Um relatório ExtraHop Cyber Risk and Readiness Benchmarking revela a proliferação e o risco de protocolos expostos à Internet em redes corporativas. Mais de 60% das empresas expõem o protocolo de controle remoto SSH à Internet pública e 36% das empresas usam o protocolo inseguro FTP.
A ExtraHop, provedora líder de inteligência de rede nativa da nuvem, divulgou hoje os resultados do Relatório ExtraHop Benchmarking Cyber Risk and Readiness, mostrando que uma porcentagem significativa de organizações está expondo protocolos inseguros ou altamente sensíveis, como SMB, SSH e Telnet ao internet pública. Sejam intencionais ou acidentais, essas vulnerabilidades expandem a superfície de ataque de qualquer organização, oferecendo aos invasores cibernéticos acesso fácil à rede.
Forte aumento de ataques cibernéticos
Desde a invasão russa da Ucrânia, governos e especialistas em segurança de todo o mundo notaram um aumento significativo de ataques cibernéticos. A Agência de Segurança Cibernética e Infraestrutura (CISA) e outras agências governamentais, como ENISA, CERT-EU, ACSC e SingCERT, instaram as organizações a se concentrarem no fortalecimento de suas defesas gerais de segurança e começarem a reduzir a probabilidade de um ataque cibernético prejudicial. Uma das principais recomendações dessas agências é que as organizações devem desabilitar todas as portas e protocolos desnecessários ou inseguros.
No novo relatório, a ExtraHop conduziu uma análise dos ambientes de TI corporativos para avaliar a postura de segurança cibernética corporativa com base em portas abertas e protocolos confidenciais, permitindo que os líderes de segurança e TI avaliem sua postura de risco e superfície de ataque em relação a outras organizações. O estudo detalha quantos protocolos vulneráveis são expostos à Internet para cada 10.000 dispositivos executando um determinado protocolo.
Principais resultados do benchmarking
SSH é o protocolo sensível mais vulnerável
Secure Shell (SSH) é um protocolo bem projetado com boa criptografia para acesso seguro a dispositivos remotos. É também um dos protocolos mais usados, tornando-se um alvo popular para criminosos cibernéticos que desejam acessar e controlar dispositivos corporativos. Sessenta e quatro por cento das organizações têm pelo menos um dispositivo que se conecta à Internet pública usando esse protocolo. Em 32 de 10.000 empresas, 32 dispositivos estão em risco.
A carga do LDAP é alta
O Lightweight Directory Access Protocol (LDAP) é um protocolo de aplicativo independente de fornecedor que gerencia informações de diretório distribuídas de maneira organizada e facilmente consultável. Os sistemas Windows usam o LDAP para procurar nomes de usuários no Active Directory. Por padrão, essas consultas são transmitidas em texto não criptografado, dando aos invasores a capacidade de coletar nomes de usuários. Com 41% das organizações tendo pelo menos um dispositivo que expõe o LDAP à Internet pública, esse protocolo sensível tem um fator de risco descomunal.
Riscos Cibernéticos: Protocolos de Banco de Dados Abertos
Os protocolos de banco de dados permitem que usuários e software interajam com bancos de dados, inserindo, atualizando e recuperando informações. Quando um dispositivo desprotegido escuta um log de banco de dados, ele também entrega o banco de dados. Vinte e quatro por cento das organizações têm pelo menos um dispositivo que expõe Tabular Data Stream (TDS) à Internet pública. Esse protocolo da Microsoft para comunicação com bancos de dados transmite dados em texto não criptografado e, portanto, é vulnerável a espionagem. O Transparent Network Substrate (TNS), essencialmente a versão Oracle do TDS, é exposto em pelo menos um dispositivo em 13% das organizações.
Logs do servidor de arquivos em risco
Observando os quatro tipos de log (logs do servidor de arquivos, logs do diretório, logs do banco de dados e logs do controle remoto), a grande maioria dos ataques cibernéticos é contra logs do servidor de arquivos, onde os invasores movem arquivos de um local para outro. Trinta e um por cento das organizações têm pelo menos um dispositivo que expõe o Server Message Block (SMB) à Internet pública. Esses dispositivos são divulgados em 64 de 10.000 empresas.
Riscos Cibernéticos: FTP não é tão seguro quanto poderia ser
O File Transfer Protocol (FTP) não é um protocolo completo de acesso a arquivos. Ele transmite arquivos pelas redes e praticamente não oferece segurança. Ele transmite dados, incluindo nomes de usuários e senhas, em texto não criptografado para que os dados possam ser facilmente interceptados. Embora existam pelo menos duas alternativas seguras, 36% das organizações expõem pelo menos um dispositivo que usa esse protocolo à Internet pública, e três em cada 10.000 dispositivos.
O uso do protocolo difere por setor: isso é uma indicação de que diferentes setores investem em diferentes tecnologias e têm requisitos diferentes para armazenar dados e interagir com usuários remotos. Olhando para todos os setores juntos, o SMB foi o protocolo mais difundido.
- Nos serviços financeiros, as PMEs correm risco em 34 de 10.000 dispositivos.
- Na área da saúde, o SMB está presente em sete de cada 10.000 dispositivos.
- Na fabricação, as SMBs estão expostas em dois em cada 10.000 dispositivos.
- No varejo, o SMB está exposto em dois em cada 10.000 dispositivos.
- No SLED, o SMB está presente em cinco dispositivos em cada 10.000.
- Na indústria de tecnologia, o SMB está em risco em quatro em cada 10.000 dispositivos.
As empresas continuam a confiar no telnet
O Telnet, um protocolo antigo para conexão com dispositivos remotos, está obsoleto desde 2002. Ainda assim, 12% das organizações possuem pelo menos um dispositivo utilizando este protocolo para a internet pública. Como prática recomendada, as organizações de TI devem desabilitar o telnet onde quer que ele seja encontrado em sua rede.
"Portas e protocolos são essencialmente as portas e corredores que os invasores usam para explorar redes e causar estragos", disse Jeff Costlow, CISO da ExtraHop. “É por isso que é tão importante saber quais protocolos estão sendo executados em sua rede e quais vulnerabilidades estão associadas a eles. Isso dá aos defensores o conhecimento para tomar uma decisão informada sobre sua tolerância a riscos e agir - como inventariar continuamente software e hardware em um ambiente, corrigir software de forma rápida e contínua e investir em ferramentas para insights e análises em tempo real - para aprimorar sua segurança cibernética prontidão."
Mais em ExtraHop.com
Sobre ExtraHop A ExtraHop se dedica a ajudar as empresas com segurança que não pode ser prejudicada, enganada ou comprometida. A plataforma dinâmica de defesa cibernética Reveal(x) 360 ajuda as empresas a detectar e responder a ameaças avançadas - antes que coloquem a empresa em perigo. Aplicamos IA em escala de nuvem a petabytes de tráfego por dia, realizando decodificação de taxa de linha e análise comportamental em toda a infraestrutura, cargas de trabalho e dados em tempo real. Com a visibilidade completa do ExtraHop, as organizações podem identificar rapidamente comportamentos mal-intencionados, caçar ameaças avançadas e conduzir investigações forenses em cada incidente com confiança.