แม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ก็ต้องปรับปรุงมาตรการรักษาความปลอดภัยของตน
นั่นคือบทเรียนจากการประชุม RSA ในเดือนกุมภาพันธ์ที่ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ดำเนินการโดย Cisco และ NetWitness จับรหัสผ่านเคลียร์เท็กซ์ 55,525 รหัสจากบัญชีที่ไม่ซ้ำกัน 2,210 บัญชี บริษัทระบุในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้ว ในกรณีหนึ่งที่ถูกสอบสวนโดย SOC หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลมีโปรแกรมรับส่งเมลที่กำหนดค่าไม่ถูกต้องซึ่งส่งรหัสผ่านและข้อความที่ชัดเจน รวมถึงเอกสารที่ละเอียดอ่อน เช่น การชำระค่าใบรับรองวิชาชีพ
แม้ว่าจำนวนรหัสผ่านเคลียร์เท็กซ์จะดีขึ้นเมื่อเทียบกับรหัสผ่าน 96,361 รหัสที่ถูกเปิดเผยในปี 2020 และมากกว่า 100,000 รหัสที่ส่งไปในปี 2019 แต่ก็ยังมีช่องว่างให้ปรับปรุง เจสสิก้า แบร์ ออพเพนไฮเมอร์ ผู้อำนวยการฝ่ายพันธมิตรด้านเทคนิคของ Cisco Secure กล่าว
“เนื่องจากการประชุม RSA ส่วนใหญ่เข้าร่วมโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และบทบาทสนับสนุนในอุตสาหกรรมความปลอดภัย โดยทั่วไปแล้ว เราจึงถือว่ากลุ่มประชากรเป็นตัวแทนของระดับการรับรู้ด้านความปลอดภัยที่ 'ดีที่สุด' มากกว่า” เธอกล่าว “ค่อนข้างน่าตกใจที่อีเมลที่ไม่ได้เข้ารหัสยังคงถูกใช้ในปี 2022”
พื้นที่ รายงานประจำปี นำเสนอมุมมองการใช้งานเครือข่ายในกลุ่มผู้ใช้ที่เน้นความปลอดภัย Cisco และ NetWitness เน้นย้ำว่าเครือข่ายไร้สายในการประชุม RSA ไม่ได้กำหนดค่าด้วยวิธีที่ปลอดภัยที่สุด แต่กำหนดค่าให้ได้รับการตรวจสอบเพื่อวัตถุประสงค์ทางการศึกษา ด้วยเหตุนี้ เครือข่ายจึงมีสถาปัตยกรรมแบบเรียบ ทำให้อุปกรณ์ใดๆ สามารถติดต่ออุปกรณ์อื่นๆ บนเครือข่ายได้ การแยกโฮสต์ซึ่งอนุญาตให้อุปกรณ์กำหนดเส้นทางไปยังอินเทอร์เน็ตแต่ไม่ใช่ไปยังอุปกรณ์อื่นๆ บนเครือข่าย จะมีความปลอดภัยมากกว่าแต่น่าสนใจน้อยกว่า
ข้อมูลรับรองผู้ใช้ที่มีความเสี่ยง
รายงานระบุว่ามีผู้เข้าร่วมประมาณ 19,900 คน การประชุม RSA ปี 2022 มีจำนวนคนเพียงครึ่งหนึ่งของการประชุมครั้งก่อนในปี 2020 แต่มีผู้ใช้บนเครือข่ายเท่าเดิม
ปัญหาหลักคือความล้มเหลวในการใช้การเข้ารหัสสำหรับขั้นตอนการรับรองความถูกต้องเมื่อใช้อีเมลและแอปพลิเคชันยอดนิยมอื่น ๆ รายงานระบุว่าเกือบ 20% ของข้อมูลทั้งหมดส่งผ่านเครือข่ายอย่างชัดเจน
“การเข้ารหัสการรับส่งข้อมูลไม่จำเป็นต้องทำให้มีความปลอดภัยมากขึ้น แต่จะหยุดไม่ให้บุคคลเปิดเผยข้อมูลประจำตัวของตน และองค์กรไม่ให้เปิดเผยข้อมูลทรัพย์สินขององค์กรอย่างชัดเจน” รายงานระบุ
