Zelfs cybersecurityprofessionals moeten hun beveiligingspositie verbeteren.
Dat is de les van de RSA-conferentie in februari, waar het security operations center (SOC) van Cisco en NetWitness 55,525 leesbare wachtwoorden van 2,210 unieke accounts onderschepte, aldus de bedrijven in een rapport dat vorige week werd vrijgegeven. In รฉรฉn geval dat door het SOC werd onderzocht, had een hoofdfunctionaris voor informatiebeveiliging een verkeerd geconfigureerde e-mailclient die wachtwoorden en tekst in duidelijke taal verzond, inclusief gevoelige documenten zoals hun betaling voor een professionele certificering.
Hoewel het aantal leesbare wachtwoorden een verbetering is vergeleken met de 96,361 wachtwoorden die in 2020 openbaar werden gemaakt en de ruim 100,000 die in 2019 ongecodeerd werden verzonden, is er nog steeds ruimte voor verbetering, zegt Jessica Bair Oppenheimer, directeur technische allianties bij Cisco Secure.
โAangezien de RSA-conferentie vooral wordt bijgewoond door cybersecurityprofessionals en ondersteunende functies binnen de beveiligingsindustrie, beschouwen we de demografische groep over het algemeen als meer een โbest-caseโ niveau van beveiligingsbewustzijnโ, zegt ze. โEnigszins schokkend genoeg wordt anno 2022 nog steeds ongecodeerde e-mail gebruikt.โ
De jaarverslag presenteert een kijk op het netwerkgebruik onder een op beveiliging gerichte groep gebruikers. Cisco en NetWitness benadrukten dat het draadloze netwerk op de RSA-conferentie niet op de meest veilige manier is geconfigureerd, maar is geconfigureerd om te worden gemonitord voor educatieve doeleinden. Om die reden heeft het netwerk een platte architectuur, waardoor elk apparaat contact kan maken met elk ander apparaat op het netwerk. Hostisolatie, waardoor apparaten wel een route naar het internet kunnen volgen, maar niet naar andere apparaten in het netwerk, zou veiliger maar minder interessant zijn.
Gebruikersreferenties lopen risico
Met ongeveer 19,900 deelnemers telde de RSA-conferentie van 2022 slechts ongeveer de helft van het aantal mensen als de vorige conferentie in 2020, maar ongeveer hetzelfde aantal gebruikers op het netwerk, aldus het rapport.
Het grootste probleem was het onvermogen om encryptie te gebruiken voor de authenticatiestap bij het gebruik van e-mail en andere populaire applicaties. Bijna 20% van alle gegevens die via het netwerk worden doorgegeven, aldus het rapport.
โHet versleutelen van verkeer maakt het verkeer niet noodzakelijkerwijs veiliger, maar het weerhoudt individuen er wel van hun inloggegevens weg te geven, en organisaties ervan om informatie over bedrijfsactiva openbaar weg te gevenโ, aldus het rapport.
Toch is de situatie niet zo slecht als ze zou kunnen zijn. Omdat het draadloze netwerk verkeer van de beursvloer omvat, zijn veel van de gebruikersnamen en wachtwoorden waarschijnlijk afkomstig van demosystemen en -omgevingen, aldus het rapport. Bovendien zijn de meeste gebruikersnamen en wachtwoorden in leesbare tekst โ bijna 80% โ daadwerkelijk gelekt door apparaten die gebruik maakten van de oudere versie van het Simple Network Management Protocol (SNMP). Versies 1 en 2 van het protocol worden als onveilig beschouwd, terwijl SNMP v3 aanzienlijke beveiligingsmogelijkheden toevoegt.
โDit is niet noodzakelijkerwijs een high-fidelity-bedreigingโ, aldus het rapport. โ[H]echter lekt het informatie over het apparaat en de organisatie waarmee het probeert te communiceren.โ
Naast het voortdurende gebruik van gebruikersnamen en wachtwoorden in platte tekst, ontdekte het SOC dat het aantal online applicaties snel blijft groeien, wat erop wijst dat de aanwezigen steeds meer afhankelijk zijn van mobiele apparaten om hun werk gedaan te krijgen. Het SOC registreerde bijvoorbeeld niet-gecodeerd videocameraverkeer dat verbinding maakte met huisbeveiligingssystemen op poort 80 en de niet-gecodeerde gegevens die werden gebruikt voor het opzetten van voice-over-IP-oproepen.
CISO-fout
Het niet-versleutelde verkeer is waarschijnlijk voor het grootste deel afkomstig van kleine zakelijke gebruikers, aldus de bedrijven in het rapport. โHet is tegenwoordig moeilijk om e-mail in leesbare tekst te verzenden, en bij het analyseren van deze incidenten zijn overeenkomsten gevondenโ, aldus het rapport. โHet grootste deel van dit verkeer was van en naar gehoste domeinen. Dit betekent e-maildiensten op domeinen die familienamen of kleine bedrijven zijn.โ
Maar in รฉรฉn geval had een Chief Information Security Officer zijn e-mailclient verkeerd geconfigureerd en uiteindelijk de gebruikersnaam en het wachtwoord van zijn e-mail openbaar gemaakt door de gegevens ongecodeerd te verzenden. Het SOC ontdekte het probleem toen het een ontvangstbewijs vond voor een CISSP-betaling die zonder enige toestemming was verzonden vanuit een op Android gebaseerde e-mailclient.
โDe ontdekking leidde tot een onderzoek dat bevestigde dat tientallen e-mails van en naar de persoon via het open netwerk waren gedownload in het onbeveiligde protocolโ, aldus het rapport.
Bedrijven moeten verifiรซren dat de door werknemers gebruikte technologieรซn end-to-end gecodeerde verbindingen tot stand hebben gebracht en moeten zero-trust-principes toepassen om โ op gepaste momenten โ te controleren of de encryptie nog steeds wordt toegepast.
โWe hebben applicaties en websites gevonden die gecodeerd authenticeren en de gegevens vervolgens zonder encryptie doorgeven aan de open netwerkenโ, zegt Oppenheimer van Cisco Secure. โAls alternatief zullen sommigen niet-gecodeerde inloggegevens doorgeven via open netwerken en vervolgens de gegevens coderen. Beide scenarioโs zijn niet ideaal.โ
Virtuele particuliere netwerken zijn geen wondermiddel, maar kunnen de beveiliging van niet-gecodeerde applicaties versterken. Ten slotte moeten organisaties cyberbeveiligings- en bewustwordingstrainingen gebruiken om hun hybride werknemers te leren hoe ze veilig kunnen werken vanaf externe locaties.
