Die Ergebnisse der Schwachstellenanalyse im Security Navigator von Orange Cyberdefenses zeigen, dass einige Schwachstellen, die erstmals 1999 entdeckt wurden, auch heute noch in Netzwerken zu finden sind. Das ist besorgniserregend.
Alter der VOC-Ergebnisse
Unsere Schwachstellen-Scans werden in regelmäßigen Abständen durchgeführt, was uns die Möglichkeit gibt, den Unterschied zwischen dem Zeitpunkt, an dem ein Asset gescannt wurde, und dem Zeitpunkt, an dem ein bestimmter Befund für dieses Asset gemeldet wurde, zu untersuchen. Wir können dies als das „Alter“ des Fundes bezeichnen. Wenn die zuerst gemeldeten Befunde nicht behoben werden, tauchen sie mit zunehmendem Alter in immer mehr Scans auf, sodass wir verfolgen können, wie sich das Alter der gemeldeten Befunde im Laufe der Zeit verändert.
Wie das folgende Diagramm deutlich zeigt, ist die Mehrheit der echten Befunde in unserem Datensatz über alle Schweregrade hinweg zwischen 75 und 225 Tagen alt. Es gibt eine zweite „Spitze“ bei etwa 300 Tagen, von der wir vermuten, dass sie eher mit dem Alter der Daten im Datensatz zu tun hat und daher ignoriert werden kann. Schließlich gibt es einen faszinierenden „Buckel“ bei etwa 1.000 Tagen, der unserer Meinung nach den „langen Schwanz“ der Erkenntnisse im Datensatz darstellt, die einfach nie angesprochen werden.
75 % der Feststellungen in der 1000-Tage-Schwelle sind von mittlerer Schwere, aber 16 % werden als hoch oder kritisch eingestuft.
Das Durchschnittsalter der Feststellungen in unserem Datensatz wird ebenso sehr durch Veränderungen bei unseren Kunden und Vermögenswerten beeinflusst wie durch jeden anderen externen Faktor, wie man an den großen Schwankungen erkennen kann. Dennoch ist ein deutlicher Anstieg des durchschnittlichen Alters der Feststellungen um 241 % von 63 auf 215 Tage in den 24 Monaten zu beobachten, seit wir Kunden auf diese Plattform bringen.
Wenn wir die bestätigten Ergebnisse unserer Schwachstellenüberprüfung grob nach „Altersgruppen“ gruppieren, ergibt sich folgendes Bild:
- Nur 20% aller Feststellungen werden in weniger als 30 Tagen bearbeitet
- 80% aller Feststellungen brauchen 30 Tage oder länger, um gepatcht zu werden
- 57% aller Entdeckungen brauchen 90 Tage oder länger, um gepatcht zu werden.
- 215 Tage Durchschnitt
Durchschnittliches/maximales Alter der Feststellungen nach Schweregrad
Aus der folgenden Tabelle geht hervor, dass selbst kritische Schwachstellen im Durchschnitt etwa 6 Monate zur Behebung benötigen, was erfreulicherweise mindestens 36% schneller ist als die Zeit für Probleme mit geringem Schweregrad.
Wenn wir uns die Werte für die durchschnittliche und die maximale Zeit für die verschiedenen Schweregrade genauer ansehen, erhalten wir das folgende Diagramm.
Während unsere Schlussfolgerung, dass kritische Probleme schneller gelöst werden, für die durchschnittliche Lösungszeit gilt, ist die maximale Zeit unabhängig von der Kritikalität konstant hoch.
Wir werden diese Kennzahl in Zukunft genauer beobachten müssen, wenn die Datenmenge wächst.
Branchenvergleich
Das maximale Alter der Feststellungen in der nachstehenden Übersicht gibt Aufschluss darüber, wie lange die Kunden aus dieser Branche bereits in unserem Datensatz vorhanden sind, während das Durchschnittsalter ein besserer Indikator dafür ist, wie gut die Kunden die von uns gemeldeten Probleme lösen. Branchen mit hohen Maximalwerten und niedrigen Durchschnittswerten würden also am besten abschneiden, hohe Maximalwerte und hohe Durchschnittswerte… am schlechtesten. Branchen mit sehr niedrigen Höchstwerten sind wahrscheinlich noch nicht sehr lange im Datensatz enthalten und sollten daher vielleicht nicht in einen Vergleich mit dieser Kennzahl einbezogen werden.
