Звіт ExtraHop Cyber Risk and Readiness Benchmarking показує поширення та ризик протоколів, відкритих для Інтернету, у корпоративних мережах. Понад 60% компаній надають доступ до загальнодоступного Інтернету через протокол дистанційного керування SSH, а 36% компаній використовують незахищений протокол FTP.
ExtraHop, провідний постачальник хмарного мережевого інтелекту, сьогодні опублікував результати ExtraHop Benchmarking Cyber Risk and Readiness Report, які показують, що значний відсоток організацій надає доступ до небезпечних або дуже чутливих протоколів, таких як SMB, SSH і Telnet. публічний Інтернет. Незалежно від того, навмисні чи випадкові, ці вразливості розширюють поверхню атаки будь-якої організації, надаючи кібер-зловмисникам легкий доступ до мережі.
Значне зростання кількості кібератак
Після російського вторгнення в Україну уряди та експерти з безпеки в усьому світі помітили значне збільшення кількості кібератак. Агентство з кібербезпеки та безпеки інфраструктури (CISA) та інші урядові агентства, такі як ENISA, CERT-EU, ACSC і SingCERT, закликали організації зосередитися на зміцненні своїх загальних засобів захисту та почати знижувати ймовірність шкідливої кібератаки. Однією з головних рекомендацій цих агентств є те, що організації повинні вимкнути всі непотрібні або незахищені порти та протоколи.
У новому звіті ExtraHop провів аналіз корпоративного ІТ-середовища, щоб оцінити стан кібербезпеки підприємства на основі відкритих портів і конфіденційних протоколів, що дозволило керівникам служби безпеки та ІТ оцінити свій рівень ризиків і поверхню атак порівняно з іншими організаціями. Дослідження розбиває, скільки вразливих протоколів піддаються Інтернету на кожні 10.000 XNUMX пристроїв, на яких працює певний протокол.
Основні результати бенчмаркінгу
SSH є найбільш вразливим чутливим протоколом
Secure Shell (SSH) — це добре розроблений протокол із хорошою криптографією для безпечного доступу до віддалених пристроїв. Це також один із найпоширеніших протоколів, що робить його популярною мішенню для кіберзлочинців, які хочуть отримати доступ до корпоративних пристроїв і контролювати їх. Шістдесят чотири відсотки організацій мають принаймні один пристрій, який підключається до загальнодоступного Інтернету за допомогою цього протоколу. У 32 з 10.000 32 компаній XNUMX пристрої знаходяться під загрозою.
Велике навантаження на LDAP
Протокол LDAP (Lightweight Directory Access Protocol) — це незалежний від постачальника протокол програми, який керує розподіленою інформацією каталогу в упорядкований спосіб, який легко запитувати. Системи Windows використовують LDAP для пошуку імен користувачів в Active Directory. За замовчуванням ці запити передаються відкритим текстом, що дає зловмисникам можливість підбирати імена користувачів. Оскільки 41% організацій мають принаймні один пристрій, який підключає LDAP до загальнодоступного Інтернету, цей чутливий протокол має надзвичайно великий фактор ризику.
Кіберризики: відкриті протоколи баз даних
Протоколи баз даних дозволяють користувачам і програмному забезпеченню взаємодіяти з базами даних, вставляючи, оновлюючи та витягуючи інформацію. Коли незахищений пристрій прослуховує журнал бази даних, він також віддає базу даних. Двадцять чотири відсотки організацій мають принаймні один пристрій, який виводить потік табличних даних (TDS) у загальнодоступний Інтернет. Цей протокол Microsoft для зв’язку з базами даних передає дані у вигляді відкритого тексту, тому є вразливим для підслуховування. Transparent Network Substrate (TNS), по суті версія Oracle TDS, доступна принаймні на одному пристрої в 13% організацій.
Журнали файлового сервера під загрозою
Розглядаючи чотири типи журналів (журнали файлового сервера, журнали каталогів, журнали бази даних і журнали дистанційного керування), переважна більшість кібератак спрямована на журнали файлового сервера, коли зловмисники переміщують файли з одного місця в інше. Тридцять один відсоток організацій мають принаймні один пристрій, який виводить блок повідомлень сервера (SMB) у загальнодоступний Інтернет. Ці пристрої розкриваються в 64 з 10.000 XNUMX компаній.
Кіберризики: FTP не настільки безпечний, як міг би бути
Протокол передачі файлів (FTP) не є протоколом повного доступу до файлів. Він передає файли по мережах і практично не забезпечує безпеки. Він передає дані, включаючи імена користувачів і паролі, у відкритому вигляді, щоб дані можна було легко перехопити. Хоча існує принаймні дві безпечні альтернативи, 36% організацій надають принаймні один пристрій, який використовує цей протокол, до загальнодоступного Інтернету та три з кожних 10.000 XNUMX пристроїв.
Використання протоколу відрізняється залежно від галузі: це свідчить про те, що різні галузі інвестують у різні технології та мають різні вимоги до зберігання даних і взаємодії з віддаленими користувачами. Розглядаючи всі галузі разом, SMB був найпоширенішим протоколом.
- У фінансових послугах малий і середній бізнес ризикують на 34 з 10.000 XNUMX пристроїв.
- У сфері охорони здоров’я SMB присутній на семи з кожних 10.000 XNUMX пристроїв.
- У виробництві малому та середньому бізнесу піддаються впливу на двох із кожних 10.000 XNUMX пристроїв.
- У роздрібній торгівлі SMB піддається впливу на двох з кожних 10.000 XNUMX пристроїв.
- У SLED SMB присутній на п’яти пристроях із кожних 10.000 XNUMX.
- У технологічній індустрії SMB піддається ризику на чотирьох з 10.000 XNUMX пристроїв.
Підприємства продовжують покладатися на telnet
Telnet, старий протокол для підключення до віддалених пристроїв, не підтримується з 2002 року. Тим не менш, 12% організацій мають принаймні один пристрій, який використовує цей протокол для публічного Інтернету. Як найкраща практика, ІТ-організації повинні вимкнути telnet, де б він не був знайдений у їхній мережі.
«Порти та протоколи — це, по суті, двері та коридори, які зловмисники використовують, щоб досліджувати мережі та сіяти хаос», — сказав Джефф Костлоу, CISO у ExtraHop. «Ось чому так важливо знати, які протоколи працюють у вашій мережі та які вразливості з ними пов’язані. Це дає захисникам знання, щоб прийняти обґрунтоване рішення про свою толерантність до ризику та вжити заходів, як-от постійна інвентаризація програмного та апаратного забезпечення в середовищі, швидке й безперервне встановлення виправлень програмного забезпечення та інвестування в інструменти для аналізу й аналізу в реальному часі, щоб підвищити свою кібербезпеку. готовність».
Більше на ExtraHop.com
Про ExtraHop ExtraHop прагне допомогти компаніям забезпечити безпеку, яку неможливо підірвати, перехитрити чи скомпрометувати. Динамічна платформа кіберзахисту Reveal(x) 360 допомагає компаніям виявляти сучасні загрози та реагувати на них, перш ніж вони загрожують компанії. Ми застосовуємо хмарний штучний інтелект до петабайтів трафіку на день, виконуючи декодування лінійної швидкості та поведінковий аналіз усієї інфраструктури, робочих навантажень і даних на льоту. Завдяки повній видимості ExtraHop організації можуть швидко виявляти зловмисну поведінку, виявляти складні загрози та з упевненістю проводити судові розслідування кожного інциденту.