En ny rapport fra cybersikkerhedsvirksomheden Randori har kategoriseret de mest fristende internet-eksponerede aktiver, som en angriber sandsynligvis vil gå efter og udnytte, og finder ud af, at en ud af 15 organisationer i øjeblikket kører en version af SolarWinds, der vides at blive udnyttet aktivt.
I rapporten 2021 Randori Attack Surface Report tildelte forskere hvert aktiv et “fristelsesresultat” – effektivt sandsynligheden for, at en angriber går efter det. Ethvert eksponeret aktiv med en score over 30 anses for at være højt, idet de højest placerede aktiver i øjeblikket inden for deres korpus når en angriberes fristelses score på 55. Den version af SolarWinds, der aktivt udnyttes, har en gennemsnitlig fristelses score på 40.
Rapporten fandt ud af, at mere end 25% af organisationerne har RDP udsat for internettet, mens 15% af organisationerne stadig kører forældede versioner af IIS 6, som ikke har været understøttet af Microsoft i seks år. Randori gav IIS 6 en fristelses score på 37.
Næsten 40% af organisationerne bruger Ciscos Adaptive Security Appliance (ASA) firewall, der har en historik med offentlige sårbarheder og en fristelses score på 37. Næsten halvdelen af alle organisationer driver Citrix NetScaler, der har en score på 33 og flere offentlige udnyttelser.
Både CiscoWeb VPN og Palo Alto Global Protect sluttede sig til Citrix NetScaler som VPN'er opført i rapporten med høje Temptation Scores.
Kun 3% af organisationerne kører stadig versioner af Microsoft Outlook Web Access men dette skræmte Randori -forskere, der noterede sig de seneste Exchange -hacks og flere kendte bedrifter for værktøjet. Det var en af de højeste på Temptation Score -skalaen ved 38.
“Mange af de eksponerede aktiver-som SolarWinds og OWA-er der på grund af uvidenhed, ikke uagtsomhed. Organisationer kæmper for at vide, hvad de har afsløret på internettet. Cloudmigration og boom-from-home boom øgede dramatisk antallet af eksponerede aktiver – men det er muligt at implementere sikkerhedsforanstaltninger for at hjælpe dig med at sikre det ukendte, “sagde David Wolpoff, CTO i Randori, til ZDNet.
Rapporten bemærker, at SolarWinds-spørgsmålet rangerede højt i rapporten, fordi det har offentliggjort sårbarheder, det er en missionskritisk teknologi for mange virksomheder, og det er meget udbredt.
“Mange antager, at prioritering baseret på sårbarhedens sværhedsgrad vil holde dig i sikkerhed. Men det er simpelthen ikke sandt. Angribere tænker anderledes, og sårbarhedens sværhedsgrad er blot en af mange faktorer, som en angriber vejer. Vores håb med at frigive denne rapport er, at folk vil komme dybere ind i angriberens tankegang, anvende angriberlogik til deres sikkerhedsprogrammer og komme et skridt foran, «sagde Wolpoff.
Wolpoff forklarede, at rapporten er baseret på angrebsoverfladedata fra millioner af interneteksponerede aktiver og bemærkede, at The Temptation Score anvender en proprietær vægtning af seks forskellige attributter for at bestemme et fristelses score for et aktiv: optællbarhed, udnyttelighed, kritikalitet, anvendelighed, efterudnyttelsespotentiale og forskningspotentiale.
Wolpoff sagde, at han hele tiden er overrasket over at se, at lav indsats, let at bryde ind-angreb stadig fungerer på succesrige virksomheder-som udnyttelige OWA.
“Det, der slår mig, er den manglende fokus på det grundlæggende, f.eks. at hærde standardkonfigurationerne eller se standardindstillinger, der indeholder admin/admin som brugernavn og adgangskode. Antallet af gange, som standardbrugernavn og adgangskode er 'admin/admin' har fået os i bokse er ekstremt overraskende, “sagde Wolpoff.
“For eksempel kører mange virksomheder gamle Microsoft OWA med standardindstillingerne – afslører navn, version og endnu bedre konfigurationsoplysninger! Jo mere en angriber ved om et system, jo mere fristende er det – det gør det lettere for en angriber at krydstjekke for at se, om der er nogen kendt offentlig sårbarhed eller bedrifter, der er våbenudstyret mod den specifikke version og for at bekræfte, om en udnyttelse vil lande. “
Han var også chokeret over den høje procentdel af folk, der ikke bruger MFA, og forklarer, at hans angrebsteam ofte udfører et angreb med tidligere oplyste legitimationsoplysninger, fordi MFA ikke blev indsat.
Wolpoff foreslog, at sikkerhedsteam altid ændrer standardindstillingerne, så versionsnummeret ikke er offentligt synligt og bemærker, at hvis virksomheder ikke er i stand til at lappe eller opgradere et værktøj, bør de i det mindste skjule det.
Han opfordrede sikkerhedsteams til at finde måder at reducere deres angrebsoverflader ved at tage ting offline eller deaktivere funktioner, der ikke bruges. Det er ikke længere hensigtsmæssigt for organisationer at nøjes med den konfiguration, fabrikanten angiver som standard, og Wolpoff tilføjede, at virksomheder skulle segmentere kritiske aktiver samt apparater og IoT -enheder.
Sikkerhed
Når din VPN er et spørgsmål om liv eller død, skal du ikke stole på anmeldelser Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -CEO bekræfter afbrydelser forårsaget ved DDoS-angreb Disse systemer står over for milliarder af angreb hver måned, da hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersikkerhed Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Cloud Security TV Datahåndtering CXO datacentre 