Riziko nezabezpečených protokolů v podnikovém prostředí. Riad Nassou, ExtraHop

V tomto roce došlo k některým z dosud největších a nejškodlivějších ransomwarových útoků. V průběhu pouhých pěti dnů loňského května otřásly veřejnými a soukromými společnostmi po celém světě dva rozsáhlé kybernetické útoky. První, namířený proti Colonial Pipeline, na týden paralyzoval jeden z hlavních ropovodů a zvýšil cenu benzínu ve Spojených státech na úroveň, která nebyla zaznamenána od roku 2014. Druhý útok zaměřený na irský systém veřejného zdraví vedly ke zrušení nebo odložení tisíců schůzek, léčby rakoviny a operací a také zpřístupnění údajů o pacientech online.

V nedávné době se IT společnost Kaseya stala obětí dosud největšího ransomwarového útoku. Kyberzločinci požadovali více než 70 milionů dolarů na obnovu systémů a odemknutí zákaznických dat. V tomto případě se útočníci zaměřili na dobře zavedenou, ale málo známou softwarovou společnost, čímž jim umožnili přístup ke stovkám dalších prostředí, aby způsobili škody, jejichž rozsah se teprve určí.

S rostoucím rozsahem, závažností a frekvencí kybernetických útoků organizace hledají nové způsoby, jak posílit svou kybernetickou obranu. Jedním z nejjednodušších je odstranění nezabezpečených protokolů z jejich prostředí. Přesto se tyto, zejména spojené s některými z nejnákladnějších kybernetických útoků v historii, stále překvapivě běžně používají.

Staré a rizikové protokoly zanechávají podniky zranitelné

V roce 2017 bylo zneužití chyby Zero Day EternalBlue v protokolu Server Message Block verze 1 (SMBv1) použito ke dvěma útokům ransomwaru, které během šesti týdnů zničily: WannaCry a NotPetya. Ty infikovaly miliony počítačů ve více než 150 zemích, ochromily zdravotnické systémy, kritickou infrastrukturu a mezinárodní dopravu. Samotný útok WannaCry stál celosvětově 4,7 miliardy dolarů.

Přesto čtyři roky po aktualizaci EternalBlue nová studie zjistila, že 67 % podnikových prostředí má stále deset nebo více zařízení s SMBv1. I když se toto číslo může zdát relativně nízké, vzdálené spouštění kódu, které umožňují zranitelnosti Eternal(x), dělá z každého zařízení, které používá SMBv1, odrazový můstek pro zahájení rozsáhlého útoku. I když těchto deset kusů vybavení představuje jen zlomek flotily, kybernetická obrana nepřipouští žádnou chybu. SMBv1 nemusí být přítomen na každém zařízení ve výpočetním prostředí, aby mohl být použit ke spuštění katastrofického útoku. Jeden Stačí.

Protokol využívaný útoky WannaCry a NotPetya není jediný, který je notoricky vysoce rizikový a stále se vyskytuje ve výpočetních prostředích.

70 % prostředí má stále alespoň deset zařízení využívajících protokol LLMNR (Link-Local Multicast Name Resolution), který se používá při spoofingových útocích od roku 2007. LLMNR může oklamat oběť, aby odhalila své přihlašovací údaje tím, že jí poskytne přístup k odpovídající hashcode. To útočníkovi umožní získat identifikátory, zejména pokud nebyly deaktivovány staré techniky související se správou hesel v prostředí Microsoftu, jako je LANMAN. Identifikátory umožňují kyberzločincům provádět boční pohyby, aby se mohli pohybovat v rámci sítě podle libosti.

Dnes jsme jeden! A v prvním roce jsme vám pomohli převést *150 milionů GBP doživotní vklady z bank a… https://t.co/pZN2qQrz8Z

— Switch It Pá 23. dubna 14:54:44 +0000 2021

Ještě znepokojivější statistikou je, že 34 % prostředí má deset nebo více koncových bodů, na kterých běží New Technology LAN Manager (NTLM), jednoduchá metoda ověřování, kterou lze během několika hodin snadno zneužít k získání platných přihlašovacích údajů.

V roce 2012 bylo prokázáno, že jakoukoli možnou permutaci 8bajtového hashkódu v protokolu NTLM lze prolomit za méně než šest hodin. V roce 2019 se ukázalo, že HashCat, open-source nástroj pro obnovu hesla, dokáže prolomit jakýkoli 8bajtový hashcode za méně než dvě a půl hodiny.

Ostřílený hacker může snadno zachytit NTLM hashcode ekvivalentní tolika heslům nebo dokonce prolomit offline hesla NTLMv1. Využití chyby ověřování NTLMv1 může útočníkovi umožnit spustit útoky typu MITM (Machine in the Middle) nebo dokonce převzít plnou kontrolu nad doménou.

Problémem není pouze používání nezabezpečených protokolů, ale také frekvence — zneužití — běžných protokolů v podnikových prostředích.

Vezměte si příklad HTTP (Hypertext Transfer Protocol), což je univerzální protokol internetu. Zatímco HTTP není ze své podstaty problematický, jeho použití pro přenos citlivých dat je vysoce rizikové. Když jsou data přenášena přes HTTP, přihlašovací údaje jsou odhaleny, což z něj činí ideální cíl pro hackery k zachycení a krádeži důvěrných informací. Aby se to napravilo, byla vytvořena bezpečnější verze HTTPS, která společnostem umožňuje bezpečně zpracovávat informace na internetu pomocí šifrování komunikace mezi klientskými pracovními stanicemi a servery. Google podnikl rozhodné kroky k postupnému nahrazení HTTP protokolem HTTPS tím, že všechny weby, které nepoužívají HTTPS, označil za nezabezpečené. Studie však odhaluje, že 81 % podnikových prostředí stále používá nezabezpečené přihlašovací údaje HTTP, díky čemuž jsou tyto společnosti a jejich zaměstnanci náchylní k útokům.

Odstranění nezabezpečených protokolů

Rozšíření distribuovaných pracovních sil a hybridních prostředí, které mísí místní a cloudové komponenty, dále zvýšilo příležitosti pro zavedení nezabezpečených protokolů do sítí a také ztížilo vést jejich přesný soupis.

Ruční audity poskytují pouze obraz sítě v okamžiku T, proto je nutné sledovat provoz, aby bylo možné identifikovat protokoly a hrozby, kterým je třeba čelit. Sledováním a analýzou provozu pomocí softwaru pro detekci a odezvu sítě (NDR) mohou organizace objevit všechny protokoly používané v jejich síti a identifikovat ty, které by mohly být zneužity ke škodlivým účelům. Analýza strojového učení síťových dat v cloudovém měřítku navíc pomáhá chránit sítě před hackery tím, že profiluje, jaké přístupy by měly být považovány za normální. To umožní IT týmům vytvářet seznamy a určovat, které hrozby a anomálie mají v budoucnu hledat.

Zatímco složitost kybernetických hrozeb neustále narůstá, řada útoků je stále prováděna prostřednictvím využívání nedostatků a technik, které jsou roky staré. Firmy se proto musí zaměřit na základní aspekty IT hygieny, aby eliminovaly nezabezpečené protokoly. Tím, že zajistí uzamčení svých vstupních bodů, mohou týmy kybernetické bezpečnosti zaměřit svůj čas na proaktivní spíše než reaktivní obrannou strategii a spolehnout se na systémy, které jim umožňují sledovat minulost, přítomnost a budoucnost, aby byla zajištěna bezpečnost společnosti.___________________

Od Riada Nassoua, regionálního manažera prodeje ve společnosti ExtraHop