Turvattomien protokollien riski yritysympäristöissä. Riad Nassou, ExtraHop

Tänä vuonna on nähty tähän mennessä suurimpia ja vahingollisimpia kiristysohjelmahyökkäyksiä. Viime toukokuussa vain viiden päivän aikana kaksi laajamittaista kyberhyökkäystä ravisteli julkisia ja yksityisiä yrityksiä ympäri maailmaa. Ensimmäinen, Colonial Pipeline -putkia vastaan ​​suunnattu hyökkäys halvaansi yhden tärkeimmistä öljyputkista viikoksi ja nosti bensiinin hinnan Yhdysvalloissa tasolle, jota ei ole nähty vuoden 2014 jälkeen. Toinen Irlannin kansanterveysjärjestelmää vastaan ​​suunnattu hyökkäys on johti tuhansien tapaamisten, syöpähoitojen ja leikkausten peruuttamiseen tai lykkäämiseen sekä potilastietojen laittamiseen verkkoon.

Äskettäin IT-yritys Kaseya joutui historian suurimman kiristysohjelmahyökkäyksen uhriksi. Kyberrikolliset vaativat yli 70 miljoonaa dollaria järjestelmien palauttamiseksi ja asiakastietojen avaamiseksi. Tässä tapauksessa hyökkääjät hyökkäsivät vakiintuneeseen mutta vähän tunnettuun ohjelmistoyritykseen ja antoivat heille pääsyn satoihin muihin ympäristöihin aiheuttaakseen vahinkoja, joiden laajuus on vielä määrittämättä.

Kyberhyökkäysten laajuuden, vakavuuden ja tiheyden kasvaessa organisaatiot etsivät uusia tapoja vahvistaa kyberpuolustustaan. Yksi yksinkertaisimmista on poistaa epävarmat protokollat ​​ympäristöstään. Silti nämä, jotka liittyvät erityisesti joihinkin historian kalleimmista kyberhyökkäyksistä, ovat edelleen yllättävän yleisessä käytössä.

Vanhat ja riskialttiit protokollat ​​tekevät yrityksistä haavoittuvia

Vuonna 2017 Server Message Block version 1 (SMBv1) -protokollan Zero Day EternalBlue -virhettä käytettiin kahdessa kuuden viikon sisällä tuhoisassa kiristysohjelmahyökkäyksessä: WannaCry ja NotPetya. Ne ovat saastuttaneet miljoonia tietokoneita yli 150 maassa ja lamauttaen terveydenhuoltojärjestelmiä, kriittistä infrastruktuuria ja kansainvälistä liikennettä. Pelkästään WannaCry-hyökkäys maksoi maailmanlaajuisesti 4,7 miljardia dollaria.

Kuitenkin neljä vuotta EternalBlue-päivityksen jälkeen uusi tutkimus havaitsi, että 67 prosentissa yritysympäristöistä on edelleen vähintään kymmenen laitetta, joissa on SMBv1. Vaikka jälkimmäinen luku saattaa vaikuttaa suhteellisen alhaiselta, Eternal(x)-haavoittuvuuksien mahdollistama koodin etäsuoritus tekee kaikista SMBv1:tä käyttävistä laitteista ponnahduslaudan laajamittaisen hyökkäyksen käynnistämiseen. Vaikka nämä kymmenen laitetta edustavat vain murto-osaa laivastosta, kyberpuolustus ei myönnä vikoja. SMBv1:n ei tarvitse olla jokaisessa tietokoneympäristön laitteessa, jotta sitä voidaan käyttää katastrofaalisen hyökkäyksen käynnistämiseen. Yksi on tarpeeksi.

WannaCry- ja NotPetya-hyökkäysten käyttämä protokolla ei ole ainoa pahamaineisen riskialtis ja edelleen tietokoneympäristöissä esiintyvä protokolla.

70 %:ssa ympäristöistä on edelleen vähintään kymmenen laitetta, jotka käyttävät LLMNR-protokollaa (Link-Local Multicast Name Resolution), jota on käytetty huijaushyökkäyksiä vuodesta 2007 lähtien. LLMNR voi huijata uhrin paljastamaan valtuustietonsa antamalla pääsyn vastaava hash-koodi. Tämä antaa hyökkääjälle mahdollisuuden saada tunnisteet, varsinkin jos vanhoja Microsoft-ympäristön salasanojen hallintaan liittyviä tekniikoita, kuten LANMAN, ei ole poistettu käytöstä. Tunnisteiden avulla kyberrikolliset voivat liikkua sivusuunnassa, jotta he voivat liikkua verkossa haluamallaan tavalla.

