Qualys' neue Untersuchungen zu den Laws of Vulnerabilities zeigen wachsende Bedrohung für interne Netzwerke
13.10.2004, 10 Uhr - Kafka Kommunikation
Qualys-Erkenntnisse fließen in die aktuell SANS Top-20-Liste ein
(press1: iBOT) - München, den 13. Oktober 2004 - Gerhard Eschelbeck, CTO von Qualys™, Inc., dem führenden Anbieter von On-Demand-Lösungen für Schwachstellenmanagement, stellt in der Weiterführung seiner bekannten Studie "Laws of Vulnerabilities" neue Untersuchungen vor. Die "Laws of Vulnerabilities" (Gesetze der Sicherheitslücken) werden vom branchenweit größten Datenbestand zu Sicherheitslücken in Unternehmens-Netzwerken hergeleitet. Die neuen Untersuchungen machen deutlich, dass im Lauf des letzten Jahres zwar erhebliche Fortschritte beim Schutz des Netzwerkperimeters erzielt wurden, die Gefahr von Angriffen auf Systeme innerhalb von Firmennetzen jedoch gewachsen ist. In die "SANS 20"-Liste der gravierendsten Sicherheitslücken sind die jüngsten Forschungsergebnisse eingeflossen, die Eschelbeck im Rahmen seiner eingehenden Untersuchung von Sicherheitslücken und deren Verhaltensmustern gewonnen hat. Der SANS 20-Index wird jedes Jahr anhand systematischer Analysen von Sicherheitslücken erstellt, die von Security-Experten der führenden unabhängigen Institutionen durchgeführt wurden.
Die Untersuchung basiert auf der statistischen Analyse von nahezu vier Millionen kritischen Sicherheitslücken, die über einen Zeitraum von zweieinhalb Jahren erfasst wurden. Sie zeigt, dass im Lauf des vergangenen Jahres zwar einige Fortschritte beim Schutz des Netzwerkperimeters erzielt werden konnten, die Systeme innerhalb von Firmennetzen jedoch sogar noch anfälliger für Angriffe geworden sind.
Die Daten zeigen insbesondere, dass Firmen derzeit im Schnitt 62 Tage benötigen, um ihre internen Systeme zu patchen - im Gegensatz zu 21 Tagen bei Systemen, die direkt ans Internet angebunden sind. Innerhalb dieses Zeitfensters sind interne Systeme und Anwendungen, wie etwa Internet-Browser und Mail-Server, anfällig für Angriffe. Diese und weitere Trends wurden aus der statistischen Analyse von nahezu 4 Millionen kritischen Sicherheitslücken abgeleitet, die bei 6,5 Millionen Scans während eines Zeitraums von zweieinhalb Jahren erfasst wurden. Im vergangenen Jahr beruhte die Untersuchung auf 1,5 Millionen Scans.
"Die Untersuchungen belegen eindeutig, dass die Sicherheitslage interner Netze weiterhin höchst besorgniserregend ist. Erstmals stehen uns jetzt reale Daten zur Verfügung, die zeigen, wie angreifbar diese Systeme tatsächlich sind. Unsere Branche kann sich nicht nur auf das Grenznetz konzentrieren, denn dann bleiben unsere internen Systeme Angriffen schutzlos ausgesetzt", sagte Howard A. Schmidt, ehemaliger Berater für Cyber-Sicherheit beim US-Präsidenten. "Gerhard Eschelbeck liefert mit seiner Studie eine einzigartige Analyse globaler Schwachstellendaten, die uns hilft, Trends zu prognostizieren, Bedrohungen auszumachen und Netzwerke effektiv zu schützen."
Die vollständigen Ergebnisse der Studie sind unter http://www.qualys.com/laws
zu finden. Zusammengefasst lauten sie wie folgt:
1. Halbwertszeit: Die Halbwertszeit beschreibt, wie lange Anwender brauchen, um die Hälfte ihrer Systeme zu patchen und das "Fenster der Gefährdung" (window of exposure) zu verkleinern. Die Halbwertszeit kritischer Sicherheitslücken beträgt bei externen Systemen 21 Tage und bei internen Systemen 62 Tage. Mit abnehmendem Problemschweregrad verdoppelt sich diese Zahl.
2. Verbreitung: Jährlich werden 50 Prozent der am meisten verbreiteten und kritischsten Sicherheitslücken durch neue Sicherheitslücken abgelöst. Mit anderen Worten: Es kommen unablässig neue, kritische Sicherheitslücken auf, die geschlossen werden müssen.
