67% các tổ chức trên toàn cầu vẫn có thể bị ảnh hưởng bởi WannaCry sau 4 năm
Nhà cung cấp giải pháp bảo mật ExtraHop (trụ sở tại Mỹ) đã sử dụng các giải pháp phát hiện và phản hồi mạng (NDR) của họ để phân tích siêu dữ liệu ẩn danh từ một số lượng mạng khách hàng không xác định, nhằm hiểu rõ hơn về những mục tiêu có thể dễ bị tấn công nhắm vào các giao thức lỗi thời.
Nghiên cứu cho thấy, các tổ chức vẫn còn sử dụng giao thức Server Message Block phiên bản 1 (SMBv1), chứa lỗ hổng tràn bộ đệm có thể bị khai thác bởi công cụ EternalBlue của Cơ quan an ninh quốc gia Mỹ (NSA) phát triển và các công cụ tấn công liên quan.
Những công cụ này sau đó đã được tin tặc Triều Tiên sử dụng cho tấn công mã độc tống tiền WannaCry và tin tặc Nga sử dụng cho chiến dịch tấn công mã độc tống tiền NotPetya.
Đây không phải là giao thức không an toàn duy nhất mà các tổ chức vẫn sử dụng. ExtraHop phát hiện ra rằng, 81% tổ chức vẫn sử dụng giao thức xác thực đăng nhập HTTP dạng văn bản rõ và 34% tổ chức có ít nhất 10 máy khách sử dụng giao thức xác thực NTLMv1, có thể cho phép tin tặc thực hiện tấn công người đứng giữa (MITM) hoặc kiểm soát hoàn toàn một tên miền.
Báo cáo cũng cảnh báo rằng, 70% tổ chức cũng đang sử dụng giao thức phân giải tên luồng đa phát liên kết cục bộ (LLMNR), có thể bị lợi dụng để truy cập vào hàm băm của thông tin xác thực người dùng. Thông tin này có thể bị phá và sẽ để lộ lọt thông tin đăng nhập.
Ông Ted Driggs, trưởng bộ phận sản phẩm của ExtraHop cho rằng không phải lúc nào các tổ chức cũng dễ dàng nâng cấp lên các giao thức mới và an toàn hơn.
Ông Ted giải thích, nâng cấp SMBv1 và các giao thức lỗi thời khác có thể không phải là điều dễ thực hiện đối với các hệ thống cũ, ngay cả khi điều này có thể thực hiện, thì việc nâng cấp có thể gây ra sự cố gián đoạn. Nhiều tổ chức công nghệ thông tin và bảo mật sẽ lựa chọn việc tiếp tục sử dụng các giao thức lỗi thời thay vì chịu rủi ro gián đoạn hoạt động.
Ông cũng cho biết, các tổ chức cần kiểm kê chính xác và cập nhật về hành vi sử dụng tài sản công nghệ thông tin, để đánh giá được tình hình rủi ro liên quan đến các giao thức không an toàn. Chỉ khi đó, họ mới có thể quyết định cách khắc phục sự cố hoặc hạn chế phạm vi tiếp cận các hệ thống dễ bị tấn công trên mạng.
Đỗ Đoàn Kết
(theo Infosecurity)