Olemme yhtä tänään! Ja ensimmäisenä vuonna olemme auttaneet sinua siirtämään *150 miljoonan punnan elinikäiset talletukset pankeista ja… https://t.co/pZN2qQrz8Z

— Switch It pe 23. huhtikuuta 14:54:44 +0000 2021

Vielä huolestuttavampi tilasto on, että 34 %:ssa ympäristöistä on vähintään kymmenen päätepistettä, jotka käyttävät New Technology LAN Manager (NTLM) -tekniikkaa. Tämä on yksinkertainen todennusmenetelmä, jota voidaan helposti hyödyntää muutamassa tunnissa kelvollisten valtuustietojen saamiseksi.

Vuonna 2012 osoitettiin, että mikä tahansa mahdollinen 8-tavuisen hash-koodin permutaatio NTLM-protokollassa voidaan murtaa alle kuudessa tunnissa. Vuonna 2019 HashCat, avoimen lähdekoodin salasanan palautustyökalu, havaittiin murtavan minkä tahansa 8-tavuisen hashkoodin alle kahdessa ja puolessa tunnissa.

Kokenut hakkeri voi helposti siepata yhtä monta salasanaa vastaavat NTLM-hajakoodit tai jopa murtaa offline-tilassa olevia NTLMv1-salasanoja. NTLMv1-todennusvirheen hyödyntäminen voi antaa hyökkääjälle mahdollisuuden käynnistää MITM (Machine in the Middle) -tyyppisiä hyökkäyksiä tai jopa ottaa toimialueen kokonaan hallintaansa.

Ongelmana ei ole vain turvattomien protokollien käyttö, vaan myös yleisten protokollien väärinkäytön tiheys yritysympäristöissä.

Otetaan esimerkki HTTP:stä (Hypertext Transfer Protocol), joka on Internetin yleisprotokolla. Vaikka HTTP ei ole luonnostaan ​​ongelmallinen, sen käyttö arkaluonteisten tietojen siirtämiseen on suuri riski. Kun dataa siirretään HTTP:n kautta, tunnistetiedot paljastuvat, joten se on ihanteellinen kohde hakkereille luottamuksellisten tietojen sieppaamiseen ja varastamiseen. Tämän korjaamiseksi on luotu turvallisempi versio, HTTPS, jonka avulla yritykset voivat käsitellä tietoja turvallisesti Internetissä salaamalla asiakastyöasemien ja palvelimien välistä viestintää. Google on ryhtynyt määrätietoisiin toimenpiteisiin korvatakseen HTTP:n asteittain HTTPS:llä merkitsemällä kaikki sivustot, jotka eivät käytä jälkimmäistä, suojaamattomiksi. Tutkimus kuitenkin paljastaa, että 81 % yritysympäristöistä käyttää edelleen turvattomia HTTP-tunnistetietoja, mikä tekee näistä yrityksistä ja niiden työntekijöistä alttiina hyökkäyksille.

Poista turvattomat protokollat

Hajautetun työvoiman ja hybridiympäristöjen lisääntyminen, joissa sekoittuvat paikalliset ja pilvikomponentit, on entisestään lisännyt turvattomien protokollien mahdollisuuksia ottaa käyttöön verkkoissa sekä lisännyt pitää niistä tarkkaa luetteloa.

Manuaaliset tarkastukset antavat vain kuvan verkosta tällä hetkellä T, minkä vuoksi on välttämätöntä valvoa liikennettä, jotta voidaan tunnistaa protokollat ​​ja uhat. Seuraamalla ja analysoimalla liikennettä verkon havaitsemis- ja vastausohjelmistolla (NDR) organisaatiot voivat löytää kaikki verkossaan käytössä olevat protokollat ​​ja tunnistaa ne, joita voidaan hyödyntää haitallisiin tarkoituksiin. Lisäksi verkkotietojen pilvimittakaavainen koneoppimisanalyysi auttaa suojaamaan verkkoja hakkeroilta profiloimalla, mitkä yhteydet tulisi katsoa normaaleiksi. Näin IT-tiimit voivat luoda luetteloita ja määrittää, mitä uhkia ja poikkeavuuksia etsitään tulevaisuudessa.

Vaikka kyberuhat ovat yhä monimutkaisempia, useita hyökkäyksiä tehdään edelleen vuosia vanhoja puutteita ja tekniikoita hyödyntämällä. Siksi yritysten on keskityttävä IT-hygienian perusnäkökohtiin turvattomien protokollien poistamiseksi. Varmistamalla, että kyberturvallisuusryhmät lukitsevat sisääntulopisteensä, voivat keskittää aikansa ennakoivaan puolustusstrategiaan reaktiivisen sijaan ja luottaa järjestelmiin, joiden avulla he voivat seurata menneisyyttä, nykyisyyttä ja tulevaisuutta yrityksen turvallisuuden varmistamiseksi._______________________

Kirjoittaja Riad Nassou, ExtraHopin alueellinen myyntipäällikkö