Unabhängig davon, wie diese Branchen verglichen werden, ist das Alter der Schwachstellen eine wichtige Kennzahl.
Wie alt sind die Schwachstellen wirklich?
Bisher haben wir nur die relative Zeitspanne zwischen dem Zeitpunkt, an dem wir zum ersten Mal eine Schwachstelle in einem Vermögenswert gefunden haben, und dem jetzigen Zeitpunkt (falls noch vorhanden) betrachtet. Das sagt jedoch nichts darüber aus, wie alt diese Schwachstellen wirklich sind. Wenn wir uns die gefundenen CVEs genauer ansehen, können wir ihr Veröffentlichungsdatum analysieren. Die Ergebnisse sind etwas verwirrend, scheinen aber zu dem Bild zu passen, das sich ergibt: Aus dem einen oder anderen Grund werden einige Schwachstellen einfach nie behoben. Sie werden zu einem Teil der Sicherheitsschulden, die Unternehmen anhäufen.
- 0,5 % der gemeldeten CVEs sind 20 Jahre alt oder älter
- 13% der gemeldeten CVEs sind 10 Jahre alt oder älter
- 47% der CVEs sind 5 Jahre alt oder älter
Fazit
Jeden Tag werden mehr als 22 Schwachstellen mit zugeordneten CVEs veröffentlicht. Mit einem durchschnittlichen CVSS-Score von über 7 (hoher Schweregrad) ist jede dieser veröffentlichten Schwachstellen ein wichtiger Datenpunkt, der unsere Risikogleichungen und unsere tatsächliche Gefährdung durch Bedrohungen beeinflusst.
Schwachstellen-Scans und Penetrationstests sind Mechanismen, die wir nutzen, um die Schwachstellen zu erkennen, die sich auf unsere Sicherheitslage auswirken können, ihre potenziellen Auswirkungen zu verstehen, Prioritäten zu setzen und geeignete Maßnahmen zu ergreifen. Diese beiden Bewertungsübungen unterscheiden sich im Ansatz, verwenden aber eine ähnliche Sprache und dienen einem ähnlichen Zweck.
In diesem Jahr haben wir eine Analyse von Datensätzen aus beiden Diensten in den Navigator aufgenommen. Das ist das erste Mal, dass wir dies versuchen, und unsere Daten sind noch lange nicht perfekt.
Was wir klar erkennen können, ist, dass wir uns schwer tun, die uns bekannten Schwachstellen zu bewältigen. Im Durchschnitt brauchen unsere Kunden 215 Tage, um eine von uns gemeldete Sicherheitslücke zu schließen. Bei kritischen Schwachstellen ist dieser Wert etwas niedriger – sie werden offenbar 36 % schneller gepatcht als Schwachstellen mit „niedrigem“ Schweregrad. Aber das Bild ist immer noch düster: Bei 80% aller Funde dauert es 30 Tage oder länger, bis sie gepatcht sind, bei 57% sogar 90 Tage oder länger.
Unsere Pentesting-Teams entdecken immer noch Schwachstellen, die zum ersten Mal im Jahr 2010 identifiziert wurden, und unsere Scanning-Teams stoßen auf Probleme, die bis ins Jahr 1999 zurückreichen! Tatsächlich sind 47% der CVEs 5 Jahre oder älter. 13% sind sogar 10 Jahre oder mehr alt. Das ist ein besorgniserregendes Ergebnis.
Dies ist nur ein Auszug aus der Analyse. Weitere Details, wie die Kritikalität von Schwachstellen und die Veränderungen der Pentesting- und VOC-Scanergebnisse im Laufe der Zeit (sowie eine Menge anderer interessanter Forschungsthemen), findest du im Security Navigator. Er ist kostenlos, also sieh ihn dir an. Es lohnt sich!
Hinweis: Dieser informative Artikel wurde von Charl van der Walt, Leiter der Sicherheitsforschung bei Orange Cyberdefense, fachkundig verfasst und großzügig zur Verfügung gestellt.