Bekende kwetsbaarheden blijken zwakke plek van bedrijfsnetwerken
Ook aanvallen op bedrijfsnetwerken die geen gebruik maken van dure zero-day exploits kunnen slagen. Het aantal zero-day aanvallen neemt weliswaar toe, maar cybercriminelen maken nog altijd uitvoerig gebruik van bekende kwetsbaarheden. Het kost bedrijven gemiddeld 60 tot 70 dagen een update te installeren die een kwetsbaarheid verhelpt, waardoor cybercriminelen alle tijd hebben van de exploit te profiteren.
Dit blijkt uit een audit van Kaspersky Lab en Outpost24 onder een aantal Europese organisaties. Tijdens de audit onderzochten de beveiligingsbedrijven de aanwezigheid ongepatchte kwetsbaarheden, om zo de veiligheid van het IT-landschap in kaart te brengen. Over het algemeen kan worden gesteld dat alle kritieke kwetsbaarheden binnen drie maanden moeten worden opgelost. 77% van de dreigingen die na deze deadline van drie maanden nog actief was, bleek ook een jaar na ontdekking nog aanwezig.
Oude kwetsbaarheden
Het onderzoeksteam van Kaspersky Lab en Outpost24 verzamelde gegevens over kwetsbaarheden vanaf 2010 en vond bedrijfssystemen die reeds drie jaar kwetsbaar zijn. 0,86% van de bedrijfssystemen in de Benelux heeft te maken met kwetsbaarheden uit 2012, terwijl 0,7% zelfs met kwetsbaarheden uit 2011 wordt geconfronteerd. Deze ongepatchte kwetsbaarheden worden geclassificeerd als kritiek, aangezien zij eenvoudig kunnen worden misbruikt en een grote impact kunnen hebben.
Nog opvallender zijn de cijfers omtrent kwetsbaarheden van tien jaar of ouder. Zo kampt respectievelijk 0,11% en 0,18% van de bedrijven met ongepatchte kwetsbaarheden uit 1999 en 2002. Dit ondanks het feit dat deze bedrijven betaalden voor een speciale service om hun veiligheid te bewaken.
Social engineering experiment
Nadat Kaspersky en Outpost24 de onderzoeksgegevens hadden verzameld besloot Kaspersky Lab's beveiligingsonderzoeker David Jacoby een social engineering experiment uit te voeren. Hiermee wilde de expert testen hoeveel moeite het zou kosten om een USB-stick te plaatsen in computers van overheidsinstellingen, hotels en particuliere bedrijven. Gewapend met de USB-stick informeerde Jacoby bij receptiemedewerkers van elf organisaties of ze hem konden helpen bij het afdrukken van een document voor een afspraak op een volstrekt andere locatie. De USB-stick bevatte in dit geval slechts een PDF van zijn CV, maar had ook malware kunnen bevatten.
De steekproef voor deze security audit is uitgevoerd bij drie hotels van verschillende ketens, zes overheidsorganisaties en twee grote particuliere ondernemingen. Computers bij overheidsinstellingen bevatten meestal gevoelige informatie over burgers, terwijl grote particuliere ondernemingen doorgaans netwerkverbindingen hebben naar andere bedrijven. Vijf-sterren hotels zijn typisch plaatsen waar diplomaten, politici en top-executives verblijven.
Resultaten
Slechts één hotel vond het geen probleem om Jacoby’s USB-stick aan te sluiten op hun computer, de andere twee weigerden. De particuliere bedrijven wezen zijn verzoek ook af. Van de zes bezochte overheidsorganisaties waren er maar liefst vier die Jacoby hielpen door zijn USB-stick in een computer te steken. Bij twee van deze organisaties was de USB-poort gedeactiveerd, en vroeg het personeel Jacoby om het bestand per e-mail te versturen. Een actie die voldoende ruimte biedt om kwetsbaarheden in de PDF-software te benutten.
"Wat ik echt verrassend vond is dat de hotels en particuliere bedrijven zich beter bewust waren van de risico’s en een betere beveiliging hadden dan de overheidsorganisaties. Aan de hand van dit experiment mogen we concluderen dat er sprake is van een wezenlijk probleem. De door ons uitgevoerde security audit is relevant voor elk land, omdat de kloof tussen het moment dat een kwetsbaarheid wordt ontdekt en het moment dat er een patch voor is, overal bestaat. Het resultaat van het veldonderzoek met de USB-stick schudt hopelijk degenen wakker die op zoek zijn naar op maat gemaakte beveiligingsoplossingen die de 'dreigingen van morgen' aanpakken. Het toont aan dat het minstens zo belangrijk is om personeel aan te leren altijd alert te zijn", zegt David Jacoby, Senior Security Researcher van Kaspersky Lab’s Global Research & Analysis Team (GReAT).
Huidige dreigingen het hoofd bieden
"Het valt tegen om te zien dat ondernemingen kostbare bedrijfsmiddelen verspillen aan potentiële toekomstige dreigingen, terwijl ze er niet eens in slagen de huidige dreigingen het hoofd te bieden", zegt Martin Jartelius, Chief Security Officer van Outpost24. "Of het nu gaat om aflatende beveiligingsmaatregelen, verkeerd geconfigureerde beveiligingsapparatuur of medewerkers die niet goed zijn getraind: bedrijven moeten begrijpen dat het mogelijk is dat de controle over grote delen van hun organisatie wordt overgenomen, zelfs zonder het gebruik van de nieuwste aanvallen of methoden. Daarom is het van essentieel belang de beveiligingsaanpak niet alleen te baseren op individuele middelen, maar te streven naar een geïntegreerde aanpak met oplossingen die onderdeel uitmaken van de bedrijfsprocessen."
