•  

Qualys analysiert das Patch-Verhalten von Unternehmen

In einer perfekten Welt würden Unternehmen Schwachstellen unmittelbar nach ihrem Bekanntwerden patchen, um Exploits vorsorglich zu blocken und den meisten Cyberangriffen zu entgehen. Die Wirklichkeit entspricht diesem hypothetischen Idealfall aber natürlich nicht im mindesten. Unternehmen lassen kritische Sicherheitslücken oft monate- oder gar jahrelang offen klaffen. Und Hacker können sich routinemäßig an all diesen tief hängenden Früchten bedienen, um Systeme zu kapern, Websites zu manipulieren und Betriebsabläufe zu stören.

Wir alle wissen, dass es unmöglich ist, jede einzelne Schwachstelle zu patchen. Jahr für Jahr werden Tausende davon veröffentlicht, und Systeme zu patchen kann kompliziert, zeitaufwändig und unpraktisch sein. Dennoch sind sich die IT-Sicherheitsteams einig, dass eine zeitnahe Beseitigung der gefährlichsten Bugs nicht nur machbar, sondern auch notwendig ist.

Das Problem dabei: Es ist schwierig, diese kritischen Sicherheitslücken ausfindig zu machen und bei der Beseitigung die richtigen Prioritäten zu setzen, wenn Unternehmen – wie es oft der Fall ist – nicht kontinuierlich und automatisiert Schwachstellenmanagement, Asset-Inventarisierung und Bedrohungsanalysen durchführen. 

Es überrascht wenig, dass die Daten, die Qualys in jüngster Zeit zum Patch-Verhalten gesammelt hat, einen direkten Zusammenhang zwischen den Aktivitäten zur Problembehebung und dem Risikograd der jeweiligen Schwachstellen erkennen lassen. Und in manchen Bereichen, insbesondere bei den IoT-Geräten, wird stets zu langsam gepatcht, wenn überhaupt. 

Was wir von WannaCry lernen können

Sehr aufschlussreich sind in diesem Zusammenhang die Daten zum Patch-Management-Verhalten vor und nach der WannaCry-Attacke, die von Qualys erfasst wurden und in den Cisco Annual Cybersecurity Report 2018 einflossen, der letzte Woche veröffentlicht wurde.

Die Ransomware WannaCry infizierte im Mai mehr als 300.000 Systeme und störte weltweit kritische Betriebsabläufe. Das Schadprogramm verbreitete sich mithilfe des Exploits EternalBlue für eine Sicherheitslücke in Windows Opens external link in new window(MS17-010), für die Microsoft im März einen Patch bereitgestellt hatte.

Wie die Daten von Qualys zeigen, erreichte die Entdeckung anfälliger Geräte zwischen Mitte März (als die Sicherheitslücke in Windows SMB Server veröffentlicht wurde) und Mitte April einen Höhepunkt und nahm dann langsam wieder ab, „da die Unternehmen nach und nach ihre Systeme scannten und den Patch installierten“, so die Cisco-Studie.

Nach dem 14. April, an dem die Hackergruppe ShadowBrokers den Exploit EternalBlue freigesetzt hatte, schoss die Anzahl entdeckter anfälliger Systeme jedoch steil nach oben. Tatsächlich verdoppelte sich die Anzahl der erkannten Geräte mit dieser Schwachstelle in den folgenden Tagen nahezu.

„Dies war zu dem Zeitpunkt, als die Unternehmen durch einen Remote-Check von Qualys, für den ein Teil des Exploit-Codes verwendet wurde, über den Exploit informiert wurden und erfuhren, dass er potenziell sowohl unterstützte als auch nicht unterstützte Windows-Versionen betraf“, heißt es in der Studie.

In wirklich großem Umfang setzten die Patch-Aktivitäten aber trotzdem erst ein, als Mitte Mai die WannaCry-Angriffe begannen. 

