Print:

Cybercrime vaart wel bij patch mismanagement

Redactie IIR, Trainingen en congressen

LinkedIn profiel

7 verborgen manieren waarop menselijk gedrag uw beveiliging ondergraaft

Falend patch management is een belangrijke redenen voor het succes van cybercrime. Dat is een van de conclusies die beveiligingsexpert Solutionary heeft getrokken. Botnets worden genoemd als de grootste concrete bedreiging.

Solutionary, een Amerikaanse managed security services provider, heeft vorig jaar de netwerken van al hun klanten gescand, inclusief 139.000 netwerkapparaten (intrusion-detection systemen, firewalls, routers et cetera). Daarbij werden zo’n 300 miljoen ‘events’ geanalyseerd, samen met 3 biljoen logs van beveiligingsincidenten. Solutionary maakte daarvoor gebruik van de producten van diverse leveranciers, waaronder Qualys, Tenable (Nessus), Saint, Rapid7, Tripwire (nCircle) en BeyondTrust (Retina).

Solutionary nam in hun rapport ook exploit kits onder de loep die vanaf 2006 door hackers werden en worden gebruikt. Het bedrijf ontdekte dat, van de kwetsbaarheden die zij het afgelopen jaar door middel van de scans bij hun klanten zichtbaar wisten te maken, de helft al tussen 2004 en 2011 gedocumenteerd en van een CVE-nummer was voorzien (CVE: Common Vulnerabilities and Exposures, een databank voor bekende kwetsbaarheden in computersystemen).

“Dat wil zeggen dat de helft van de kwetsbaarheden die wij hebben gevonden al minstens twee jaar lang publiekelijk bekend waren, en toch stonden ze nog steeds open en bloot op misbruik te wachten,” aldus Solutionary in hun rapport. “Onze gegevens tonen aan dat veel organisaties vandaag de dag nog steeds niet door hebben wat er speelt, niet de kennis in huis hebben om er tegen op te treden, of simpelweg het belang niet inzien van het tijdig aanpakken van dit soort kwetsbaarheden.”

Het bleek niet ongebruikelijk een bedrijf tegen te komen dat tot wel 200 dagen nodig had om de gaten te stoppen en alle benodigde patches te draaien. “Die taken worden gewoon ergens over de schutting geworpen,” zegt Don Gray, chief security strategist bij Solutionary. Volgens hem wordt nauwelijks effectief gereageerd op de informatie die uit de vulnerability assessments naar voren komt, al geeft hij wel aan dat netwerken die vallen onder de wet- en regelgeving van de Payment Card Industry (PCI) over het algemeen “enigszins” beter worden onderhouden.

In het rapport merkt Solutionary ook op dat het effectief bijhouden van beveiligingslogs een uitdaging blijft. Om Solutionary de logs te laten scannen, moeten klanten de details doorgeven van de apparaten, platformen, applicaties en databases die ze gebruiken, maar als de organisaties die informatie proberen te verzamelen, ontdekt ongeveer de helft dat ze informatietechnologie in huis hebben waar ze niet eens wisten dat het er was.

Daarnaast heeft een derde van de organisaties in elk geval een deel van de IT infrastructuur op zo’n manier geconfigureerd dat er onvoldoende informatie uit is te halen om een uitspraak over de staat van de beveiliging te kunnen doen. Niet alleen is dat een probleem met het oog op compliancy, zoals bijvoorbeeld voor de wet- en regelgeving van de PCI; het is ook kwalijk omdat dat betekent dat belangrijke middelen ongebruikt blijven om bijvoorbeeld te detecteren dat aanvallers het netwerk hebben betreden.

Ook de reactie op incidenten laat te wensen over, stelt het rapport. In 77 procent van de gevallen waarin Solutionary in het afgelopen jaar te hulp werd geroepen bij beveiligingsincidenten, bleek dat de klanten geen teams of procedures hadden geformeerd om op dergelijke toch vaak ernstige beveiligingsincidenten te kunnen reageren. De resterende 23 procent was wel enigszins voorbereid, maar meestal tamelijk plichtmatig en slecht gemanaged.

Opvallend is dat Solutionary in het rapport tamelijk sceptisch is over de waarde van anti-virussoftware. Volgens het bedrijf werd maar liefst 71 procent van alle malware die het zelf verzamelde in ‘virtuele lokdozen’ niet opgemerkt door meer dan 40 anti-virusproducten. Solutionary benadrukt dat het daarmee niet wil zeggen dat anti-virusproducten zinloos zijn, maar wel dat het zeer raadzaam is er met andere vormen van beveiliging aan toe te voegen.

In de analyse van de soorten aanvallen waar de klantorganisaties het afgelopen jaar me te maken kregen, bleek vooral de doelgerichte aanval door een botnet veel voor te komen (43 procent van alle aanvallen). De rest van de dreiging werd verdeeld onder DDoS-aanvallen, op specifieke applicaties gerichte aanvallen, op specifieke diensten gerichte aanvallen, en zogenaamde netwerkmanipulatie zoals DNS-aanvallen (plus nog een buitencategorie van aanvallen die buiten deze classificaties vallen).

De meeste moderne malware is ontworpen om op afstand bediend te worden door command-and-control servers, die in handen zijn van criminelen die op jacht zijn naar kostbare informatie. De sombere conclusie is volgens Solutionary dat tegenwoordig nog maar heel weinig een gerichte aanval door stand-alone malware in de weg staat.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten