Neueste Nachrichten über Technologie und Cybersicherheit

Aktuelle Seite: Startseite / Cyber Security News / Security Navigator Forschung: Einige Sicherheitslücken reichen bis ins letzte Jahrtausend zurück

Die Ergebnisse der Schwachstellenanalyse im Security Navigator von Orange Cyberdefenses zeigen, dass einige Schwachstellen, die erstmals 1999 entdeckt wurden, auch heute noch in Netzwerken zu finden sind. Dies ist besorgniserregend.

Alter der VOC-Ergebnisse

Unsere Schwachstellen-Scans werden in regelmäßigen Abständen durchgeführt, was uns die Möglichkeit gibt, den Unterschied zwischen dem Zeitpunkt, an dem ein Asset gescannt wurde, und dem Zeitpunkt, an dem ein bestimmter Befund zu diesem Asset gemeldet wurde, zu untersuchen. Wir können dies als das „Alter“ des Fundes bezeichnen. Wenn die zuerst gemeldeten Befunde nicht behoben werden, treten sie mit zunehmendem Alter in immer mehr Scans auf, so dass wir verfolgen können, wie sich das Alter der gemeldeten Befunde im Laufe der Zeit verändert.

Wie das nachstehende Diagramm deutlich zeigt, ist die Mehrheit der tatsächlichen Befunde in unserem Datensatz über alle Schweregrade hinweg zwischen 75 und 225 Tagen alt. Es gibt eine zweite „Spitze“ bei etwa 300 Tagen, von der wir vermuten, dass sie eher mit dem Alter der Daten im Datensatz zu tun hat und daher ignoriert werden kann. Schließlich gibt es eine faszinierende „Beule“ bei etwa 1.000 Tagen, die unserer Meinung nach den „langen Schwanz“ von Feststellungen im Datensatz darstellt, die einfach nie angesprochen werden.

75 % der Feststellungen im 1000-Tage-Stoß sind von mittlerer Schwere, aber 16 % sind als hoch oder kritisch eingestuft.

Das durchschnittliche Alter der Feststellungen in unserem Datensatz wird ebenso sehr durch Veränderungen bei unseren Kunden und Vermögenswerten beeinflusst wie durch externe Faktoren, was sich in der großen Schwankungsbreite zeigt. Dennoch ist ein deutlicher Anstieg des durchschnittlichen Alters der Feststellungen um 241 % von 63 auf 215 Tage in den 24 Monaten festzustellen, seit wir Kunden in diese Plattform einbinden.

Eine grobe Gruppierung der bestätigten Feststellungen aus unseren Schwachstellen-Scandaten nach „Altersgruppe“ ergibt folgendes Bild:

  • Nur 20 % aller Feststellungen werden in weniger als 30 Tagen behoben
  • 80 % aller Feststellungen benötigen 30 Tage oder mehr zur Behebung
  • Bei 57 % aller Befunde dauert es 90 Tage oder länger, bis sie behoben sind.
  • 215 Tage Durchschnitt

Durchschnittliches/maximales Alter der Befunde nach Schweregrad

Aus dem nachstehenden Diagramm geht hervor, dass selbst kritische Schwachstellen im Durchschnitt etwa 6 Monate für die Behebung benötigen, was aber erfreulicherweise mindestens 36 % schneller ist als die Zeit für Probleme mit geringem Schweregrad.

Bei genauerer Betrachtung der Werte für die durchschnittliche und die maximale Zeit für verschiedene Schweregrade ergibt sich das folgende Diagramm.

Während unsere Schlussfolgerung, dass kritische Probleme schneller gelöst werden, für die durchschnittliche Dauer der Problembehebung gilt, ist die maximale Dauer unabhängig von der Kritikalität gleichbleibend hoch.

Wir werden diese Metrik in Zukunft noch genauer beobachten müssen, wenn der Datensatz wächst.

Vergleich mit der Industrie

Das Höchstalter der Feststellungen in der nachstehenden Ansicht ist ein Hinweis darauf, wie lange die Kunden dieser Branche bereits in unserem Datensatz vorhanden sind, während das Durchschnittsalter ein besserer Indikator dafür ist, wie gut die Kunden die von uns gemeldeten Probleme angehen. Branchen mit hohen Höchstwerten und niedrigen Durchschnittswerten würden also am besten abschneiden, hohe Höchstwerte und hohe Durchschnittswerte… am schlechtesten. Branchen mit sehr niedrigem Höchstalter sind wahrscheinlich noch nicht sehr lange im Datensatz enthalten und sollten daher vielleicht nicht in Vergleiche zu dieser Metrik einbezogen werden.

Unabhängig davon, wie diese Branchen verglichen werden, ist das festgestellte Alter eine wichtige Kennzahl.

Wie alt sind diese Schwachstellen wirklich?

Bislang haben wir nur die relative Zeitspanne zwischen dem Zeitpunkt, an dem wir eine Schwachstelle in einer Anlage gefunden haben, und dem jetzigen Zeitpunkt (falls sie noch vorhanden ist) betrachtet. Das gibt uns jedoch keine Informationen darüber, wie alt diese Schwachstellen wirklich sind. Wenn wir uns die gefundenen CVEs genauer ansehen, können wir ihr Veröffentlichungsdatum analysieren. Die Ergebnisse sind etwas verwirrend, scheinen aber zu dem Bild zu passen, das sich ergibt: Aus dem einen oder anderen Grund werden einige Schwachstellen einfach nicht behoben, niemals. Sie werden zu einem Teil der Sicherheitsschulden, die Unternehmen anhäufen.

  • 0,5 % der gemeldeten CVEs sind 20 Jahre alt oder älter
  • 13 % der gemeldeten CVEs sind 10 Jahre alt oder älter
  • 47% der CVEs sind 5 Jahre alt oder älter

Schlussfolgerung

Jeden Tag werden mehr als 22 Sicherheitslücken mit zugewiesenen CVEs veröffentlicht. Mit einem durchschnittlichen CVSS-Score von über 7 (hoher Schweregrad) ist jede dieser veröffentlichten Schwachstellen ein wichtiger Datenpunkt, der unsere Risikogleichungen und unsere tatsächliche Gefährdung durch Bedrohungen beeinflusst.

Schwachstellen-Scans und Penetrationstests sind Mechanismen, die wir nutzen, um die Schwachstellen, die unsere Sicherheitslage beeinträchtigen könnten, zu erkennen, ihre potenziellen Auswirkungen zu verstehen, Prioritäten zu setzen und geeignete Maßnahmen zu ergreifen. Diese beiden Bewertungsübungen unterscheiden sich in ihrem Ansatz, verwenden aber eine ähnliche Sprache und dienen einem ähnlichen Zweck.

In diesem Jahr nehmen wir eine Analyse von Datensätzen aus beiden Diensten in den Navigator auf. Dies ist das erste Mal, dass wir dies versuchen, und unsere Daten sind noch lange nicht perfekt.

Was wir klar erkennen können, ist, dass wir uns schwer tun, die uns bekannten Schwachstellen zu verwalten. Im Durchschnitt brauchen unsere Kunden 215 Tage, um eine von uns gemeldete Sicherheitslücke zu schließen. Bei kritischen Schwachstellen ist der Zeitaufwand etwas geringer – diese werden offenbar 36 % schneller gepatcht als Schwachstellen mit geringem Schweregrad. Aber das Bild ist immer noch düster: Bei 80 % aller Schwachstellen dauert es 30 Tage oder länger, bis sie gepatcht sind, bei 57 % sogar 90 Tage oder länger.

Unsere Pentesting-Teams entdecken immer noch Schwachstellen, die erstmals im Jahr 2010 identifiziert wurden, und unsere Scanning-Teams stoßen auf Probleme, die bis ins Jahr 1999 zurückreichen! In der Tat sind 47 % der CVEs 5 Jahre oder älter. 13 % sind sogar 10 Jahre oder mehr alt. Dies ist ein besorgniserregendes Ergebnis.

Dies ist nur ein Auszug aus der Analyse. Weitere Details, wie die Kritikalität von Schwachstellen und die Veränderungen der Pentesting- und VOC-Scanergebnisse im Laufe der Zeit (sowie eine Menge anderer interessanter Forschungsthemen), finden Sie im Security Navigator. Er ist kostenlos, also schauen Sie doch mal rein. Es lohnt sich!

Hinweis: Dieser informative Beitrag wurde von Charl van der Walt, Leiter der Sicherheitsforschung bei Orange Cyberdefense, fachkundig verfasst und großzügig zur Verfügung gestellt.

Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.