„Qualys’ Untersuchungen zum Patch-Verhalten seiner Kunden lassen darauf schließen, dass viele Unternehmen erst durch ein gravierendes Ereignis motiviert werden, kritische Schwachstellen zu patchen. Selbst das Wissen, dass ein aktiver Exploit existiert, reicht nicht aus, um die Problembehebung zu beschleunigen“, so die Cisco-Studie weiter.

Da bereits Mitte März –  zwei Monate vor den Ransomware-Angriffen – ein Patch zur Verfügung gestellt wurde, hatten die Unternehmen genügend Zeit, ihre betroffenen Systeme abzusichern. Hätten die meisten Unternehmen dies getan, wäre die WannaCry-Attacke nur ein kleineres Ereignis gewesen statt des weltweiten Cyber-Desasters, zu dem sie sich entwickelte. 

Ungepatchtes IoT 

Qualys hat auch die Entwicklungen beim Patchen von IoT-Geräten untersucht, und die Erkenntnisse waren alarmierend.

Qualys nahm Stichproben bei Klimasystemen, Türschlössern, Steuerungen für Brandmelder, Kartenlesern und anderen IoT-Geräten, die für verschiedene bekannte Bedrohungen anfällig sind. Wie sich zeigte, waren nur 17 % der Geräte gepatcht – eine erschreckend niedrige Zahl.

Mögliche Gründe für den niederschmetternd geringen Anteil gepatchter Geräte könnten beispielsweise sein:

• Manche Geräte lassen sich nicht aktualisieren.

• Beim Patchen anderer Geräte muss deren Hersteller direkt mitwirken.

• Das Unternehmen weiß möglicherweise nicht, wer für die Beseitigung von Schwachstellen in IoT-Geräten zuständig ist. 

Besorgniserregend ist auch die geringe Sichtbarkeit der IoT-Geräte: Unternehmen sind sich oft gar nicht bewusst, dass solche Geräte im Netz sind. „Aufgrund dieser mangelnden Sichtbarkeit ist die Gefahr groß, dass die Geräte kompromittiert werden“, so die Studie.

Um das Problem der fehlenden Sichtbarkeit zu lösen, müssen Unternehmen zunächst alle IoT-Geräte im Netzwerk inventarisieren. Dann müssen sie prüfen, welche Geräte gescannt und gepatcht werden können und welche Mitarbeiter diese Geräte verwenden.

Die Hacker rüsten auf

Grundlegende Praktiken der Informationssicherheit – wie etwa die umfassende Sichtbarmachung von IT-Assets, kontinuierliches Schwachstellenmanagement, präzise Priorisierung von Bedrohungen und automatisiertes Patchmanagement – sind heute wichtiger als je zuvor.

Wie die 68-seitige Cisco-Studie detailliert ausführt, werden die Übeltäter – böswillige Hacker, Datendiebe, feindselige Staaten – immer aggressiver, effektiver und raffinierter.

Die Studie, die auf den Untersuchungen und Erkenntnissen von Sicherheitsforschern bei Cisco sowie Cisco-Partnern wie Qualys basiert, kommt im Kern zu den folgenden drei Ergebnissen:

• Malware ist ausgeklügelter und schlagkräftiger als je zuvor. Dies zeigt sich etwa an Entwicklungen wie netzwerkbasierter Ransomware-Kryptowürmer

• Die Hacker machen große Fortschritte in dem Bemühen, ihre Angriffe zu verbergen und Gegenmaßnahmen auszuweichen. Dadurch lassen sie sich wesentlich schwerer blocken und erkennen als früher

• Die Hacker machen sich den traurigen Zustand der IoT- und Cloud-Sicherheit zunutze, um Millionen von anfälligen und schlecht konfigurierten Systemen zu missbrauchen

Gepostet von Jimmy Graham in Qualys News, Qualys Technology am 27. Februar 2018, 9:00 Uhr

(Jimmy Graham ist Director of Product Management bei Qualys)

Autor: Jimmy Graham

Diesen Artikel empfehlen