Kriptografi büyük ölçüde hafife alınıyor – nadiren değerlendiriliyor veya kontrol ediliyor – saldırı yüzeyleri genişlemeye devam ettikçe, veri ihlali maliyeti yıldan yıla arttıkça ve kuantum hesaplama çağı yaklaştıkça işletmeler için yıkıcı sonuçlar doğurabilecek bir uygulama. Quantum Xchange’e.
200 terabayttan fazla ağ trafiğinin (veya tüm çiftler arasındaki tüm bağlantılar için tüm paketlerin toplam toplamının) incelenmesinde, %80’e kadarının şifrelemesinde yenilebilir bir kusur olduğu ve trafiğin %61’inin şifrelenmemiş olduğu bulundu.
Analiz edilen tek, çift yönlü TCP veya UDP bağlantılarının %56,5’i şifrelenmemişken, şifreli bağlantıların %43,4’ü şifresizdir.
Güncelliğini yitirmiş kriptografik protokollerin ısrarla kullanılması endişelere yol açıyor
Eski, modası geçmiş kriptografik protokoller TLS 1.0 ve SSL v3, sağlık hizmetleri ve yüksek öğrenim gibi endüstrilerin yavaş değişmesi nedeniyle günümüzde hala yaygın olarak kullanılmaktadır. Daha da endişe verici olanı, bir hastane ağındaki tüm trafiğin %92’ye kadarının hiçbir şifreleme kullanmamasıdır. Bu, laissez faire tutumunu ve üretimdeki “çalışan” sistemleri güncelleme konusunda genel isteksizliği akla getiriyor.
Güçlü kriptografi, sigorta kapsamı için temel bir gerekliliktir. Sağlık hizmetlerinin bu kadar geride kaldığını görmek korkutucu.
Ana bilgisayar çiftlerinin %45’i şifrelenmemiş bir kanal aracılığıyla iletişim kurar. Şifrelenmiş, ana bilgisayardan ana bilgisayara ilişkilerin %87’si hâlâ TLS 1.2 kullanıyor; bu da sürümler arasındaki önemli farklar göz önüne alındığında önemsiz bir yükseltme değil, TLS 1.3’e büyük bir geçişin hâlâ yolda olduğunu gösteriyor.
Sağlık hizmetleri gibi sektörlerde TLS 1.1 ve 1.0 kullanımında önemli bir uzun kuyruk var; SSL v3 bile korkutucu derecede yüksek hacimlerde bulunabiliyor. Bu, “bozuk değilse tamir etmeyin” tavrını ve güncelliği geçmiş de olsa, üretimdeki sistemleri güncelleme konusunda genel bir isteksizliği akla getiriyor.
Quantum Xchange Baş Stratejisti Vince Berk, “Bu bulgular, dünya çapındaki kurumsal sistemlerde neler olup bittiğinin anlık görüntüsünü sunuyor” dedi. “Şifrelemeniz kurşun geçirmez değilse sıfır güvenin hiçbir anlamı yoktur. Kuruluşların bu zayıflıkları destekleyebilmeleri ve sistemlerini günlük siber güvenlik risklerinden ve henüz keşfedilmemiş tehditlerden daha iyi koruyabilmeleri için kriptografiyle ilgili şu an ve burada sorununa farkındalık getirmeye çalışıyoruz.”