Η μη κρυπτογραφημένη κυκλοφορία εξακολουθεί να υπονομεύει την ασφάλεια του Wi-Fi

Ακόμη και οι επαγγελματίες της κυβερνοασφάλειας πρέπει να βελτιώσουν τη στάση ασφαλείας τους.

Αυτό είναι το μάθημα από το Συνέδριο RSA τον Φεβρουάριο, όπου το κέντρο λειτουργιών ασφαλείας (SOC) που διευθύνεται από τη Cisco και το NetWitness κατέγραψε 55,525 κωδικούς πρόσβασης καθαρού κειμένου από 2,210 μοναδικούς λογαριασμούς, δήλωσαν οι εταιρείες σε έκθεση που κυκλοφόρησε την περασμένη εβδομάδα. Σε μια περίπτωση που διερευνήθηκε από το SOC, ένας επικεφαλής αξιωματικός ασφάλειας πληροφοριών είχε ένα εσφαλμένο πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου που έστελνε κωδικούς πρόσβασης και κείμενο καθαρά, συμπεριλαμβανομένων ευαίσθητων εγγράφων, όπως η πληρωμή τους για επαγγελματική πιστοποίηση.

Αν και ο αριθμός των κωδικών πρόσβασης καθαρού κειμένου είναι βελτίωση σε σύγκριση με τους 96,361 κωδικούς πρόσβασης που εκτέθηκαν το 2020 και τους περισσότερους από 100,000 που στάλθηκαν ξεκάθαρα το 2019, υπάρχει ακόμα περιθώριο βελτίωσης, λέει η Jessica Bair Oppenheimer, διευθύντρια τεχνικών συμμαχιών στη Cisco Secure.

«Καθώς στο Συνέδριο RSA συμμετέχουν ως επί το πλείστον επαγγελματίες στον τομέα της ασφάλειας στον κυβερνοχώρο και υποστηρικτικοί ρόλοι στον κλάδο της ασφάλειας, θεωρούμε γενικά ότι τα δημογραφικά στοιχεία αντιπροσωπεύουν περισσότερο ένα επίπεδο ευαισθητοποίησης για την ασφάλεια στην καλύτερη περίπτωση», λέει. "Κάπως συγκλονιστικά, το μη κρυπτογραφημένο email εξακολουθεί να χρησιμοποιείται το 2022."

Η ετήσια Έκθεση παρουσιάζει μια άποψη σχετικά με τη χρήση του δικτύου μεταξύ μιας ομάδας χρηστών που εστιάζει στην ασφάλεια. Η Cisco και η NetWitness τόνισαν ότι το ασύρματο δίκτυο στο συνέδριο RSA δεν έχει ρυθμιστεί με τον πιο ασφαλή τρόπο, αλλά έχει ρυθμιστεί ώστε να παρακολουθείται για εκπαιδευτικούς σκοπούς. Για το λόγο αυτό, το δίκτυο έχει μια επίπεδη αρχιτεκτονική, που επιτρέπει σε οποιαδήποτε συσκευή να επικοινωνεί με οποιαδήποτε άλλη συσκευή στο δίκτυο. Η απομόνωση κεντρικού υπολογιστή, που επιτρέπει στις συσκευές μια διαδρομή προς το Διαδίκτυο αλλά όχι προς άλλες συσκευές στο δίκτυο, θα ήταν πιο ασφαλής αλλά λιγότερο ενδιαφέρουσα.

Διαπιστευτήρια χρήστη σε κίνδυνο

Με περίπου 19,900 συμμετέχοντες, το συνέδριο RSA του 2022 είχε μόνο περίπου το μισό αριθμό ατόμων από το προηγούμενο συνέδριο το 2020, αλλά περίπου τον ίδιο αριθμό χρηστών στο δίκτυο, ανέφερε η έκθεση.

Το κύριο ζήτημα ήταν η αποτυχία χρήσης κρυπτογράφησης για το βήμα ελέγχου ταυτότητας κατά τη χρήση email και άλλων δημοφιλών εφαρμογών. Σχεδόν το 20% όλων των δεδομένων πέρασαν από το δίκτυο σε καθαρό, ανέφερε η έκθεση.

«Η κρυπτογράφηση της επισκεψιμότητας δεν καθιστά απαραιτήτως μια πιο ασφαλή, αλλά εμποδίζει τα άτομα από το να δίνουν τα διαπιστευτήριά τους και τους οργανισμούς να δίνουν ξεκάθαρα πληροφορίες εταιρικών περιουσιακών στοιχείων», ανέφερε η έκθεση.

