Ngay cả các chuyên gia an ninh mạng cũng cần cải thiện tư thế bảo mật của họ.
Đó là bài học từ Hội nghị RSA vào tháng 55,525, nơi trung tâm điều hành bảo mật (SOC) do Cisco và NetWitness điều hành đã thu được 2,210 mật khẩu văn bản rõ ràng từ XNUMX tài khoản duy nhất, các công ty nêu trong một báo cáo công bố tuần trước. Trong một trường hợp được SOC điều tra, một giám đốc an ninh thông tin đã có một ứng dụng email khách bị định cấu hình sai đã gửi mật khẩu và văn bản rõ ràng, bao gồm các tài liệu nhạy cảm như khoản thanh toán cho chứng chỉ chuyên môn của họ.
Jessica Bair Oppenheimer, giám đốc liên minh kỹ thuật tại Cisco Secure, cho biết mặc dù số lượng mật khẩu văn bản rõ ràng là một sự cải thiện so với 96,361 mật khẩu bị lộ vào năm 2020 và hơn 100,000 mật khẩu được gửi dưới dạng văn bản rõ ràng vào năm 2019, nhưng vẫn còn chỗ cần cải thiện.
Cô nói: “Vì Hội nghị RSA chủ yếu có sự tham dự của các chuyên gia an ninh mạng và các vai trò hỗ trợ trong ngành bảo mật, nên chúng tôi thường coi nhân khẩu học là đại diện cho mức độ nhận thức về bảo mật 'trường hợp tốt nhất' hơn. “Thật đáng kinh ngạc, email không được mã hóa vẫn đang được sử dụng vào năm 2022.”
Sản phẩm báo cáo hàng năm trình bày quan điểm về việc sử dụng mạng giữa một nhóm người dùng tập trung vào bảo mật. Cisco và NetWitness nhấn mạnh rằng mạng không dây tại Hội nghị RSA không được định cấu hình theo cách an toàn nhất mà được định cấu hình để được giám sát cho mục đích giáo dục. Vì lý do đó, mạng có kiến trúc phẳng, cho phép bất kỳ thiết bị nào liên hệ với bất kỳ thiết bị nào khác trên mạng. Cách ly máy chủ, cho phép các thiết bị định tuyến đến internet chứ không phải đến các thiết bị khác trên mạng, sẽ an toàn hơn nhưng kém thú vị hơn.
Thông tin đăng nhập của người dùng có nguy cơ
Báo cáo cho biết với khoảng 19,900 người tham dự, Hội nghị RSA năm 2022 chỉ có khoảng một nửa số người so với hội nghị trước đó vào năm 2020, nhưng có cùng số lượng người dùng trên mạng.
Vấn đề chính là không sử dụng mã hóa cho bước xác thực khi sử dụng email và các ứng dụng phổ biến khác. Báo cáo cho biết gần 20% tất cả dữ liệu được truyền qua mạng ở dạng rõ ràng.
Báo cáo cho biết: “Mã hóa lưu lượng truy cập không nhất thiết làm cho lưu lượng truy cập an toàn hơn, nhưng nó ngăn các cá nhân cung cấp thông tin đăng nhập của họ và các tổ chức cung cấp thông tin tài sản của công ty một cách rõ ràng”.
Tuy nhiên, tình hình không tệ đến mức có thể xảy ra. Báo cáo cho biết vì mạng không dây bao gồm lưu lượng truy cập từ sàn triển lãm nên nhiều tên người dùng và mật khẩu có thể là từ các hệ thống và môi trường demo. Hơn nữa, hầu hết tên người dùng và mật khẩu dạng văn bản rõ ràng - gần 80% - thực sự đã bị rò rỉ bởi các thiết bị sử dụng phiên bản cũ hơn của Giao thức quản lý mạng đơn giản (SNMP). Phiên bản 1 và 2 của giao thức được coi là không an toàn, trong khi SNMP v3 bổ sung thêm các khả năng bảo mật đáng kể.
Báo cáo nêu rõ: “Đây không hẳn là một mối đe dọa có độ chính xác cao”. “[H]tuy nhiên, nó làm rò rỉ thông tin về thiết bị cũng như tổ chức mà nó đang cố gắng liên lạc.”
Ngoài việc tiếp tục sử dụng tên người dùng và mật khẩu văn bản gốc, SOC nhận thấy rằng số lượng đơn đăng ký trực tuyến tiếp tục tăng nhanh, cho thấy rằng những người tham dự đang ngày càng dựa vào thiết bị di động để hoàn thành công việc. Ví dụ: SOC đã ghi lại lưu lượng máy quay video không được mã hóa kết nối với hệ thống an ninh gia đình trên cổng 80 và dữ liệu không được mã hóa được sử dụng để thiết lập cuộc gọi thoại qua IP.
Sai lầm của CISO
Các công ty cho biết trong báo cáo rằng phần lớn lưu lượng truy cập không được mã hóa có thể đến từ người dùng doanh nghiệp nhỏ. Báo cáo cho biết: “Ngày nay rất khó để gửi email ở dạng văn bản rõ ràng và việc phân tích những sự cố này đã tìm thấy những điểm tương đồng”. “Hầu hết lưu lượng truy cập này đến và đi từ các tên miền được lưu trữ. Điều này có nghĩa là các dịch vụ email trên các tên miền thuộc họ hoặc doanh nghiệp nhỏ.”
Tuy nhiên, trong một trường hợp, một giám đốc an ninh thông tin đã định cấu hình sai ứng dụng email của họ và cuối cùng để lộ tên người dùng và mật khẩu email của họ bằng cách gửi dữ liệu rõ ràng. SOC đã phát hiện ra sự cố khi tìm thấy biên lai thanh toán CISSP được gửi rõ ràng từ ứng dụng email khách dựa trên Android.
Báo cáo cho biết: “Phát hiện này đã dẫn đến một cuộc điều tra xác nhận hàng chục email từ và đến người đó đã được tải xuống trên mạng mở bằng giao thức không an toàn”.
Các công ty nên xác minh rằng các công nghệ mà nhân viên sử dụng đã tạo ra các kết nối được mã hóa đầu cuối và nên áp dụng các nguyên tắc không tin cậy để kiểm tra — vào những thời điểm thích hợp — rằng mã hóa vẫn đang được áp dụng.
Oppenheimer của Cisco Secure cho biết: “Chúng tôi đã tìm thấy các ứng dụng và trang web xác thực được mã hóa và sau đó truyền dữ liệu mà không cần mã hóa qua các mạng mở”. “Ngoài ra, một số sẽ chuyển thông tin xác thực không được mã hóa qua các mạng mở và sau đó mã hóa dữ liệu. Cả hai kịch bản đều kém lý tưởng.”
Mạng riêng ảo không phải là thuốc chữa bách bệnh nhưng có thể tăng cường bảo mật cho các ứng dụng không được mã hóa. Cuối cùng, các tổ chức nên sử dụng chương trình đào tạo nâng cao nhận thức và an ninh mạng để hướng dẫn nhân viên lai của họ cách đảm bảo an toàn khi làm việc từ xa.
