Forscher von Kollective, einem Unternehmen für die Bereitstellung von Software-definierten Inhalten, führten eine Umfrage unter zweihundert US-amerikanischen und britischen Organisationen durch. Sie stellten
fest, dass fast die Hälfte der Unternehmen einen vollen Monat benötigte, um eine bekannte Sicherheitslücke zu schließen. Wir werden erklären, warum dies geschieht und was dagegen getan werden kann.
/ PxHere / PDUnternehmen installieren Patches zu lange
Die kollektive Umfrage wurde unter den Leitern der IT-Abteilungen durchgeführt. 45% der Befragten großer Unternehmen (mit mehr als 100.000 Netzwerkterminals) gaben an, dass sie etwa 30 Tage benötigen, um den Patch zu installieren. Weitere 27% gaben an, dass die Installation von Updates manchmal mehrere Monate dauert.
Angesichts einer wachsenden Anzahl von Cyber-Bedrohungen scheint ein ähnlicher Ansatz inakzeptabel. Laut Symantec stieg die Anzahl der Ransomware-Angriffe
im vergangenen Jahr um 36%. Darüber hinaus ist bekannt, dass täglich mehr als 230.000 Malware-Beispiele
auftreten .
In diesem Zusammenhang hat sich in den letzten zwei Jahren die Zeit für die Installation des Patches, die das Unternehmen hat, bevor die Angreifer die Sicherheitsanfälligkeit ausnutzen,
um 29%
verringert . Ein einfaches Sicherheitsupdate ist jedoch immer noch eine der effektivsten Schutzmethoden. In vielen Hacks und Data Dumps nutzen Hacker Schwachstellen aus, für die bereits ein Patch veröffentlicht wurde.
ServiceNow führte eine Umfrage unter 3000 Experten für Informationssicherheit aus der ganzen Welt durch und stellte fest, dass 56% der Unternehmen in der Vergangenheit den Informationsabfluss hätten vermeiden können, wenn sie das Update rechtzeitig installiert hätten. Ein Beispiel wäre der
massive Diebstahl personenbezogener Daten von Equifax in den USA. Dann strömten mehr als 140 Millionen Amerikaner in das Netzwerk.
Dieser Vorfall hätte vermieden werden können, wenn die Spezialisten des Kreditbüros den Patch rechtzeitig installiert hätten. Hacker haben die Sicherheitsanfälligkeit im Apache Struts-Framework (
CVE-2017-5638 ) aufgrund eines Fehlers bei der Behandlung von Ausnahmen verwendet. Ein Patch für diese Sicherheitsanfälligkeit wurde
zwei Monate vor dem Angriff auf Equifax veröffentlicht.
Warum Updates verzögern?
1. Mangel an Personal. Informationssicherheitsabteilungen leiden unter einem Mangel an qualifizierten Fachkräften. Laut
der gemeinnützigen Organisation ISACA wird es bis 2019 einen Mangel an Personal für Informationssicherheit in der Branche geben. Der Mangel wird ungefähr 2 Millionen Menschen betragen.
Dies wirkt sich bereits direkt auf den Schutz von Organisationen vor Cyberangriffen aus. In einer McAfee-
Studie aus dem Jahr 2016 gab ein Viertel der Befragten an, dass der Mangel an Experten für Informationssicherheit in ihrem Unternehmen zu Datenlecks geführt habe.
2. Ineffektives Patch-Installationsmanagement. Die Erweiterung des Personals der Informationssicherheitsspezialisten im Unternehmen führt jedoch nicht immer zu einer Erhöhung der Zuverlässigkeit der IT-Infrastruktur. ServiceNow weist darauf hin, dass Sie nicht auf eine erhöhte Sicherheit warten sollten, bis die mit dem Patchen verbundenen Geschäftsprozesse geändert wurden.
Die Schwachstellenabschlussrate wird durch eine große Anzahl manueller Prozesse beeinflusst. Es gibt Unternehmen, die Excel weiterhin zur Verwaltung des Patches verwenden. Ein Unternehmen aus Fortune 100 bildete sogar eine ganze Abteilung von Mitarbeitern,
die für die Verwaltung von Tabellenkalkulationen mit Schwachstellendaten verantwortlich sind. Sie schreiben dort, wenn es einen Patch gibt, der ihn installiert usw.
Laut Mark Nunnikhoven, Vice President Cloud Research
bei Trend Micro, war gerade die mangelnde Automatisierung der Aktualisierungsprozesse von IT-Systemen in Unternehmen einer der Hauptgründe für die weit verbreitete Einführung von WannaCry.