Ωστόσο, η κατάσταση δεν είναι τόσο άσχημη όσο θα μπορούσε να είναι. Επειδή το ασύρματο δίκτυο περιλαμβάνει κίνηση από το πάτωμα της έκθεσης, πολλά από τα ονόματα χρήστη και τους κωδικούς πρόσβασης είναι πιθανό να προέρχονται από συστήματα και περιβάλλοντα επίδειξης, ανέφερε η έκθεση. Επιπλέον, τα περισσότερα από τα ονόματα χρήστη και τους κωδικούς πρόσβασης καθαρού κειμένου - σχεδόν το 80% - διέρρευσαν στην πραγματικότητα από συσκευές που χρησιμοποιούν την παλαιότερη έκδοση του Simple Network Management Protocol (SNMP). Οι εκδόσεις 1 και 2 του πρωτοκόλλου θεωρούνται ανασφαλείς, ενώ το SNMP v3 προσθέτει σημαντικές δυνατότητες ασφάλειας.

«Δεν πρόκειται απαραίτητα για απειλή υψηλής πιστότητας», ανέφερε η έκθεση. "[H]ωστόσο, διαρρέει πληροφορίες σχετικά με τη συσκευή καθώς και τον οργανισμό με τον οποίο προσπαθεί να επικοινωνήσει."

Εκτός από τη συνεχή χρήση ονομάτων χρήστη και κωδικών πρόσβασης απλού κειμένου, η SOC διαπίστωσε ότι ο αριθμός των διαδικτυακών εφαρμογών συνεχίζει να αυξάνεται γρήγορα, υποδηλώνοντας ότι οι συμμετέχοντες βασίζονται όλο και περισσότερο σε κινητές συσκευές για να ολοκληρώσουν τη δουλειά τους. Το SOC, για παράδειγμα, κατέγραψε κίνηση μη κρυπτογραφημένης βιντεοκάμερας που συνδέεται με συστήματα οικιακής ασφάλειας στη θύρα 80 και τα μη κρυπτογραφημένα δεδομένα που χρησιμοποιούνται για τη ρύθμιση κλήσεων φωνής μέσω IP.

Λάθος CISO

Ως επί το πλείστον, η μη κρυπτογραφημένη κίνηση είναι πιθανό να προέρχεται από χρήστες μικρών επιχειρήσεων, αναφέρουν οι εταιρείες στην έκθεση. «Είναι δύσκολο να στείλεις email με σαφές κείμενο αυτές τις μέρες και η ανάλυση αυτών των περιστατικών βρήκε ομοιότητες», ανέφερε η έκθεση. «Το μεγαλύτερο μέρος αυτής της επισκεψιμότητας ήταν προς και από φιλοξενούμενους τομείς. Αυτό σημαίνει υπηρεσίες email σε τομείς που είναι οικογενειακά ονόματα ή μικρές επιχειρήσεις.»

Ωστόσο, σε μια περίπτωση, ένας επικεφαλής αξιωματικός ασφάλειας πληροφοριών είχε διαμορφώσει εσφαλμένα το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου του και τελικά αποκάλυψε το όνομα χρήστη και τον κωδικό πρόσβασής του ηλεκτρονικού ταχυδρομείου στέλνοντας τα δεδομένα στα σαφή. Το SOC ανακάλυψε το πρόβλημα όταν βρήκε μια απόδειξη για μια πληρωμή CISSP που εστάλη καθαρά από ένα πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου που βασίζεται σε Android.

«Η ανακάλυψη πυροδότησε μια έρευνα που επιβεβαίωσε ότι δεκάδες email από και προς το άτομο λήφθηκαν μέσω του ανοιχτού δικτύου στο μη ασφαλές πρωτόκολλο», ανέφερε η έκθεση.

Οι εταιρείες θα πρέπει να επαληθεύουν ότι οι τεχνολογίες που χρησιμοποιούνται από τους εργαζόμενους έχουν δημιουργήσει κρυπτογραφημένες συνδέσεις από άκρο σε άκρο και θα πρέπει να εφαρμόζουν αρχές μηδενικής εμπιστοσύνης για να ελέγχουν — σε κατάλληλες στιγμές — ότι η κρυπτογράφηση εξακολουθεί να εφαρμόζεται.

«Βρήκαμε εφαρμογές και ιστότοπους που ελέγχουν την ταυτότητα κρυπτογραφημένες και στη συνέχεια μεταβιβάζουν τα δεδομένα χωρίς κρυπτογράφηση στα ανοιχτά δίκτυα», λέει ο Oppenheimer της Cisco Secure. «Εναλλακτικά, ορισμένοι θα περάσουν μη κρυπτογραφημένα διαπιστευτήρια σε ανοιχτά δίκτυα και στη συνέχεια θα κρυπτογραφήσουν τα δεδομένα. Και τα δύο σενάρια είναι λιγότερο από ιδανικά».

Τα εικονικά ιδιωτικά δίκτυα δεν είναι πανάκεια, αλλά μπορούν να ενισχύσουν την ασφάλεια των μη κρυπτογραφημένων εφαρμογών. Τέλος, οι οργανισμοί θα πρέπει να χρησιμοποιούν εκπαίδευση στον κυβερνοχώρο και την ευαισθητοποίηση για να εκπαιδεύσουν τους υβριδικούς εργαζομένους τους σχετικά με το πώς να είναι ασφαλείς όταν εργάζονται από απομακρυσμένες τοποθεσίες.