Рискът от несигурни протоколи в корпоративни среди. Риад Насу, ExtraHop

Тази година станахме свидетели на някои от най-големите и най-вредните атаки на ransomware досега. Само в рамките на пет дни миналия май две мащабни кибератаки разтърсиха публични и частни компании по целия свят. Първата, насочена срещу Colonial Pipeline, парализира един от главните петролопроводи за седмица и повиши цената на бензина в Съединените щати до ниво, невиждано от 2014 г. Втората атака, насочена срещу ирландската система за обществено здравеопазване, е доведе до отмяната или отлагането на хиляди срещи, лечения на рак и операции, както и до пускане на данни на пациенти онлайн.

Съвсем наскоро ИТ компанията Kaseya стана жертва на най-голямата регистрирана атака с рансъмуер. Киберпрестъпниците искаха повече от 70 милиона долара за възстановяване на системи и отключване на клиентски данни. В този случай нападателите са се насочили към утвърдена, но малко известна софтуерна компания, давайки им достъп до стотици други среди, за да причинят щети, степента на които предстои да бъде определена.

С нарастването на мащаба, тежестта и честотата на кибератаките организациите търсят нови начини за укрепване на своята кибер защита. Един от най-простите е да се премахнат несигурните протоколи от тяхната среда. И все пак те, особено свързани с някои от най-скъпите кибератаки в историята, остават в изненадващо често срещана употреба.

Старите и рискови протоколи правят бизнеса уязвим

През 2017 г. експлоатацията на пропуска Zero Day EternalBlue в протокола Server Message Block версия 1 (SMBv1) беше използвана за извършване на две опустошителни ransomware атаки в рамките на шест седмици: WannaCry и NotPetya. Те са заразили милиони компютри в повече от 150 държави, парализирайки здравните системи, критичната инфраструктура и международния транспорт. Само атаката на WannaCry струва 4,7 милиарда долара в световен мащаб.

И все пак четири години след актуализацията на EternalBlue, ново проучване установи, че 67% от корпоративните среди все още имат десет или повече устройства, работещи с SMBv1. Въпреки че последният брой може да изглежда сравнително нисък, отдалеченото изпълнение на код, разрешено от Eternal(x) уязвимости, прави всяко устройство, което използва SMBv1 трамплин за стартиране на широкомащабна атака. Въпреки че тези десет единици оборудване представляват само малка част от флота, киберотбраната признава липса на недостатък. Не е необходимо SMBv1 да присъства на всяко устройство в компютърната среда, за да се използва за стартиране на катастрофална атака. Един е достатъчен.

Протоколът, използван от атаките WannaCry и NotPetya, не е единственият известен с висок риск и все още присъстващ в компютърните среди.

70% от средите все още имат най-малко десет устройства, използващи протокола LLMNR (Link-Local Multicast Name Resolution), който се използва при измамни атаки от 2007 г. насам. LLMNR може да подмами жертвата да разкрие идентификационните си данни, като даде достъп до съответния хешкод. Това ще позволи на атакуващия да получи идентификаторите, особено ако старите техники, свързани с управлението на пароли в средата на Microsoft, като LANMAN, не са били деактивирани. Идентификаторите позволяват на киберпрестъпниците да правят странични движения, за да се движат по желание в мрежата.

Днес сме едно! И през нашата първа година ние ви помогнахме да прехвърлите *150 милиона паунда доживотни депозити от банки и… https://t.co/pZN2qQrz8Z

— Превключете пет, 23 април 14:54:44 +0000 2021

Още по-обезпокоителна статистика е, че 34% от средите имат десет или повече крайни точки, работещи с New Technology LAN Manager (NTLM), прост метод за удостоверяване, който може лесно да се използва в рамките на часове за получаване на валидни идентификационни данни.

През 2012 г. беше демонстрирано, че всяка възможна пермутация на 8-байтовия хешкод в протокола NTLM може да бъде кракната за по-малко от шест часа. През 2019 г. беше показано, че HashCat, инструмент за възстановяване на пароли с отворен код, разбива всеки 8-байтов хешкод за по-малко от два часа и половина.

Опитният хакер може лесно да прихване NTLM хешкодове, еквивалентни на толкова много пароли, или дори да разбие офлайн NTLMv1 пароли. Използването на дефект в удостоверяването на NTLMv1 може да позволи на атакуващ да стартира атаки от типа MITM (Machine in the Middle) или дори да поеме пълен контрол над домейн.

Проблемът е не само използването на несигурни протоколи, но и честотата на — злоупотреба — с общи протоколи в корпоративни среди.

Вземете пример с HTTP (Hypertext Transfer Protocol), който е универсалният протокол на Интернет. Въпреки че HTTP по своята същност не е проблематичен, използването му за прехвърляне на чувствителни данни е висок риск. Когато данните се предават през HTTP, идентификационните данни се разкриват, което ги прави идеална цел за прихващане и кражба на поверителна информация от хакери. За да се коригира това, беше създадена по-сигурна версия, HTTPS, позволяваща на компаниите да обработват информация сигурно в Интернет чрез криптиране на комуникациите между клиентските работни станции и сървърите. Google предприе решителни стъпки за постепенна замяна на HTTP с HTTPS, като маркира всички сайтове, които не използват последния, като несигурни. Проучване обаче разкрива, че 81% от корпоративните среди все още използват несигурни HTTP идентификационни данни, което прави тези компании и техните служители уязвими на атаки.

Елиминирайте несигурните протоколи

Разпространението на разпределени работни сили и хибридни среди, смесващи локални и облачни компоненти, допълнително увеличи възможностите за въвеждане на несигурни протоколи в мрежите, както и трудността на водене на точен опис на тях.

Ръчните одити предоставят само картина на мрежата в момента T, което прави наложително да се следи трафикът, за да се идентифицират протоколи и заплахи, на които да се противодейства. Чрез наблюдение и анализиране на трафика с помощта на софтуер за откриване и реагиране на мрежата (NDR), организациите могат да открият всички протоколи, използвани в тяхната мрежа, и да идентифицират онези, които могат да бъдат използвани за злонамерени цели. В допълнение, анализът на машинно обучение в облачен мащаб на мрежови данни помага за защитата на мрежите от хакове чрез профилиране на това какви достъпи трябва да се считат за нормални. Това ще позволи на ИТ екипите да съставят списъци и да определят кои заплахи и аномалии да търсят в бъдеще.

Въпреки че киберзаплахите непрекъснато се усложняват, редица атаки все още се извършват чрез използване на недостатъци и техники, които са на години. Поради това компаниите трябва да се съсредоточат върху основните аспекти на ИТ хигиената, за да премахнат несигурните протоколи. Като се уверят, че заключват своите входни точки, екипите за киберсигурност могат да съсредоточат времето си върху проактивна, а не реактивна отбранителна стратегия и да разчитат на системи, които им позволяват да наблюдават миналото, настоящето и бъдещето, за да гарантират сигурността на компанията.___________________

от Риад Насу, регионален мениджър продажби в ExtraHop