Der Benchmarking Cyber Risk and Readiness Report von ExtraHop zeigt, dass ein signifikanter Prozentsatz der Unternehmen unsichere oder hochsensible Protokolle wie SMB, SSH und Telnet dem öffentlichen Internet aussetzt. [...]
Seit der russischen Invasion in der Ukraine haben Regierungen und Sicherheitsexperten auf der ganzen Welt eine deutliche Zunahme der Cyberangriffe festgestellt. Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) und andere Regierungsbehörden wie ENISA, CERT-EU, ACSC und SingCERT haben Unternehmen nachdrücklich aufgefordert, sich auf die Stärkung ihrer allgemeinen Sicherheitsvorkehrungen zu konzentrieren und damit zu beginnen, die Wahrscheinlichkeit eines schädlichen Cyberangriffs zu verringern. Eine der wichtigsten Empfehlungen dieser Agenturen ist, dass Unternehmen alle unnötigen oder unsicheren Ports und Protokolle deaktivieren sollten.
In dem neuen Bericht führte ExtraHop eine Analyse der IT-Umgebungen von Unternehmen durch, um die Cybersicherheitslage von Unternehmen auf der Grundlage offener Ports und sensibler Protokolle zu bewerten, so dass Sicherheits- und IT-Verantwortliche ihre Risikolage und Angriffsfläche im Vergleich zu anderen Unternehmen einschätzen können. Die Studie schlüsselt auf, wie viele anfällige Protokolle von jeweils 10.000 Geräten, auf denen ein bestimmtes Protokoll ausgeführt wird, dem Internet ausgesetzt sind.
Wichtige Ergebnisse
SSH ist das am meisten gefährdete sensible Protokoll: Secure Shell (SSH) ist ein gut durchdachtes Protokoll mit guter Kryptografie für den sicheren Zugriff auf Remote-Geräte. Es ist außerdem eines der am weitesten verbreiteten Protokolle, was es zu einem beliebten Ziel für Cyberkriminelle macht, die auf Geräte im Unternehmen zugreifen und diese kontrollieren wollen. Vierundsechzig Prozent der Unternehmen haben mindestens ein Gerät, das über dieses Protokoll mit dem öffentlichen Internet verbunden ist. In 32 von 10.000 Unternehmen sind 32 Geräte gefährdet.
LDAP-Belastung ist hoch: Das Lightweight Directory Access Protocol (LDAP) ist ein herstellerneutrales Anwendungsprotokoll, das verteilte Verzeichnisinformationen in einer organisierten, leicht abfragbaren Weise verwaltet. Windows-Systeme verwenden LDAP, um Benutzernamen in Active Directory nachzuschlagen. Standardmäßig werden diese Abfragen im Klartext übertragen, was Angreifern die Möglichkeit gibt, Benutzernamen zu ermitteln. Da 41 Prozent der Unternehmen mindestens ein Gerät haben, das LDAP dem öffentlichen Internet ausgesetzt ist, hat dieses sensible Protokoll einen übergroßen Risikofaktor.
Offene Datenbankprotokolle öffnen Angreifern Tür und Tor: Datenbankprotokolle ermöglichen Benutzern und Software die Interaktion mit Datenbanken, das Einfügen, Aktualisieren und Abrufen von Informationen. Wenn ein ungeschütztes Gerät ein Datenbankprotokoll abhört, gibt es auch die Datenbank preis. Vierundzwanzig Prozent der Unternehmen haben mindestens ein Gerät, das Tabular Data Stream (TDS) für das öffentliche Internet zugänglich macht. Dieses Microsoft-Protokoll für die Kommunikation mit Datenbanken überträgt die Daten im Klartext und ist damit anfällig für Abhörmaßnahmen. Transparent Network Substrate (TNS), im Wesentlichen die Oracle-Version von TDS, ist bei 13 Prozent der Unternehmen auf mindestens einem Gerät offengelegt.
Gefährdete Dateiserverprotokolle: Bei der Betrachtung der vier Protokolltypen (Dateiserverprotokolle, Verzeichnisprotokolle, Datenbankprotokolle und Fernsteuerungsprotokolle) zeigt sich, dass die überwiegende Mehrheit der Cyberangriffe auf Dateiserverprotokolle erfolgt, bei denen Angreifer Dateien von einem Ort zum anderen verschieben. Einunddreißig Prozent der Unternehmen haben mindestens ein Gerät, das Server Message Block (SMB) für das öffentliche Internet zugänglich macht. In 64 von 10.000 Unternehmen sind diese Geräte offengelegt.
FTP ist nicht so sicher wie es sein könnte: Das File Transfer Protocol (FTP) ist kein vollwertiges Dateizugriffsprotokoll. Es sendet Dateien als Stream über Netzwerke und bietet praktisch keine Sicherheit. Es überträgt Daten, einschließlich Benutzernamen und Kennwörtern, im Klartext, so dass die Daten leicht abgefangen werden können. Obwohl es mindestens zwei sichere Alternativen gibt, stellen 36 Prozent der Unternehmen mindestens ein Gerät, das dieses Protokoll verwendet, dem öffentlichen Internet zur Verfügung, und drei von 10.000 Geräten.
Die Verwendung des Protokolls unterscheidet sich je nach Branche: Dies ist ein Hinweis darauf, dass verschiedene Branchen in unterschiedliche Technologien investieren und unterschiedliche Anforderungen an die Speicherung von Daten und die Interaktion mit Remote-Benutzern haben. Betrachtet man alle Branchen zusammen, so war SMB das am weitesten verbreitete Protokoll.
Unternehmen setzen weiterhin auf Telnet: Telnet, ein altes Protokoll für die Verbindung zu Remote-Geräten, ist seit 2002 veraltet. Dennoch haben 12 Prozent der Unternehmen mindestens ein Gerät, das dieses Protokoll für das öffentliche Internet nutzt. Als beste Praxis sollten IT-Organisationen Telnet überall dort deaktivieren, wo es in ihrem Netzwerk zu finden ist.
„Ports und Protokolle sind im Wesentlichen die Türen und Flure, die Angreifer nutzen, um Netzwerke zu erkunden und Schaden anzurichten“, sagt Jeff Costlow, CISO bei ExtraHop. „Deshalb ist es so wichtig zu wissen, welche Protokolle in Ihrem Netzwerk laufen und welche Schwachstellen mit ihnen verbunden sind. Dies gibt Verteidigern das Wissen, um eine fundierte Entscheidung über ihre Risikotoleranz zu treffen und Maßnahmen zu ergreifen – wie die kontinuierliche Inventarisierung von Software und Hardware in einer Umgebung, das schnelle und kontinuierliche Patchen von Software und die Investition in Tools für Echtzeiteinblicke und -analysen – um ihre Cybersicherheitsbereitschaft zu verbessern.“
Be the first to comment