Wir haben 2,5 Millionen Sicherheitslücken in den Assets unserer Kunden analysiert. Dies sind unsere Ergebnisse.
Die Datenanalyse umfasst Kunden, die unseren Schwachstellen-Scan-Service abonniert haben. Es werden sowohl Assets erfasst, die über das Internet erreichbar sind, als auch solche, die sich in internen Netzwerken befinden. Die Daten umfassen Ergebnisse für Netzwerkausrüstung, Desktops, Webserver, Datenbankserver und sogar einzelne Drucker oder Scanner. Im Vergleich zum Vorjahr wurden in dieser Datenreihe drei weniger Organisationen einbezogen und einige Organisationen wurden durch neue ergänzt. Mit dem Wechsel der Organisationen ändert sich auch die Zusammensetzung der Assets, was Vergleiche mit den früheren Ergebnissen erschwert (wir könnten voreingenommen sein). Dennoch lohnt es sich, ähnliche Muster festzuhalten, wo möglich. In diesem Jahr konzentrieren wir uns erneut auf die Bedrohung durch Sicherheitslücken und insbesondere auf ungelöste Schwachstellen. Die Welle neu entdeckter schwerwiegender Probleme erfordert unsere Aufmerksamkeit, insbesondere in Verbindung mit vorhandenen ungelösten Problemen. Dies scheint wie eine Hydra zu sein, die immer neue Köpfe wachsen lässt, sobald man sie besiegt hat. Die Beurteilung, ob ein System angemessen geschützt ist, ist eine Herausforderung, die Fachkenntnis und Erfahrung erfordert und viel Zeit in Anspruch nehmen kann. Aber wir möchten Schwachstellen im Voraus erkennen, anstatt mit den Folgen eines unbeabsichtigten „kostenlosen Pentests“ einer zufälligen Cy-X-Gruppe umgehen zu müssen.
Der neu veröffentlichte Security Navigator 2024 bietet wichtige Einblicke in aktuelle digitale Bedrohungen und dokumentiert 129.395 Vorfälle und 25.076 bestätigte Verletzungen. Es ist nicht nur ein Bericht, sondern dient als Leitfaden für eine sicherere digitale Landschaft.
Die Mehrheit der gefundenen Schwachstellen (79%) wird als „hoch“ oder „mittel“ eingestuft. Die Hälfte (50,4%) der gefundenen Schwachstellen ist jedoch als „kritisch“ oder „hoch“ eingestuft.
Im Vergleich zu den bisher veröffentlichten Ergebnissen haben sich die durchschnittlichen Anzahlen von „kritischen“ oder „hohen“ Schwachstellen um 52,17% bzw. 43,83% verringert. Es wurde auch eine Verbesserung bei den Schwachstellen mit den Bewertungen „mittel“ und „niedrig“ um 29,92% bzw. 28,76% festgestellt. Da dieser Bericht eine etwas andere Stichprobe von Kunden als im Vorjahr verwendet, ist ein Vergleich zwischen den Jahren nur begrenzt aussagekräftig, aber es gibt Anzeichen dafür, dass Kunden gut auf unsere Berichte reagieren und es insgesamt zu einer Verbesserung gekommen ist.
Der Großteil der als „kritisch“ oder „hoch“ eingestuften Schwachstellen (78%) ist 30 Tage oder jünger (bei Betrachtung eines 120-Tage-Zeitraums). Im Gegensatz dazu sind 18% aller als „kritisch“ oder „hoch“ eingestuften Schwachstellen 150 Tage oder älter. Aus Sicht der Priorisierung scheinen „kritische“ oder „hohe“ Schwachstellen schnell behoben zu werden, aber es sammeln sich dennoch einige ungelöste Schwachstellen im Laufe der Zeit an.
Das Diagramm zeigt den langen Schweif ungelöster Schwachstellen. Beachten Sie den ersten auffälligen Spitzenpunkt bei 660 Tagen und den zweiten bei 1380 Tagen (3 Jahre und 10 Monate). Ein Zeitfenster für Gelegenheiten.
Die durchschnittlich hohen Zahlen von „kritischen“ und „hohen“ Schwachstellen werden weitgehend von Assets beeinflusst, die Microsoft Windows oder Microsoft Windows Server-Betriebssysteme ausführen. Es gibt auch Assets, die Betriebssysteme anderer Hersteller wie Linux verwenden, aber diese werden proportional deutlich weniger gemeldet. Es ist jedoch zu beachten, dass die als „kritisch“ oder „hoch“ eingestuften Schwachstellen in Bezug auf Windows-Assets nicht unbedingt Schwachstellen im Betriebssystem selbst sind, sondern auch mit den darauf ausgeführten Anwendungen zusammenhängen können. Es ist verständlich, dass nicht unterstützte Versionen von Windows und Windows Server hier prominent vertreten sind, aber es ist überraschend, dass auch neuere Versionen dieser Betriebssysteme mit hoher oder kritischer Schwere eingestuft werden.