3. Wirkungsdauer: Einige Sicherheitslücken und Würmer haben eine unbegrenzte Lebensdauer. Tatsächlich zeigt die Untersuchung, dass die Würmer Blaster und Nachi im Lauf des Jahres 2004 mehrmals epidemieartig auftraten - Monate nach ihrem ursprünglichen Auftauchen.
4. Ausnützung: Der Zyklus von der Entdeckung einer Sicherheitslücke bis zu ihrer Ausnützung schrumpft schneller als der Zyklus der Behebung von Sicherheitslücken. 80 Prozent aller Würmer und automatisierten Exploits werden während der beiden ersten Halbwertszeiten kritischer Sicherheitslücken entwickelt.
"Bei der Verkleinerung des "Fensters der Gefährdung" für externe Systeme haben wir beträchtliche Fortschritte erzielt. Den internen Systemen schenken wir dagegen noch viel zu wenig Aufmerksamkeit", erklärte Gerhard Eschelbeck, CTO und VP of Engineering bei Qualys. "In unserer Top-10-Liste der kritischsten Sicherheitslücken erscheinen ständig Sicherheitsanfälligkeiten in Webbrowsern, Datencentern, Mail-Servern und anderen internen Systemen. In den meisten Fällen zirkulieren Würmer schneller, als die Systeme innerhalb des Netzwerks gepatcht werden. Die Unternehmen müssen den Schutz ihrer internen Systeme offensiver betreiben."
Neben Trenddaten zu Sicherheitslücken veröffentlicht Qualys auch eine Echtzeitliste der zehn kritischsten und am weitesten verbreiteten Sicherheitslücken, sowohl für interne als auch für externe Systeme. Wie oben ausgeführt, zeigt das Gesetz von der Verbreitung von Sicherheitslücken, dass laufend neue kritische Lücken aufkommen, weshalb sich Unternehmen proaktiv auf immer neue Bedrohungen einstellen müssen. Aus diesem Grund werden die Top-10-Listen für interne und externe Sicherheitslücken automatisch und kontinuierlich aktualisiert. Die Top-10-Listen sind im Internet unter http://www.qualys.com/top10
zu finden.
Gleichzeitig mit der Veröffentlichung der SANS Top 20 bietet Qualys einen kostenfreien Scan an: Damit können Unternehmen ihre Netzwerke auf die in der Liste dokumentierten Schwachstellen prüfen. http://www.qualys.com
Über Qualys
Qualys ist der führende Anbieter von On-Demand-Lösungen für Schwachstellenmanagement. Das Unternehmen versetzt Firmen und Institutionen aller Größen in die Lage, ihre Netzwerke effektiv zu schützen, automatische Sicherheitsaudits durchzuführen und die Einhaltung von Vorschriften zu gewährleisten. Qualys automatisiert den gesamten Prozess der proaktiven Ermittlung und Behebung von Sicherheitslücken und erlaubt es, Würmer und andere Bedrohungen schnellstmöglich entsprechend ihren potenziellen Auswirkungen auf den Geschäftsbetrieb einzustufen und zu neutralisieren. Die On-Demand-Technologie von Qualys bietet den Kunden erhebliche wirtschaftliche Vorteile, da für Deployment und Management keine Investitionsausgaben anfallen und keine eigene Infrastruktur erforderlich ist. Verteiltes Scannen und beispiellose Skalierbarkeit machen den Webservice QualysGuard zur idealen Lösung für große, verzweigte Unternehmen. Tausende von Kunden vertrauen bereits auf Qualys - darunter DuPont, Hershey Foods, Hewlett-Packard und die Standard Chartered Bank. Die Zentrale von Qualys befindet sich in Redwood Shores, Kalifornien. Das Unternehmen unterhält Niederlassungen in Frankreich, Deutschland, Großbritannien, Japan, Singapur, Australien, Korea und in der Volksrepublik China. Weitere Informationen erhalten Sie auf http://www.qualys.com
Weitere Informationen bei:
Ursula Kafka
Kafka Kommunikation
Mailto:info@kafka-kommunikation.deTel.: ++49 8152/99940
Pressekontakt:
Kafka Kommunikation
Ursula Kafka
Breitbrunner Strasse 40
82229 Seefeld
Tel:
Fax:
ukafka@kafka-kommunikation.de
http://www.kafka-kommunikation.de