés à Internet sur les réseaux d'entreprise. Plus de 60% des entreprises exposent le protocole de contrôle à distance SSH à l'Internet public et 36% des entreprises utilisent le protocole FTP non sécurisé.
ExtraHop, le principal fournisseur d'intelligence réseau native du cloud, a publié aujourd'hui les résultats du rapport ExtraHop Benchmarking Cyber Risk and Readiness, montrant qu'un pourcentage important d'organisations exposent des protocoles non sécurisés ou hautement sensibles tels que SMB, SSH et Telnet au Internet public. Qu'elles soient intentionnelles ou accidentelles, ces vulnérabilités étendent la surface d'attaque de toute organisation en permettant aux cyber-attaquants d'accéder facilement au réseau.
Forte augmentation des cyberattaques
Depuis l'invasion russe de l'Ukraine, les gouvernements et les experts en sécurité du monde entier ont remarqué une augmentation significative des cyberattaques. La Cybersecurity and Infrastructure Security Agency (CISA) et d'autres agences gouvernementales telles que l'ENISA, le CERT-EU, l'ACSC et le SingCERT ont exhorté les organisations à se concentrer sur le renforcement de leurs défenses de sécurité globales et à commencer à réduire la probabilité d'une cyberattaque nuisible. L'une des principales recommandations de ces agences est que les organisations doivent désactiver tous les ports et protocoles inutiles ou non sécurisés.
Dans le nouveau rapport, ExtraHop a effectué une analyse des environnements informatiques d'entreprise pour évaluer la posture de cybersécurité de l'entreprise en fonction des ports ouverts et des protocoles sensibles, permettant aux responsables de la sécurité et de l'informatique d'évaluer leur posture de risque et leur surface d'attaque par rapport à d'autres organisations. L'étude décompose le nombre de protocoles vulnérables exposés à Internet pour 10.000 XNUMX appareils exécutant un protocole donné.
Principaux résultats du benchmarking
SSH est le protocole sensible le plus vulnérable
Secure Shell (SSH) est un protocole bien conçu avec une bonne cryptographie pour un accès sécurisé aux appareils distants. C'est également l'un des protocoles les plus utilisés, ce qui en fait une cible populaire pour les cybercriminels qui souhaitent accéder aux appareils de l'entreprise et les contrôler. Soixante-quatre pour cent des organisations ont au moins un appareil qui se connecte à l'Internet public à l'aide de ce protocole. Dans 32 entreprises sur 10.000 32, XNUMX appareils sont à risque.
La charge LDAP est élevée
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole d'application indépendant du fournisseur qui gère les informations d'annuaire distribuées de manière organisée et facilement interrogeable. Les systèmes Windows utilisent LDAP pour rechercher des noms d'utilisateur dans Active Directory. Par défaut, ces requêtes sont transmises en texte clair, ce qui permet aux attaquants de glaner des noms d'utilisateur. Avec 41 % des organisations disposant d'au moins un appareil qui expose LDAP à l'Internet public, ce protocole sensible présente un facteur de risque démesuré.
Cyber Risques : protocoles de base de données ouverts
Les protocoles de base de données permettent aux utilisateurs et aux logiciels d'interagir avec les bases de données, d'insérer, de mettre à jour et de récupérer des informations. Lorsqu'un appareil non protégé écoute un journal de base de données, il donne également la base de données. Vingt-quatre pour cent des organisations ont au moins un appareil qui expose le flux de données tabulaires (TDS) à l'Internet public. Ce protocole Microsoft de communication avec les bases de données transmet les données en clair et est donc vulnérable aux écoutes clandestines. Transparent Network Substrate (TNS), essentiellement la version Oracle de TDS, est exposé sur au moins un appareil dans 13 % des organisations.
Journaux du serveur de fichiers menacés
En examinant les quatre types de journaux (journaux de serveur de fichiers, journaux de répertoire, journaux de base de données et journaux de contrôle à distance), la grande majorité des cyberattaques visent les journaux de serveur de fichiers, où les attaquants déplacent les fichiers d'un emplacement à un autre. Trente et un pour cent des organisations ont au moins un appareil qui expose Server Message Block (SMB) à l'Internet public. Ces appareils sont divulgués dans 64 entreprises sur 10.000 XNUMX.
Cyber Risques : FTP n'est pas aussi sécurisé qu'il pourrait l'être
Le protocole de transfert de fichiers (FTP) n'est pas un protocole d'accès complet aux fichiers. Il diffuse des fichiers sur des réseaux et n'offre pratiquement aucune sécurité. Il transmet les données, y compris les noms d'utilisateur et les mots de passe, en texte clair afin que les données puissent être facilement interceptées. Bien qu'il existe au moins deux alternatives sécurisées, 36 % des organisations exposent au moins un appareil utilisant ce protocole à l'Internet public, et trois appareils sur 10.000 XNUMX.
L'utilisation du protocole diffère selon l'industrie : cela indique que différentes industries investissent dans différentes technologies et ont des exigences différentes pour le stockage des données et l'interaction avec les utilisateurs distants. En regardant toutes les industries ensemble, SMB était le protocole le plus répandu.
- Dans les services financiers, les PME sont à risque sur 34 appareils sur 10.000 XNUMX.
- Dans le domaine de la santé, les PME sont présentes sur sept appareils sur 10.000 XNUMX.
- Dans le secteur manufacturier, les PME sont exposées sur deux appareils sur 10.000 XNUMX.
- Dans le commerce de détail, les PME sont exposées sur deux appareils sur 10.000 XNUMX.
- Dans SLED, SMB est présent sur cinq appareils sur 10.000 XNUMX.
- Dans l'industrie technologique, les PME sont à risque sur quatre appareils sur 10.000 XNUMX.
Les entreprises continuent de s'appuyer sur telnet
Telnet, un ancien protocole de connexion à des appareils distants, est obsolète depuis 2002. Pourtant, 12 % des organisations ont au moins un appareil utilisant ce protocole pour l'Internet public. Comme meilleure pratique, les organisations informatiques devraient désactiver telnet partout où il se trouve sur leur réseau.
"Les ports et les protocoles sont essentiellement les portes et les couloirs que les attaquants utilisent pour explorer les réseaux et faire des ravages", a déclaré Jeff Costlow, CISO chez ExtraHop. « C'est pourquoi il est si important de savoir quels protocoles s'exécutent sur votre réseau et quelles vulnérabilités leur sont associées. Cela donne aux défenseurs les connaissances nécessaires pour prendre une décision éclairée quant à leur tolérance au risque et prendre des mesures - comme l'inventaire continu des logiciels et du matériel dans un environnement, la mise à jour rapide et continue des logiciels et l'investissement dans des outils de vision et d'analyse en temps réel - pour améliorer leur cybersécurité. préparation. »
Plus sur ExtraHop.com
À propos d'ExtraHop ExtraHop se consacre à aider les entreprises avec une sécurité qui ne peut être sapée, déjouée ou compromise. La plateforme de cyberdéfense dynamique Reveal(x) 360 aide les entreprises à détecter et à répondre aux menaces avancées - avant qu'elles ne mettent l'entreprise en danger. Nous appliquons l'IA à l'échelle du cloud à des pétaoctets de trafic par jour, en effectuant un décodage de débit de ligne et une analyse comportementale sur toutes les infrastructures, charges de travail et données à la volée. Grâce à la visibilité complète d'ExtraHop, les entreprises peuvent identifier rapidement les comportements malveillants, traquer les menaces avancées et mener des enquêtes médico-légales sur chaque incident en toute confiance.