– Hinweis zum Skybox Security Vulnerability Management Survey 2012 –
Skybox Security, Spezialist für präventives IT-Sicherheitsmanagement, hat die Ergebnisse einer weltweiten Umfrage vorgestellt, die mehrere Unzulänglichkeiten beim Einsatz klassischer Schwachstellen-Scanner offen legen. Für den jetzt veröffentlichten „Skybox Security Vulnerability Management Survey 2012“ wurden weltweit über 100 IT-Entscheider aus ebenso vielen Unternehmen befragt, darunter Sicherheitsverantwortliche sowie Netzwerk- und Systemingenieure, die mit Prozessen für das Management von Sicherheitslücken befasst sind. Skybox Security hat die Studie in Zusammenarbeit mit Osterman Research erstellt.
92 Prozent der befragten Unternehmen, deren Größe von 250 Mitarbeitern bis 350.000 Mitarbeitern mit einem Median von 2.900 Mitarbeitern reicht, haben ein Programm für das Management von Sicherheitslücken implementiert. Ein Kernbestandteil dieser Programme sind Schwachstellen-Scanner. Diese stellen seit rund 15 Jahren das wichtigste Werkzeug dar, um Sicherheitslücken zu entdecken, indem sie Netzwerk-Hosts aktiv auf viele Tausend Angriffsmuster hin prüfen. Trotzdem gab fast die Hälfte der Befragten an, dass sie ihre Netzwerke als „etwas“ bis „äußerst“ verwundbar gegenüber Sicherheitsbedrohungen einschätzten. 49 Prozent der befragten Unternehmen hatte in den vergangenen sechs Monaten mit einem Cyberangriff zu tun, der zum Ausfall von Services, dem unerlaubten Zugriff auf Informationen, Datendiebstahl oder sonstigen Schäden führte.
Die Umfrage fördert einen bedeutenden Widerspruch zwischen der tatsächlichen Häufigkeit und Reichweite von Schwachstellen-Scans auf der einen Seite und dem nach Meinung der Befragten erforderlichen Rhythmus und Anwendungsbereich auf der anderen Seite zu Tage. Vierzig Prozent der Unternehmen scannen ihre internen Netzwerke einmal pro Monat oder seltener und selbst die kritischen DMZ-Zonen werden in der Regel einmal pro Woche oder seltener überprüft. Die Reichweite der Scans, gemessen an dem Prozentsatz der untersuchten Hosts, zeigt ebenfalls Lücken: 27 Prozent der großen Unternehmen gab an, je Prüfvorgang weniger als die Hälfte ihrer Hosts in der DMZ zu scannen. Bei den mittleren Unternehmen sind dies sogar 60 Prozent. Demgegenüber erklärten 49 Prozent der Unternehmen, sie nähmen Schwachstellen-Scans in der von ihnen gewünschten Häufigkeit und Tiefe vor.
Für die niedrige Zahl und Reichweite der Scans gibt es eine Reihe von Gründen: 57 Prozent der Befragten sagten, der klassische aktive Scanvorgang führe zu Unterbrechungen von Netzwerkdiensten und essenziellen Geschäftsanwendungen. 33 Prozent gaben an, dass Teile ihrer Netzwerke nicht gescannt werden könnten und weitere 29 Prozent berichteten, sie hätten Schwierigkeiten, die für die Scans erforderlichen Zugangsdaten zu den Systemen zu bekommen.
„Es ist offensichtlich, dass Schwachstellen-Scans unter Managementgesichtspunkten Probleme bereiten können. Denn sie führen in vielen Fällen zu Unterbrechungen und bringen ein Zuviel an Informationen hervor, die gar nicht verarbeitet werden können. Schwachstellen-Scanner werden deshalb der Tendenz nach nur für punktuelle Prüfungen eingesetzt, eine ineffektive Methode, um Risiken zu minimieren“, so Gidi Cohen, CEO von Skybox Security. „Gefährliche Sicherheitslücken müssen täglich ermittelt, priorisiert und geschlossen werden. Dabei muss ein Großteil der Infrastruktur abgedeckt werden. Nur dann lässt sich das Zeitfenster, Risiken ausgesetzt zu sein, systematisch verkleinern, lassen sich Datendiebstähle und Angriffe im Vorfeld vermeiden.“
Die wichtigsten Umfrageergebnisse im Überblick:
- Über 90 Prozent der befragten Unternehmen haben ein Programm für das Management von Sicherheitslücken implementiert und sehen das Managen von Schwachstellen als prioritäre Aufgabe an.
- 49 Prozent berichten von einem Cyberangriff in den vergangenen sechs Monaten, der zu Serviceausfall, unerlaubtem Zugriff auf Informationen, Datendiebstahl oder sonstigen Schäden führte.
- 40 Prozent scannen ihre DMZ einmal im Monat oder seltener.
- Hinsichtlich der Scan-Häufigkeit genießen interne Netzwerke und Rechenzentren die höchste Priorität: 35 Prozent der befragten Unternehmen scannen diese Bereiche täglich.
- Große Unternehmen mit mehr als 1.500 Mitarbeitern scannen in der Regel häufiger und decken dabei eine größere Anzahl an Hosts ab als mittlere Unternehmen mit 250 bis 1.499 Mitarbeitern.
- 73 Prozent der großen Unternehmen mit mehr als 1.500 Mitarbeitern scannen mindestens 50 Prozent der Hosts in der DMZ, während dies nur 39 Prozent der mittleren Unternehmen mit 250 bis 1.499 Mitarbeitern tun.
- Sowohl große als auch mittlere Unternehmen berichten, dass sie „Bedenken wegen der von den aktiven Scans verursachten Unterbrechungen“ haben und „nicht über die Ressourcen verfügen, um das Datenaufkommen aus häufigeren Scans zu analysieren“. Dies sind die Hauptgründe dafür, dass Scans seltener als gewünscht vorgenommen werden.
- Große Unternehmen weisen dem Fehlen von ausreichenden Patching-Ressourcen und der Verwendung von Hosts, die nicht gescannt werden können, einen höheren Problemstatus zu als Unternehmen mittlerer Größe.
Die vollständigen Umfrageergebnisse stehen unter http://lp.skyboxsecurity.com/VMSurvey.html zum Herunterladen bereit.
