אפילו אנשי אבטחת סייבר צריכים לשפר את עמדת האבטחה שלהם.
זה הלקח מכנס RSA בפברואר, שם מרכז התפעול האבטחה (SOC) המנוהל על ידי Cisco ו-NetWitness תפס 55,525 סיסמאות ברורות מ-2,210 חשבונות ייחודיים, כך הצהירו החברות בדו"ח שפורסם בשבוע שעבר. במקרה אחד שנחקר על ידי ה-SOC, לקצין אבטחת מידע ראשי היה לקוח אימייל שהוגדר בצורה שגויה ששלח סיסמאות וטקסט בצורה ברורה, כולל מסמכים רגישים כמו תשלום עבור הסמכה מקצועית.
בעוד שמספר הסיסמאות הבהירות הוא שיפור בהשוואה ל-96,361 הסיסמאות שנחשפו ב-2020 ולמעלה מ-100,000 שנשלחו ב-2019, עדיין יש מקום לשיפור, אומרת ג'סיקה בייר אופנהיימר, מנהלת בריתות טכניות ב-Cisco Secure.
"כיוון שבוועידת RSA משתתפים בעיקר אנשי מקצוע בתחום אבטחת הסייבר ותפקידים תומכים בתעשיית האבטחה, אנו רואים בדרך כלל את הדמוגרפיה כמייצגת יותר רמת 'מקרה הכי טוב' של מודעות לאבטחה", היא אומרת. "באופן מזעזע, דוא"ל לא מוצפן עדיין נמצא בשימוש בשנת 2022."
אל האני דוח שנתי מציג מבט על השימוש ברשת בקרב קבוצת משתמשים ממוקדת אבטחה. סיסקו ו-NetWitness הדגישו כי הרשת האלחוטית בכנס RSA אינה מוגדרת בצורה המאובטחת ביותר, אלא מוגדרת לניטור למטרות חינוכיות. מסיבה זו, לרשת יש ארכיטקטורה שטוחה, המאפשרת לכל מכשיר ליצור קשר עם כל מכשיר אחר ברשת. בידוד מארח, המאפשר למכשירים נתיב לאינטרנט אך לא למכשירים אחרים ברשת, יהיה מאובטח יותר אך פחות מעניין.
אישורי משתמש בסיכון
עם כ-19,900 משתתפים, בכנס RSA 2022 היו רק כמחצית ממספר האנשים מאשר בכנס הקודם ב-2020, אך בערך אותו מספר של משתמשים ברשת, נכתב בדו"ח.
הבעיה העיקרית הייתה אי שימוש בהצפנה עבור שלב האימות בעת שימוש בדואר אלקטרוני ויישומים פופולריים אחרים. כמעט 20% מכלל הנתונים עברו דרך הרשת בצורה ברורה, נכתב בדו"ח.
"הצפנת תעבורה לא בהכרח הופכת אחד לאבטח יותר, אבל היא מונעת מאנשים למסור את האישורים שלהם, ומארגונים למסור מידע על נכסים תאגידיים בצורה ברורה", נכתב בדו"ח.
עם זאת, המצב אינו גרוע כפי שהוא יכול להיות. מכיוון שהרשת האלחוטית כוללת תעבורה מקומת התצוגה, סביר להניח שרבים משמות המשתמש והסיסמאות מגיעים ממערכות וסביבות הדגמה, נכתב בדוח. יתרה מכך, רוב שמות המשתמש והסיסמאות בטקסט ברור - כמעט 80% - הודלפו למעשה על ידי מכשירים המשתמשים בגרסה הישנה יותר של פרוטוקול ניהול הרשת הפשוטה (SNMP). גרסאות 1 ו-2 של הפרוטוקול נחשבות לא מאובטחות, בעוד ש-SNMP v3 מוסיף יכולות אבטחה משמעותיות.
"זה לא בהכרח איום בנאמנות גבוהה", נכתב בדו"ח. "עם זאת, הוא מדליף מידע על המכשיר כמו גם על הארגון איתו הוא מנסה לתקשר."
בנוסף לשימוש המתמשך בשמות משתמש וסיסמאות בטקסט פשוט, ה-SOC מצא שמספר היישומים המקוונים ממשיך לגדול במהירות, מה שמצביע על כך שהמשתתפים מסתמכים יותר ויותר על מכשירים ניידים כדי לבצע את העבודה. ה-SOC, למשל, קלט תעבורת מצלמות וידאו לא מוצפנת המתחברת למערכות אבטחה ביתיות ביציאה 80 ואת הנתונים הלא מוצפנים ששימשו להגדרת שיחות קול-על-IP.
טעות CISO
לרוב, התעבורה הלא מוצפנת היא ככל הנראה ממשתמשים לעסקים קטנים, כך ציינו החברות בדוח. "קשה לשלוח מיילים בטקסט ברור בימינו, וניתוח התקריות הללו מצא קווי דמיון", נכתב בדו"ח. "רוב התעבורה הזו הייתה לדומיינים מתארחים וממנו. המשמעות היא שירותי דוא"ל בדומיינים שהם שמות משפחה או עסקים קטנים."
עם זאת, באחד המקרים, קצין אבטחת מידע ראשי קבע שגוי את לקוח הדוא"ל שלו ובסופו של דבר חשף את שם המשתמש והסיסמה שלו בדוא"ל על ידי שליחת הנתונים בצורה ברורה. ה-SOC גילה את הבעיה כשמצא קבלה על תשלום CISSP שנשלח בצורה ברורה מלקוח אימייל מבוסס אנדרואיד.
"הגילוי עורר חקירה שאישרה כי עשרות מיילים מהאדם ואליו הורדו ברחבי הרשת הפתוחה בפרוטוקול הלא מאובטח", נכתב בדו"ח.
חברות צריכות לוודא שהטכנולוגיות שבהן משתמשים עובדים יצרו חיבורים מוצפנים מקצה לקצה ועליהן ליישם עקרונות אפס אמון כדי לבדוק - במועדים המתאימים - שההצפנה עדיין מוחלת.
"מצאנו יישומים ואתרים שמאמתים מוצפנים ואז מעבירים את הנתונים ללא הצפנה ברשתות הפתוחות", אומר Oppenheimer של Cisco Secure. "לחלופין, חלקם יעבירו אישורים לא מוצפנים על פני רשתות פתוחות ואז יצפיפו את הנתונים. שני התרחישים פחות אידיאליים".
רשתות פרטיות וירטואליות אינן תרופת פלא אך יכולות לחזק את האבטחה של יישומים לא מוצפנים. לבסוף, ארגונים צריכים להשתמש בהדרכה בנושא אבטחת סייבר ומודעות כדי לחנך את העובדים ההיברידיים שלהם כיצד להיות בטוחים כאשר עובדים ממקומות מרוחקים.