Bei der Betrachtung nach Branchen zeigt sich ein gemischtes Bild. Die durchschnittliche Anzahl der Schwachstellen pro Asset beträgt insgesamt 31,74. Kunden in der Bauindustrie scheinen im Vergleich zu Kunden anderer Branchen außergewöhnlich gute Leistungen zu erbringen, mit durchschnittlich 12,12 Schwachstellen pro Asset. Am anderen Ende des Spektrums befinden sich die Bergbau-, Steinbruch- und Öl- und Gasindustrie, bei denen im Durchschnitt 76,25 eindeutige Schwachstellen pro Asset gemeldet werden. Kunden in der öffentlichen Verwaltung haben uns überrascht, indem sie mit durchschnittlich 35,3 Schwachstellen pro Asset eine bessere Leistung erbracht haben als Kunden aus dem Finanz- und Versicherungswesen mit durchschnittlich 43,27 Schwachstellen, obwohl sie eine größere Anzahl von Assets haben. Diese Werte basieren auf der Stichprobe unserer Kunden und repräsentieren möglicherweise nicht die allgemeine Realität.
Im Durchschnitt pro Asset und Branche betrachtet zeigt sich ein gemischtes Bild in Bezug auf die Schwere der Schwachstellen. Einzelne Branchen wie das Gesundheitswesen und Informationstechnologie weisen aufgrund einer relativ kleinen Anzahl von Assets Durchschnittswerte auf, die im Verhältnis zu anderen Branchen unverhältnismäßig sind. Der Branchendurchschnitt für hohe Schwere beträgt 21,93 und die Bergbau-, Steinbruch- und Öl- und Gasindustrie übertrifft diesen Wert um das Zweifache. Ebenso liegen das Finanz- und Versicherungswesen sowie das Beherbergungs- und Gaststättengewerbe mit 10,2 bzw. 3,4 Schwachstellen pro Asset über dem Durchschnitt. Die gleichen drei Branchen überschreiten den Gesamtdurchschnitt auch bei Schwachstellen mit kritischer Bewertung, wobei das Beherbergungs- und Gaststättengewerbe fast den dreifachen Durchschnitt erreicht.
Während wir uns erneut mit dem Thema der Bedrohungen durch Schwachstellen befassen, werfen wir einen besorgten Blick auf die anhaltende Anhäufung von ungelösten Schwachstellen, die immer älter werden. Wir haben über 2,5 Millionen gefundene Schwachstellen analysiert und über 1.500 Berichte von unseren professionellen ethischen Hackern untersucht, um den aktuellen Stand der Sicherheitslücken zu verstehen und ihre Rolle und Wirksamkeit als Instrument zur Priorisierung zu bewerten. Der Großteil der einzigartigen Schwachstellen, die von unseren Scanteams gefunden wurden (79%), wird als „hoch“ oder „mittel“ eingestuft und 18% aller schwerwiegenden Schwachstellen sind 150 Tage oder älter. Obwohl diese im Allgemeinen schneller behoben werden als andere, sammeln sich im Laufe der Zeit immer noch einige ungelöste Schwachstellen an. Während die meisten von uns identifizierten Schwachstellen innerhalb von 90 Tagen behoben werden, bleiben 35% der von uns gemeldeten Schwachstellen 120 Tage oder länger bestehen. Und viel zu viele werden überhaupt nicht behoben. Unsere Ergebnisse zeigen das anhaltende Problem der nicht gepatchten Schwachstellen. Gleichzeitig treffen unsere ethischen Hacking-Teams häufiger auf neuere Anwendungen und Systeme, die auf zeitgenössischen Plattformen, Frameworks und Programmiersprachen basieren. Die Rolle des ethischen Hackers besteht darin, Penetrationstests durchzuführen, um einen böswilligen Angreifer zu imitieren und ein System, eine Anwendung, ein Gerät oder sogar Personen auf Schwachstellen zu überprüfen, die zur Erlangung oder Verweigerung des Zugriffs auf IT-Ressourcen genutzt werden könnten. Die Penetrationstests gelten allgemein als Bestandteil des Schwachstellenmanagements, können aber auch als Form der Bedrohungsinformation betrachtet werden, die Unternehmen im Rahmen ihrer proaktiven Verteidigungsstrategie nutzen sollten. 17,67% der von unseren ethischen Hackern gemeldeten Schwachstellen wurden als „ernsthaft“ eingestuft, aber es ist erfreulich festzustellen, dass Hacker heute härter arbeiten müssen, um sie zu entdecken als in der Vergangenheit. Dies ist nur ein Auszug aus der Analyse. Weitere Einzelheiten zu unserer Analyse von Schwachstellen und Penetrationstests (sowie viele andere interessante Themen wie die VERIS-Kategorisierung der in unseren CyberSOCs behandelten Vorfälle, Statistiken zur Cyber-Erpressung und eine Analyse von Hacktivismus) finden Sie im Security Navigator. Füllen Sie einfach das Formular aus und laden Sie es herunter. Es lohnt sich!