حتى محترفو الأمن السيبراني يحتاجون إلى تحسين وضعهم الأمني.
هذا هو الدرس المستفاد من مؤتمر RSA في فبراير، حيث قام مركز العمليات الأمنية (SOC) الذي تديره Cisco وNetWitness بالتقاط 55,525 كلمة مرور نصية واضحة من 2,210 حسابات فريدة، حسبما ذكرت الشركات في تقرير صدر الأسبوع الماضي. في إحدى الحالات التي حققت فيها SOC، كان لدى كبير مسؤولي أمن المعلومات عميل بريد إلكتروني تم تكوينه بشكل خاطئ وأرسل كلمات المرور والنصوص بشكل واضح، بما في ذلك المستندات الحساسة مثل الدفع للحصول على شهادة مهنية.
في حين أن عدد كلمات المرور ذات النص الواضح يمثل تحسنًا مقارنة بـ 96,361 كلمة مرور تم الكشف عنها في عام 2020 وأكثر من 100,000 كلمة مرور تم إرسالها بشكل واضح في عام 2019، إلا أنه لا يزال هناك مجال للتحسين، كما تقول جيسيكا بير أوبنهايمر، مديرة التحالفات الفنية في Cisco Secure.
وتقول: "نظرًا لأن مؤتمر RSA يحضره في الغالب متخصصون في مجال الأمن السيبراني وأدوار داعمة في صناعة الأمن، فإننا نعتبر بشكل عام أن التركيبة السكانية تمثل مستوى "أفضل حالة" من الوعي الأمني". "من المثير للصدمة إلى حد ما أن البريد الإلكتروني غير المشفر لا يزال يُستخدم في عام 2022."
• تقرير سنوي يقدم نظرة عامة على استخدام الشبكة بين مجموعة من المستخدمين تركز على الأمان. أكدت Cisco وNetWitness على أن الشبكة اللاسلكية في مؤتمر RSA لم يتم تكوينها بالطريقة الأكثر أمانًا، ولكن تم تكوينها ليتم مراقبتها للأغراض التعليمية. ولهذا السبب، تتمتع الشبكة ببنية مسطحة، مما يسمح لأي جهاز بالاتصال بأي جهاز آخر على الشبكة. سيكون عزل المضيف، الذي يسمح للأجهزة بالوصول إلى الإنترنت وليس إلى الأجهزة الأخرى على الشبكة، أكثر أمانًا ولكنه أقل إثارة للاهتمام.
بيانات اعتماد المستخدم في خطر
وذكر التقرير أنه عند حوالي 19,900 مشارك، كان مؤتمر RSA 2022 يضم حوالي نصف عدد الأشخاص فقط مثل المؤتمر السابق في عام 2020، ولكن نفس العدد تقريبًا من المستخدمين على الشبكة.
كانت المشكلة الرئيسية هي الفشل في استخدام التشفير لخطوة المصادقة عند استخدام البريد الإلكتروني والتطبيقات الشائعة الأخرى. وذكر التقرير أن ما يقرب من 20% من جميع البيانات تمر عبر الشبكة بشكل واضح.
وذكر التقرير أن "تشفير حركة المرور لا يجعل بالضرورة أكثر أمانًا، ولكنه يمنع الأفراد من التخلي عن بيانات اعتمادهم، والمؤسسات من التخلي عن معلومات أصول الشركة بشكل واضح".
ومع ذلك فإن الوضع ليس سيئا كما يمكن أن يكون. وذكر التقرير أنه نظرًا لأن الشبكة اللاسلكية تتضمن حركة مرور من قاعة العرض، فمن المحتمل أن تكون العديد من أسماء المستخدمين وكلمات المرور من الأنظمة والبيئات التجريبية. علاوة على ذلك، فإن معظم أسماء المستخدمين وكلمات المرور ذات النص الواضح - ما يقرب من 80٪ - تم تسريبها بالفعل بواسطة الأجهزة التي تستخدم الإصدار الأقدم من بروتوكول إدارة الشبكة البسيط (SNMP). يعتبر الإصداران 1 و2 من البروتوكول غير آمنين، بينما يضيف SNMP v3 إمكانات أمنية كبيرة.
وذكر التقرير أن "هذا ليس بالضرورة تهديدًا عالي الدقة". "[H]ومع ذلك، فهو يسرب معلومات حول الجهاز بالإضافة إلى المنظمة التي يحاول الاتصال بها."
بالإضافة إلى الاستخدام المستمر لأسماء المستخدمين وكلمات المرور ذات النص العادي، وجدت SOC أن عدد التطبيقات عبر الإنترنت مستمر في النمو بسرعة، مما يشير إلى أن الحاضرين يعتمدون بشكل متزايد على الأجهزة المحمولة لإنجاز العمل. على سبيل المثال، التقطت شركة SOC حركة مرور كاميرا فيديو غير مشفرة متصلة بأنظمة أمان المنزل على المنفذ 80 والبيانات غير المشفرة المستخدمة لإعداد مكالمات الصوت عبر بروتوكول الإنترنت.
خطأ سيسو
بالنسبة للجزء الأكبر، من المحتمل أن تكون حركة المرور غير المشفرة من مستخدمي الشركات الصغيرة، حسبما ذكرت الشركات في التقرير. وجاء في التقرير: "من الصعب إرسال بريد إلكتروني بنص واضح هذه الأيام، وقد وجد تحليل هذه الحوادث أوجه تشابه". "معظم هذه الزيارات كانت من وإلى النطاقات المستضافة. وهذا يعني خدمات البريد الإلكتروني على النطاقات التي تمثل أسماء عائلية أو شركات صغيرة.
ومع ذلك، في إحدى الحالات، أخطأ أحد كبار مسؤولي أمن المعلومات في تكوين برنامج البريد الإلكتروني الخاص به، وفي النهاية كشف اسم المستخدم وكلمة المرور للبريد الإلكتروني الخاص به عن طريق إرسال البيانات بشكل واضح. اكتشفت SOC المشكلة عندما عثرت على إيصال لدفع CISSP تم إرساله بشكل واضح من عميل بريد إلكتروني يعمل بنظام Android.
وجاء في التقرير: "أثار هذا الاكتشاف تحقيقًا أكد أنه تم تنزيل عشرات رسائل البريد الإلكتروني من وإلى الشخص عبر الشبكة المفتوحة في بروتوكول غير آمن".
يجب على الشركات التحقق من أن التقنيات التي يستخدمها الموظفون قد أنشأت اتصالات مشفرة من طرف إلى طرف، ويجب أن تطبق مبادئ الثقة المعدومة للتحقق - في الأوقات المناسبة - من أن التشفير لا يزال قيد التطبيق.
يقول أوبنهايمر من شركة Cisco Secure: "لقد وجدنا تطبيقات ومواقع ويب تقوم بالتحقق من البيانات المشفرة ثم تمرر البيانات دون تشفير عبر الشبكات المفتوحة". "بدلاً من ذلك، يقوم البعض بتمرير بيانات اعتماد غير مشفرة عبر الشبكات المفتوحة ثم يقومون بتشفير البيانات. كلا السيناريوهين أقل من المثالي”.
الشبكات الخاصة الافتراضية ليست حلاً سحريًا ولكنها يمكن أن تعزز أمان التطبيقات غير المشفرة. أخيرًا، يجب على المؤسسات استخدام الأمن السيبراني والتدريب التوعوي لتثقيف موظفيها المختلطين حول كيفية توفير الأمان عند العمل من مواقع بعيدة.
