tookitook -shutterstock.com
Laut einer Studie von Palo Alto Networks laufen 26 Prozent der Linux-Systeme und acht Prozent der Home windows-Systeme mit veralteten Versionen. Die Ergebnisse basieren auf Telemetriedaten von 27 Millionen Geräten in den Netzwerken von 1.800 Unternehmen.
Die Analyse offenbart zudem, dass 39 Prozent der in Netzwerkverzeichnissen registrierten IT-Geräte über keine aktive Endpoint-Safety-Lösung verfügen. Ein Drittel (32,5 Prozent) aller Geräte in Unternehmensnetzwerken wird außerhalb der IT-Kontrolle betrieben.
Die fehlenden Sicherheitskontrollen ermöglichen es Angreifern, in ungeschützte Geräte einzudringen, ohne entdeckt zu werden. Außerdem sind quick vier von fünf (77 Prozent) der Unternehmensnetzwerke schlecht segmentiert – Geräte mit geringer Sicherheit wie intelligente Kaffeemaschinen oder Drucker befinden sich im selben Netzwerksegment wie hochwertige Zielen, etwa Finanzserver.
„In unseren Ergebnissen battle besonders auffällig, dass Alltagsgeräte wie Überwachungskameras, smarte Sensoren oder personal Laptops oft direkt mit sensiblen Systemen verbunden sind. Zudem weisen selbst von der IT verwaltete Geräte häufig Sicherheitslücken auf“, erklärt Qiang Huang, VP of Product Administration für Cloud-basierte Sicherheitsdienste bei Palo Alto Networks, gegenüber CSO. „Quick die Hälfte dieser Verbindungen stammt von Hochrisikogeräten, bei deren Entwicklung Sicherheit keine Rolle spielte.“
Lücken bei der Sichtbarkeit
Der Studie zufolge sind Visibility und Segmentierung nach wie vor die größten Schwachstellen vieler Unternehmensnetzwerke. Etwa ein Drittel der Unternehmensgeräte wird immer noch nicht verwaltet. Die meisten Netzwerke sind praktisch flach aufgebaut, sodass Angreifer sich nach dem Eindringen frei bewegen können.
Schlimmer noch: Netzwerk-Edge-Geräte sind zunehmend von Zero-Day-Schwachstellen betroffen, die Experten auf grundlegende Sicherheitslücken zurückführen.
„Fehlkonfigurationen in Firewalls, Routern und Switches haben wiederholt zu schwerwiegenden Sicherheitsverletzungen geführt, da diese Geräte oft über privilegierten Zugriff und umfassende Netzwerksichtbarkeit verfügen“, erklärt Bharat Mistry, Area CTO bei Pattern Micro. „Ihre Präsenz an der Spitze der Schwachstellenliste unterstreicht die Notwendigkeit eines rigorosen Patch- und Konfigurationsmanagements.“
Router, Videokonferenzsysteme und IoT-Geräte befinden sich am Rand von Netzwerken. Sie sind oft nicht gemanaged, ungenügend gepatcht und laufen mit Standardzugangsdaten.
„Wenn Unternehmen die Web-Exposition reduzieren, Customary-Anmeldedaten abschaffen und Geräte priorisiert patcht, die sowohl exponiert als auch angreifbar sind, entziehen sie Angreifern eine Vielzahl von Möglichkeiten“, betont Rik Ferguson, VP of Safety Intelligence bei Forescout.
Ferguson fügt hinzu: „Man kann sich nicht auf die Abdeckung durch Agenten verlassen, daher benötigt man eine kontinuierliche, agentenlose Transparenz, ein vollständiges Software program- und Firmware-Inventar, einschließlich EOL-Standing und risikobasierter Kontrollen auf Segmentierungs- und Patch-Ebene.“
Weitere Studie mit ähnlichen Ergebnissen
Ferguson bestätigt gegenüber CSO: „Die Ergebnisse von Palo Alto Networks stimmen in etwa mit unseren Beobachtungen in der Praxis überein, insbesondere bei Embedded-Linux-Systemen in Routern und Geräten, bei denen die Kernel-Versionen um Jahre hinterherhinken“. „Das Ergebnis ist eine große Angriffsfläche von über das Web erreichbaren Geräten mit ungepatchten Schwachstellen und schwachen Standardeinstellungen.“
Laut dem aktuellen jährlichen Bericht von Forescout über die risikoreichsten Geräte machen Router und andere Netzwerkgeräte mehr als die Hälfte der Geräte mit den gefährlichsten Schwachstellen aus, wobei auch andere Kategorien wie Video-/Sprachsysteme eine wichtige Rolle spielen.
Die Studie von Forescout, die auf Telemetriedaten von Unternehmensgeräten unter Verwendung der Machine Cloud von Forescout und einer Multi-Faktor-Risikobewertungsmethode basiert, hebt auch hervor, dass das Risiko durch OT-Geräte rapide zunimmt.
Zu den risikoreichsten Gerätetypen nach Domäne gehören laut ForeScout auf der IT-Seite Utility Supply Controller und Firewalls, im IoT-Bereich NVRs, NAS, VoIP und IP-Kameras und im OT-Bereich Common Gateways und Gebäudemanagementsysteme.
Herausforderungen bei der Behebung
Matt Middleton-Leal, Managing Director für EMEA bei Qualys, ist der Meinung, dass Transparenz, die Behebung von Schwachstellen und die Netzwerksegmentierung intern als wichtiger behandelt werden müssen, wenn CISOs Unterstützung für Sicherheitsprojekte erhalten wollen.
Die Herausforderung für Sicherheitsverantwortliche bestehe darin, dass Projekte zum Austausch unsicherer Geräte als weniger wichtig angesehen würden. Zudem würden ihnen Argumente fehlen, die beispielsweise für KI-bezogene Projekte gelten, die als „Spitzenreiter“ der Innovation angesehen werden.
„Der Austausch von Altgeräten kann Zeit und Ressourcen für das Change Administration kosten, ohne sichtbaren Nutzen für das Unternehmen zu bringen“, führt Middleton-Leal aus.
Adam Seamons, Head of Data Safety bei der GRC Worldwide Group, stimmt zu, dass der Austausch von Altsystemen selten eine Priorität für IT-Projekte in Unternehmen darstellt. „Der Austausch von Altsystemen ist teuer, riskant und steht selten ganz oben auf der Prioritätenliste, bis etwas kaputt geht.“
Seamons fügt hinzu: „Das Drawback ist, dass jedes nicht gepatchte Gerät im Grunde genommen eine Einladung für Angreifer ist.“
Die Maßnahmen zur Behebung solcher Risiken können über den reinen Austausch der {Hardware} oder Migrationen hinausgehen. So können Upgrades zusätzliche Arbeiten an der Software program erfordern, um mit neueren, sichereren Komponenten kompatibel zu sein.
„Das ist oft der Grund, warum ältere Software program-Belongings nicht aktualisiert werden, denn die Nacharbeit und Änderungskontrolle ist eine erhebliche Investition, die sich wirtschaftlich kaum rechtfertigen lässt“, bemerkt Middleton-Leal von Qualys.
„CISOs und Sicherheitsverantwortliche müssen ihre Groups durch diese Kostenabwägung führen. Dort, wo Software program am Ende ihrer Lebensdauer nicht ersetzt werden kann, müssen kompensierende Kontrollen und Risikominderungsmaßnahmen entwickeln werden, um die Sicherheit der Software program oder Belongings dennoch zu gewährleisten“, fordert Middleton-Leal. (jm)