แต่สถานการณ์ก็ไม่ได้เลวร้ายเท่าที่ควร เนื่องจากเครือข่ายไร้สายรวมการรับส่งข้อมูลจากพื้นที่จัดแสดง ชื่อผู้ใช้และรหัสผ่านจำนวนมากจึงน่าจะมาจากระบบสาธิตและสภาพแวดล้อม รายงานระบุ ยิ่งไปกว่านั้น ชื่อผู้ใช้และรหัสผ่านข้อความเคลียร์ส่วนใหญ่ — เกือบ 80% — จริงๆ แล้วรั่วไหลโดยอุปกรณ์ที่ใช้ Simple Network Management Protocol (SNMP) เวอร์ชันเก่า โปรโตคอลเวอร์ชัน 1 และ 2 ถือว่าไม่ปลอดภัย ในขณะที่ SNMP v3 เพิ่มความสามารถด้านความปลอดภัยที่สำคัญ
“นี่ไม่จำเป็นต้องเป็นภัยคุกคามที่มีความเที่ยงตรงสูง” รายงานระบุ “[H] อย่างไรก็ตาม มันทำให้ข้อมูลเกี่ยวกับอุปกรณ์และองค์กรที่มันพยายามสื่อสารด้วยรั่วไหล”
นอกเหนือจากการใช้ชื่อผู้ใช้และรหัสผ่านแบบข้อความธรรมดาอย่างต่อเนื่อง SOC ยังพบว่าจำนวนแอปพลิเคชันออนไลน์ยังคงเติบโตอย่างรวดเร็ว ซึ่งบ่งบอกว่าผู้เข้าร่วมต้องใช้อุปกรณ์เคลื่อนที่มากขึ้นในการทำงานให้เสร็จ ตัวอย่างเช่น SOC บันทึกการรับส่งข้อมูลของกล้องวิดีโอที่ไม่ได้เข้ารหัสซึ่งเชื่อมต่อกับระบบรักษาความปลอดภัยภายในบ้านบนพอร์ต 80 และข้อมูลที่ไม่ได้เข้ารหัสซึ่งใช้ในการตั้งค่าการโทรด้วยเสียงผ่าน IP
ข้อผิดพลาดของ CISO
บริษัทต่างๆ ระบุในรายงานโดยส่วนใหญ่แล้ว ทราฟฟิกที่ไม่ได้เข้ารหัสนั้นน่าจะมาจากผู้ใช้ในธุรกิจขนาดเล็ก “ทุกวันนี้เป็นเรื่องยากที่จะส่งอีเมลในรูปแบบข้อความที่ชัดเจน และการวิเคราะห์เหตุการณ์เหล่านี้พบว่ามีความคล้ายคลึงกัน” รายงานระบุ “การรับส่งข้อมูลส่วนใหญ่มาจากโดเมนที่โฮสต์ นี่หมายถึงบริการอีเมลบนโดเมนที่เป็นชื่อครอบครัวหรือธุรกิจขนาดเล็ก”
แต่ในกรณีหนึ่ง หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลได้กำหนดค่าไคลเอนต์อีเมลของตนไม่ถูกต้อง และท้ายที่สุดก็เปิดเผยชื่อผู้ใช้และรหัสผ่านของอีเมลด้วยการส่งข้อมูลที่ชัดเจน SOC ค้นพบปัญหาเมื่อพบใบเสร็จสำหรับการชำระเงิน CISSP ที่ส่งอย่างชัดเจนจากไคลเอนต์อีเมลที่ใช้ Android
“การค้นพบนี้จุดประกายให้เกิดการสอบสวนที่ยืนยันว่าอีเมลหลายสิบฉบับจากและถึงบุคคลนั้นถูกดาวน์โหลดผ่านเครือข่ายเปิดด้วยโปรโตคอลที่ไม่ปลอดภัย” รายงานระบุ
บริษัทควรตรวจสอบว่าเทคโนโลยีที่พนักงานใช้ได้สร้างการเชื่อมต่อที่เข้ารหัสแบบ end-to-end และควรใช้หลักการ Zero-trust เพื่อตรวจสอบ (ในเวลาที่เหมาะสม) ว่าการเข้ารหัสยังคงถูกนำไปใช้อยู่
“เราพบแอปพลิเคชันและเว็บไซต์ที่รับรองความถูกต้องของการเข้ารหัส จากนั้นจึงส่งข้อมูลโดยไม่ต้องเข้ารหัสผ่านเครือข่ายแบบเปิด” Oppenheimer จาก Cisco Secure กล่าว “อีกทางหนึ่ง บางส่วนจะส่งข้อมูลประจำตัวที่ไม่ได้เข้ารหัสผ่านเครือข่ายเปิด จากนั้นจึงเข้ารหัสข้อมูล ทั้งสองสถานการณ์ยังน้อยกว่าอุดมคติ”
เครือข่ายส่วนตัวเสมือนไม่ใช่ยาครอบจักรวาล แต่สามารถเสริมความปลอดภัยให้กับแอปพลิเคชันที่ไม่ได้เข้ารหัสได้ สุดท้ายนี้ องค์กรต่างๆ ควรใช้การฝึกอบรมด้านความปลอดภัยทางไซเบอร์และการรับรู้เพื่อให้ความรู้แก่พนักงานแบบไฮบริดเกี่ยวกับวิธีการรักษาความปลอดภัยเมื่อทำงานจากสถานที่ห่างไกล
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