3. Die Schwierigkeit, Updates zu priorisieren. Laut der Veröffentlichung CSO sind zu viele Patches ein weiterer
Grund für das langsame Upgrade von Systemen. Für Sicherheitsexperten ist es schwierig, Prioritäten zu setzen und zu entscheiden, welche vor anderen festgelegt werden müssen. Selbst im Fall von Spectre und Meltdown
äußerten Experten gegensätzliche Meinungen: Einige Experten schlugen vor, zu warten, während andere es eilig hatten, Patches schneller zu installieren.
Die Situation wird durch das langsame Auffüllen von Datenbanken mit Sicherheitslücken erschwert. Bis August dieses Jahres fielen mehr als dreitausend Bedrohungen von Januar bis Juni 2018
nicht in die CVE- und NVD-Datenbanken. Fast die Hälfte von ihnen erhielt die höchste Gefahrenbewertung für CVSSv2.
4. Die Komplexität der Installation. Barkly führte eine Umfrage zur Installation von Meltdown- und Spectre-Updates unter Sicherheitsexperten durch. 80% der Befragten
hielten den Prozess der Installation von Patches zum Schließen von Schwachstellen in Intel-Chips für „unklar“.
„Als Meltdown und Spectre auftauchten, gab es kein praktisches Testdienstprogramm, um diese Schwachstellen zu identifizieren. Im Laufe der Zeit tauchten Versorgungsunternehmen auf, aber es war unmöglich, ihre Zuverlässigkeit zu garantieren, sagt Sergey Belkin, Leiter der Entwicklungsabteilung 1cloud . - Später schlug Microsoft eine Überprüfungsmethode vor, die jedoch recht kompliziert war. Dann gab es jedoch Lösungen (insbesondere für eine Reihe von Linux-Distributionen ), die es ermöglichten, herauszufinden, ob Meltdown und Spectre von einem einzigen Befehl in der Konsole betroffen sind oder nicht.
So erhöhen Sie die Geschwindigkeit von Updates
1. Automatisieren Sie die Installation von Patches. Die Automatisierung des Aktualisierungsprozesses vereinfacht die Aufgabe für Administratoren und Endbenutzer. Das System selbst lädt Patches aus dem Internet herunter, und der Systemadministrator muss den Installationsprozess verfolgen. Dies ist besonders wichtig für Cloud-Anbieter, da sie eine große Anzahl von "Maschinen" betreiben.
Es gibt Tools (z. B. HPE Server Automation), mit denen Betriebssysteme auf Rechenzentrumservern zentral aktualisiert werden. Mit ihnen können Sie die erforderlichen Patches auswählen, die vom Betriebssystemanbieter angeboten werden. Selbst mit ihrer Hilfe können Sie den Installationsprozess selbst konfigurieren, um beispielsweise Updates auszuschließen, die für eine bestimmte Umgebung nicht geeignet sind.
2. Mitarbeiter schulen. Eine wichtige Rolle bei der Gewährleistung der Datensicherheit spielen Menschen. Daher ist es notwendig, das Bewusstsein von IT-Spezialisten und normalen Mitarbeitern des Unternehmens zu schärfen, Geld und Zeit zu investieren, zumindest in die Kurse der grundlegenden Cyber-Hygiene.
/ Flickr / kelly / ccIm Allgemeinen können verschiedene Methoden verwendet werden, um die Datensicherheit besser kennenzulernen, z. B. Gamification. PricewaterhouseCoopers Australia
spielt das Game of Threats-Spiel unter seinen Kunden, wenn Teams von „Hackern“ und „Systemverteidigern“ in einem speziellen Simulator gegeneinander antreten.
3. Investieren Sie mehr in Cybersicherheit. Laut Gartner werden die Ausgaben von Organisationen für Cybersicherheit im Jahr 2018 im Vergleich zum Vorjahr um 12,4%
steigen . Unternehmen werden mehr für Prozessautomatisierung und neue Datenschutztechnologien
ausgeben , damit Experten für Informationssicherheit effizienter arbeiten können.
Was weiter
Die langsame Installation von Sicherheitsupdates ist ein Systemproblem. Und wahrscheinlich wird es für längere Zeit zu „Unannehmlichkeiten“ führen, insbesondere angesichts der Entdeckung neuer schwerwiegender Schwachstellen in Prozessoren wie
Foreshadow . Wenn jedoch mehr Unternehmen beginnen, Patches schnell zu installieren, wirkt sich dies positiv auf das gesamte Ökosystem aus und verringert die Anzahl der Datenlecks erheblich. Wie bei Equifax.
Noch ein paar Beiträge aus 1clouds Unternehmensblog: