Depuis l’invasion de l’Ukraine par la Russie, les gouvernements et les experts en sécurité du monde entier ont constaté une augmentation significative des cyberattaques. L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et d’autres agences gouvernementales telles que l’ENISA, le CERT-UE, l’ACSC et le SingCERT ont vivement encouragé les entreprises à se concentrer sur le renforcement de leur sécurité globale, en commençant par réduire la probabilité d’une cyber intrusion dommageable. L’une des principales recommandations de ces agences est que les organisations désactivent tous les ports et protocoles inutiles ou non sécurisés.

"Les effets en cascade du conflit entre la Russie et l’Ukraine sur le cyber-paysage soulignent une fois de plus la nécessité d’une posture de cybersécurité plus stricte dans le monde entier, et Singapour n’est en aucun cas une exception. Toutes les entreprises souhaitent que leurs portes numériques soient verrouillées un peu plus que les autres et ce rapport peut les aider à évaluer où elles se situent sur l’échelle du verrouillage à l’ouverture. Si les organisations peuvent comprendre ce qui fonctionne sur leur réseau et les vulnérabilités qui y sont associées, elles auront une visibilité de la surface d’attaque et seront en mesure de prendre des décisions éclairées sur leur risque", a déclaré Daniel Chu, vice-président de l’ingénierie des systèmes, APJ, ExtraHop.

Dans ce nouveau rapport, ExtraHop a effectué une analyse des environnements informatiques des entreprises afin d’évaluer la posture de cybersécurité des organisations sur la base des ports ouverts et de l’exposition des protocoles sensibles, afin que les responsables de la sécurité et de l’informatique puissent évaluer leur posture de risque et la visibilité de leur surface d’attaque par rapport aux autres organisations.

Principales conclusions :
• SSH est le protocole sensible le plus exposé : Secure Shell (SSH) est un protocole bien conçu et doté d’une bonne cryptographie pour accéder en toute sécurité à des dispositifs distants. Il s’agit également de l’un des protocoles les plus utilisés, ce qui en fait une cible privilégiée pour les cybercriminels qui cherchent à accéder et à contrôler des dispositifs dans une entreprise. Soixante-quatre pour cent des organisations ont au moins un appareil qui expose ce protocole sur Internet . L’exposition au protocole LDAP est élevée : Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole d’application ouvert qui maintient des informations d’annuaire distribuées de manière organisée et facile à interroger. Les systèmes Windows utilisent LDAP pour rechercher des noms d’utilisateur dans Active Directory. Par défaut, ces requêtes sont transmises en clair, ce qui donne aux attaquants la possibilité de découvrir les noms d’utilisateur. Avec 41% des organisations ayant au moins un dispositif exposant LDAP sur internet , ce protocole sensible a un facteur de risque surdimensionné.
• Les protocoles de base de données exposés ouvrent la porte aux attaques : Les protocoles de base de données permettent aux utilisateurs et aux logiciels d’interagir avec les bases de données, en insérant, mettant à jour et récupérant des informations. Lorsqu’un dispositif exposé est à l’écoute d’un protocole de base de données, il expose également la base de données. Vingt-quatre pour cent des organisations ont au moins un dispositif exposant Tabular Data Stream (TDS) sur internet . Ce protocole Microsoft de communication avec les bases de données transmet les données en clair, ce qui le rend vulnérable à l’interception.
• Protocoles de serveur de fichiers à risque : Si l’on examine les quatre types de protocoles (protocoles de serveur de fichiers, protocoles d’annuaire, protocoles de base de données et protocoles de contrôle à distance), la grande majorité des cyberattaques se produisent en utilisant les protocoles de serveur de fichiers, qui impliquent que les attaquants déplacent des fichiers d’un endroit à un autre. Trente et un pour cent des organisations ont au moins un dispositif exposant le Server Message Block (SMB) sur internet .
• FTP n’est pas aussi sûr qu’il puisse l’être : Le protocole de transfert de fichiers (FTP) n’est pas un protocole d’accès aux fichiers à part entière. Il envoie des fichiers sur les réseaux sous forme de flux et n’offre pratiquement aucune sécurité. Il transmet les données, y compris les noms d’utilisateur et les mots de passe, en texte clair, ce qui rend ses données faciles à intercepter. Alors qu’il existe au moins deux alternatives sécurisées, 36% des organisations exposent au moins un appareil utilisant ce protocole sur internet .
• L’utilisation des protocoles diffère selon les secteurs : Cela indique que les différents secteurs investissent dans des technologies différentes et ont des exigences différentes en matière de stockage des données et d’interaction avec les utilisateurs distants. Si l’on considère l’ensemble des secteurs d’activité, SMB est le protocole le plus répandu.
o Dans les services financiers, SMB est exposé dans 28% des organisations.
o Dans le secteur de la santé, le protocole SMB est exposé dans 51 % des organisations.
o Dans l’industrie manufacturière, le protocole SMB est exposé dans 22 % des organisations.
o Dans le secteur du commerce de détail, le SMB est exposé dans 36% des organisations.
o Dans le secteur des administrations locales et d’État, il est exposé dans 45 % des organisations.
o Dans le secteur de la technologie, le SMB est exposé dans 19% des organisations.
• Les organisations continuent à utiliser Telnet : Telnet, un ancien protocole de connexion à des dispositifs distants, est déprécié depuis 2002. Pourtant, 12 % des entreprises ont au moins un appareil qui expose ce protocole sur internet. En tant que meilleure pratique, les organisations informatiques devraient désactiver Telnet partout où il se trouve sur leur réseau.

"Les ports et les protocoles sont essentiellement les portes et les couloirs que les attaquants utilisent pour explorer les réseaux et causer des dommages", a déclaré Jeff Costlow, CISO, ExtraHop. "C’est pourquoi il est si important de savoir quels protocoles sont exécutés sur votre réseau et quelles vulnérabilités leur sont associées. Cela donne aux défenseurs les connaissances nécessaires pour prendre une décision éclairée sur leur tolérance au risque et prendre des mesures - telles que le maintien d’un inventaire continu des logiciels et du matériel dans un environnement, l’application de correctifs aux logiciels de manière rapide et continue, et l’investissement dans des outils de visibilité et d’analyse en temps réel - pour améliorer leur préparation à la cybersécurité."