Nieszyfrowany ruch nadal zagraża bezpieczeństwu Wi-Fi

Nawet specjaliści ds. cyberbezpieczeństwa muszą poprawić swój poziom bezpieczeństwa.

Taki wniosek wyciągnięto z lutowej konferencji RSA, podczas której centrum operacji bezpieczeństwa (SOC) prowadzone przez Cisco i NetWitness przechwyciło 55,525 2,210 haseł w postaci zwykłego tekstu z XNUMX unikalnych kont, jak podały firmy w raporcie opublikowanym w zeszłym tygodniu. W jednym przypadku zbadanym przez SOC dyrektor ds. bezpieczeństwa informacji miał źle skonfigurowanego klienta poczty e-mail, który wysyłał hasła i tekst w postaci jawnej, w tym poufne dokumenty, takie jak płatności za certyfikat zawodowy.

Choć liczba haseł w postaci zwykłego tekstu jest większa w porównaniu z 96,361 2020 hasłami ujawnionymi w 100,000 r. i ponad 2019 XNUMX hasłami przesłanymi jawnie w XNUMX r., nadal jest wiele do zrobienia, mówi Jessica Bair Oppenheimer, dyrektor ds. współpracy technicznej w Cisco Secure.

„Ponieważ w konferencji RSA biorą udział głównie specjaliści ds. cyberbezpieczeństwa i osoby wspierające w branży bezpieczeństwa, ogólnie uważamy, że dane demograficzne reprezentują raczej „najlepszy przypadek” poziomu świadomości bezpieczeństwa” – mówi. „Co nieco szokujące, w 2022 r. nadal używa się niezaszyfrowanej poczty e-mail”.

Połączenia roczny raport przedstawia pogląd na wykorzystanie sieci przez grupę użytkowników skupioną na bezpieczeństwie. Cisco i NetWitness podkreśliły, że sieć bezprzewodowa na konferencji RSA nie jest skonfigurowana w najbezpieczniejszy sposób, ale skonfigurowana do monitorowania w celach edukacyjnych. Z tego powodu sieć ma płaską architekturę, umożliwiającą dowolnemu urządzeniu kontakt z dowolnym innym urządzeniem w sieci. Izolacja hosta, która umożliwia urządzeniom kierowanie się do Internetu, ale nie do innych urządzeń w sieci, byłaby bezpieczniejsza, ale mniej interesująca.

Dane uwierzytelniające użytkownika zagrożone

W raporcie stwierdzono, że w konferencji RSA w 19,900 r., która zgromadziła około 2022 2020 uczestników, wzięło udział tylko o połowę mniej osób niż w poprzedniej konferencji w XNUMX r., ale za to mniej więcej tyle samo użytkowników w sieci.

Głównym problemem był brak szyfrowania na etapie uwierzytelniania podczas korzystania z poczty e-mail i innych popularnych aplikacji. Z raportu wynika, że ​​prawie 20% wszystkich danych przesyłanych przez sieć jest czyste.

„Szyfrowanie ruchu niekoniecznie zwiększa bezpieczeństwo, ale powstrzymuje osoby przed ujawnianiem swoich danych uwierzytelniających, a organizacje przed ujawnianiem jawnych informacji o zasobach firmy” – stwierdzono w raporcie.

Jednak sytuacja nie jest tak zła, jak mogłaby być. W raporcie stwierdzono, że ponieważ sieć bezprzewodowa obejmuje ruch z hali wystawowej, wiele nazw użytkowników i haseł prawdopodobnie pochodzi z systemów i środowisk demonstracyjnych. Co więcej, większość nazw użytkowników i haseł w postaci zwykłego tekstu — prawie 80% — w rzeczywistości wyciekła z urządzeń korzystających ze starszej wersji protokołu Simple Network Management Protocol (SNMP). Wersje 1 i 2 protokołu są uważane za niepewne, podczas gdy SNMP v3 dodaje znaczące możliwości bezpieczeństwa.

„Niekoniecznie jest to poważne zagrożenie” – stwierdzono w raporcie. „[H] jednak ujawnia informacje o urządzeniu, a także o organizacji, z którą próbuje się komunikować”.

Oprócz ciągłego używania nazw użytkowników i haseł w postaci zwykłego tekstu SOC stwierdziło, że liczba aplikacji internetowych w dalszym ciągu szybko rośnie, co sugeruje, że uczestnicy w coraz większym stopniu korzystają z urządzeń mobilnych podczas wykonywania pracy. Na przykład SOC przechwytywał niezaszyfrowany ruch kamer wideo łączących się z systemami bezpieczeństwa w domu na porcie 80 oraz niezaszyfrowane dane wykorzystywane do konfigurowania połączeń Voice-over-IP.

Błąd CISO

Firmy stwierdziły w raporcie, że większość niezaszyfrowanego ruchu pochodzi prawdopodobnie od użytkowników z małych firm. „W dzisiejszych czasach wysyłanie wiadomości e-mail w postaci zwykłego tekstu jest trudne, a analiza tych incydentów wykazała podobieństwa” – stwierdzono w raporcie. „Większość tego ruchu dotyczyła domen hostowanych i z nich. Oznacza to usługi e-mail w domenach należących do nazwisk rodzinnych lub małych firm.

Jednak w jednym przypadku dyrektor ds. bezpieczeństwa informacji błędnie skonfigurował swojego klienta poczty e-mail i ostatecznie ujawnił jego nazwę użytkownika i hasło do poczty e-mail, wysyłając dane w postaci jawnej. Biuro SOC odkryło problem, gdy znalazło potwierdzenie płatności CISSP przesłane jawnie z klienta poczty e-mail działającego na systemie Android.

„Odkrycie zapoczątkowało dochodzenie, które potwierdziło, że dziesiątki e-maili od i do tej osoby zostały pobrane przez otwartą sieć przy użyciu niezabezpieczonego protokołu” – czytamy w raporcie.

Firmy powinny sprawdzać, czy technologie wykorzystywane przez pracowników utworzyły szyfrowane połączenia typu „od końca do końca” i powinny stosować zasady zerowego zaufania, aby sprawdzać – w odpowiednich momentach – czy szyfrowanie jest nadal stosowane.

„Znaleźliśmy aplikacje i strony internetowe, które uwierzytelniają zaszyfrowane, a następnie przesyłają dane bez szyfrowania przez otwarte sieci” – mówi Oppenheimer z Cisco Secure. „Alternatywnie niektórzy będą przekazywać niezaszyfrowane dane uwierzytelniające przez otwarte sieci, a następnie szyfrować dane. Obydwa scenariusze nie są idealne.”

Wirtualne sieci prywatne nie są panaceum, ale mogą zwiększyć bezpieczeństwo niezaszyfrowanych aplikacji. Wreszcie organizacje powinny korzystać ze szkoleń w zakresie bezpieczeństwa cybernetycznego i podnoszenia świadomości, aby edukować swoich pracowników hybrydowych w zakresie zapewnienia bezpieczeństwa podczas pracy w odległych lokalizacjach.