Selv cybersikkerhedsprofessionelle skal forbedre deres sikkerhedsposition.
Det er lektien fra RSA-konferencen i februar, hvor sikkerhedsoperationscentret (SOC) drevet af Cisco og NetWitness fangede 55,525 klartekst-adgangskoder fra 2,210 unikke konti, udtalte virksomhederne i en rapport, der blev udgivet i sidste uge. I et tilfælde, der blev undersøgt af SOC, havde en informationssikkerhedschef en forkert konfigureret e-mail-klient, der sendte adgangskoder og tekst klart, inklusive følsomme dokumenter såsom deres betaling for en professionel certificering.
Mens antallet af klartekst-adgangskoder er en forbedring sammenlignet med de 96,361 adgangskoder, der blev afsløret i 2020 og de mere end 100,000, der blev sendt i klartekst i 2019, er der stadig plads til forbedringer, siger Jessica Bair Oppenheimer, direktør for tekniske alliancer hos Cisco Secure.
"Da RSA-konferencen for det meste overværes af cybersikkerhedsprofessionelle og understøttende roller inden for sikkerhedsindustrien, anser vi generelt den demografiske for at repræsentere mere et 'best-case'-niveau af sikkerhedsbevidsthed," siger hun. "Noget chokerende bliver ukrypteret e-mail stadig brugt i 2022."
årsrapport præsenterer et syn på netværksbrug blandt en sikkerhedsfokuseret gruppe af brugere. Cisco og NetWitness understregede, at det trådløse netværk på RSA-konferencen ikke er konfigureret på den mest sikre måde, men konfigureret til at blive overvåget til undervisningsformål. Af den grund har netværket en flad arkitektur, der gør det muligt for enhver enhed at kontakte enhver anden enhed på netværket. Værtsisolering, som tillader enheder en rute til internettet, men ikke til andre enheder på netværket, ville være mere sikker, men mindre interessant.
Brugerlegitimationsoplysninger i fare
Med cirka 19,900 deltagere havde RSA-konferencen i 2022 kun omkring halvdelen af antallet af mennesker som den forrige konference i 2020, men omtrent det samme antal brugere på netværket, hedder det i rapporten.
Det største problem var manglende brug af kryptering til godkendelsestrinnet ved brug af e-mail og andre populære applikationer. Næsten 20% af alle data passerede gennem netværket i det klare, hedder det i rapporten.
"Kryptering af trafik gør ikke nødvendigvis en mere sikker, men det forhindrer enkeltpersoner i at give deres akkreditiver væk, og organisationer fra at videregive oplysninger om virksomhedens aktiver i det klare," hedder det i rapporten.
Alligevel er situationen ikke så slem, som den kunne være. Fordi det trådløse netværk inkluderer trafik fra showgulvet, er mange af brugernavne og adgangskoder sandsynligvis fra demosystemer og miljøer, hedder det i rapporten. Desuden blev de fleste af klartekst brugernavne og adgangskoder - næsten 80% - faktisk lækket af enheder, der brugte den ældre version af Simple Network Management Protocol (SNMP). Version 1 og 2 af protokollen betragtes som usikre, mens SNMP v3 tilføjer betydelige sikkerhedsfunktioner.
"Dette er ikke nødvendigvis en high-fidelity trussel," hedder det i rapporten. "Men det lækker information om enheden såvel som den organisation, den forsøger at kommunikere med."
Ud over den fortsatte brug af almindelige brugernavne og adgangskoder fandt SOC ud af, at antallet af onlineapplikationer fortsætter med at vokse hurtigt, hvilket tyder på, at deltagerne i stigende grad er afhængige af mobile enheder for at få arbejdet udført. SOC'en fangede for eksempel ukrypteret videokameratrafik, der forbinder til hjemmesikkerhedssystemer på port 80, og de ukrypterede data, der blev brugt til at oprette voice-over-IP-opkald.
CISO fejl
For det meste er den ukrypterede trafik sandsynligvis fra små erhvervsbrugere, oplyste virksomhederne i rapporten. "Det er svært at sende e-mail i klartekst i disse dage, og analyse af disse hændelser fandt ligheder," hedder det i rapporten. "Det meste af denne trafik var til og fra hostede domæner. Det betyder e-mail-tjenester på domæner, der er familienavne eller små virksomheder."
Men i et tilfælde havde en informationssikkerhedschef fejlkonfigureret deres e-mail-klient og i sidste ende afsløret deres e-mail-brugernavn og adgangskode ved at sende dataene frit. SOC opdagede problemet, da det fandt en kvittering for en CISSP-betaling sendt i klartekst fra en Android-baseret e-mail-klient.
"Opdagelsen udløste en undersøgelse, der bekræftede, at snesevis af e-mails fra og til personen blev downloadet på tværs af det åbne netværk i den usikre protokol," hedder det i rapporten.
Virksomheder bør verificere, at de teknologier, der anvendes af medarbejderne, har skabt end-to-end krypterede forbindelser og bør anvende nul-tillid principper for at kontrollere - på passende tidspunkter - at krypteringen stadig anvendes.
"Vi har fundet applikationer og websteder, der autentificerer krypteret og derefter sender dataene uden kryptering på tværs af de åbne netværk," siger Cisco Secures Oppenheimer. "Alternativt vil nogle videregive ukrypterede legitimationsoplysninger på tværs af åbne netværk og derefter kryptere dataene. Begge scenarier er mindre end ideelle."
Virtuelle private netværk er ikke et vidundermiddel, men kan styrke sikkerheden i ukrypterede applikationer. Endelig bør organisationer bruge cybersikkerhed og bevidsthedstræning til at uddanne deres hybridarbejdere i, hvordan de kan være sikre, når de arbejder fra fjerntliggende steder.
