Siber güvenlik profesyonellerinin bile güvenlik duruşlarını geliştirmeleri gerekiyor.
Geçtiğimiz hafta yayınlanan bir raporda, şirketlerin Cisco ve NetWitness tarafından işletilen güvenlik operasyonları merkezinin (SOC) 55,525 benzersiz hesaptan 2,210 açık metin şifreyi yakaladığı Şubat ayındaki RSA Konferansı'ndan alınan ders budur. SOC tarafından araştırılan bir vakada, bir bilgi güvenliği sorumlusu, profesyonel sertifika ödemesi gibi hassas belgeler de dahil olmak üzere şifreleri ve metinleri açık bir şekilde gönderen, yanlış yapılandırılmış bir e-posta istemcisine sahipti.
Cisco Secure teknik ittifaklar direktörü Jessica Bair Oppenheimer, 96,361'de açığa çıkan 2020 şifre ve 100,000'da açık olarak gönderilen 2019'den fazla şifreyle karşılaştırıldığında şifresiz metin şifrelerinin sayısı bir gelişme olsa da, hala iyileştirme için yer olduğunu söylüyor.
"RSA Konferansına çoğunlukla siber güvenlik uzmanları ve güvenlik sektöründeki destekleyici roller katıldığı için, genel olarak demografinin daha çok 'en iyi durum' güvenlik farkındalığı düzeyini temsil ettiğini düşünüyoruz" diyor. "Biraz şaşırtıcı bir şekilde, şifrelenmemiş e-posta 2022'de hala kullanılıyor."
The yıllık rapor güvenlik odaklı bir kullanıcı grubu arasındaki ağ kullanımına ilişkin bir görünüm sunar. Cisco ve NetWitness, RSA Konferansında kablosuz ağın en güvenli şekilde yapılandırılmadığını, eğitim amaçlı izlenecek şekilde yapılandırıldığını vurguladı. Bu nedenle ağ, herhangi bir cihazın ağdaki herhangi bir cihazla iletişim kurmasına olanak tanıyan düz bir mimariye sahiptir. Cihazların internete gitmesine izin veren ancak ağdaki diğer cihazlara izin vermeyen ana bilgisayar izolasyonu daha güvenli ancak daha az ilgi çekici olacaktır.
Risk Altındaki Kullanıcı Kimlik Bilgileri
Raporda, yaklaşık 19,900 katılımcıyla 2022 RSA Konferansı'nın, 2020'deki bir önceki konferansın yalnızca yarısı kadar insan sayısına sahip olduğu, ancak ağdaki kullanıcı sayısının da yaklaşık aynı olduğu belirtildi.
En büyük sorun, e-posta ve diğer popüler uygulamaları kullanırken kimlik doğrulama adımı için şifrelemenin kullanılmamasıydı. Raporda, tüm verilerin yaklaşık %20'sinin ağ üzerinden net bir şekilde geçtiği belirtildi.
Raporda, "Trafiği şifrelemek kişiyi mutlaka daha güvenli hale getirmez, ancak bireylerin kimlik bilgilerini vermelerini ve kuruluşların kurumsal varlık bilgilerini açıkça vermelerini engeller" dedi.
Ancak durum sanıldığı kadar kötü değil. Raporda, kablosuz ağın fuar alanından gelen trafiği de içermesi nedeniyle, kullanıcı adlarının ve şifrelerin çoğunun muhtemelen demo sistem ve ortamlardan geldiği belirtildi. Dahası, şifresiz metin kullanıcı adlarının ve şifrelerinin çoğu (neredeyse %80'i) Basit Ağ Yönetimi Protokolü'nün (SNMP) eski sürümünü kullanan cihazlar tarafından sızdırıldı. Protokolün 1. ve 2. sürümleri güvensiz olarak kabul edilirken, SNMP v3 önemli güvenlik özellikleri ekler.
Raporda, "Bu mutlaka yüksek sadakatli bir tehdit değildir" belirtildi. "[H]ancak, cihaz ve iletişim kurmaya çalıştığı kuruluş hakkında bilgi sızdırıyor."
SOC, düz metin kullanıcı adlarının ve şifrelerinin sürekli kullanımına ek olarak çevrimiçi uygulamaların sayısının da hızla artmaya devam ettiğini tespit etti; bu da katılımcıların işlerini halletmek için giderek daha fazla mobil cihazlara bağımlı olduklarını gösteriyor. Örneğin SOC, 80 numaralı bağlantı noktasındaki ev güvenlik sistemlerine bağlanan şifrelenmemiş video kamera trafiğini ve IP üzerinden ses çağrılarını ayarlamak için kullanılan şifrelenmemiş verileri yakaladı.
CISO Hatası
Raporda şirketler, şifrelenmemiş trafiğin büyük kısmının küçük işletme kullanıcılarından kaynaklandığını belirtti. Raporda, "Bugünlerde açık metinle e-posta göndermek zor ve bu olayların analizi benzerlikler buldu" dedi. "Bu trafiğin çoğu barındırılan alan adlarına gidip geliyordu. Bu, aile adı veya küçük işletme alan adlarındaki e-posta hizmetleri anlamına gelir."
Ancak bir vakada, bir bilgi güvenliği sorumlusu, e-posta istemcisini yanlış yapılandırdı ve sonuçta verileri açık bir şekilde göndererek e-posta kullanıcı adını ve şifresini açığa çıkardı. SOC, Android tabanlı bir e-posta istemcisinden gönderilen bir CISSP ödemesinin makbuzunu bulduğunda sorunu keşfetti.
Raporda, "Bu keşif, kişiden gelen ve kişiye gönderilen düzinelerce e-postanın açık ağ üzerinden güvenli olmayan bir protokolle indirildiğini doğrulayan bir soruşturmayı ateşledi" ifadesine yer verildi.
Şirketler, çalışanlar tarafından kullanılan teknolojilerin uçtan uca şifrelenmiş bağlantılar oluşturduğunu doğrulamalı ve uygun zamanlarda şifrelemenin hâlâ uygulanıp uygulanmadığını kontrol etmek için sıfır güven ilkelerini uygulamalıdır.
Cisco Secure'dan Oppenheimer, "Şifrelenmiş kimlik doğrulaması yapan ve ardından açık ağlarda verileri şifrelemeden aktaran uygulamalar ve web siteleri bulduk" diyor. “Alternatif olarak, bazıları şifrelenmemiş kimlik bilgilerini açık ağlar üzerinden geçirecek ve ardından verileri şifreleyecektir. Her iki senaryo da idealden uzak.”
Sanal özel ağlar her derde deva olmasa da şifrelenmemiş uygulamaların güvenliğini güçlendirebilir. Son olarak kuruluşlar, hibrit çalışanlarını uzak konumlardan çalışırken nasıl güvende olacakları konusunda eğitmek için siber güvenlik ve farkındalık eğitimlerinden yararlanmalıdır.
