tookitook -shutterstock.com
Laut einer Studie von Palo Alto Networks laufen 26 Prozent der Linux-Systeme und acht Prozent der Windows-Systeme mit veralteten Versionen. Die Ergebnisse basieren auf Telemetriedaten von 27 Millionen Geräten in den Netzwerken von 1.800 Unternehmen.
Die Analyse offenbart zudem, dass 39 Prozent der in Netzwerkverzeichnissen registrierten IT-Geräte über keine aktive Endpoint-Protection-Lösung verfügen. Ein Drittel (32,5 Prozent) aller Geräte in Unternehmensnetzwerken wird außerhalb der IT-Kontrolle betrieben.
Die fehlenden Sicherheitskontrollen ermöglichen es Angreifern, in ungeschützte Geräte einzudringen, ohne entdeckt zu werden. Außerdem sind fast vier von fünf (77 Prozent) der Unternehmensnetzwerke schlecht segmentiert – Geräte mit geringer Sicherheit wie intelligente Kaffeemaschinen oder Drucker befinden sich im selben Netzwerksegment wie hochwertige Zielen, etwa Finanzserver.
„In unseren Ergebnissen war besonders auffällig, dass Alltagsgeräte wie Überwachungskameras, smarte Sensoren oder private Laptops oft direkt mit sensiblen Systemen verbunden sind. Zudem weisen selbst von der IT verwaltete Geräte häufig Sicherheitslücken auf“, erklärt Qiang Huang, VP of Product Management für Cloud-basierte Sicherheitsdienste bei Palo Alto Networks, gegenüber CSO. „Fast die Hälfte dieser Verbindungen stammt von Hochrisikogeräten, bei deren Entwicklung Sicherheit keine Rolle spielte.“
Lücken bei der Sichtbarkeit
Der Studie zufolge sind Visibility und Segmentierung nach wie vor die größten Schwachstellen vieler Unternehmensnetzwerke. Etwa ein Drittel der Unternehmensgeräte wird immer noch nicht verwaltet. Die meisten Netzwerke sind praktisch flach aufgebaut, sodass Angreifer sich nach dem Eindringen frei bewegen können.
Schlimmer noch: Netzwerk-Edge-Geräte sind zunehmend von Zero-Day-Schwachstellen betroffen, die Experten auf grundlegende Sicherheitslücken zurückführen.
„Fehlkonfigurationen in Firewalls, Routern und Switches haben wiederholt zu schwerwiegenden Sicherheitsverletzungen geführt, da diese Geräte oft über privilegierten Zugriff und umfassende Netzwerksichtbarkeit verfügen“, erklärt Bharat Mistry, Field CTO bei Trend Micro. „Ihre Präsenz an der Spitze der Schwachstellenliste unterstreicht die Notwendigkeit eines rigorosen Patch- und Konfigurationsmanagements.“
Router, Videokonferenzsysteme und IoT-Geräte befinden sich am Rand von Netzwerken. Sie sind oft nicht gemanaged, ungenügend gepatcht und laufen mit Standardzugangsdaten.
„Wenn Unternehmen die Internet-Exposition reduzieren, Standard-Anmeldedaten abschaffen und Geräte priorisiert patcht, die sowohl exponiert als auch angreifbar sind, entziehen sie Angreifern eine Vielzahl von Möglichkeiten“, betont Rik Ferguson, VP of Security Intelligence bei Forescout.
Ferguson fügt hinzu: „Man kann sich nicht auf die Abdeckung durch Agenten verlassen, daher benötigt man eine kontinuierliche, agentenlose Transparenz, ein vollständiges Software- und Firmware-Inventar, einschließlich EOL-Status und risikobasierter Kontrollen auf Segmentierungs- und Patch-Ebene.“
Weitere Studie mit ähnlichen Ergebnissen
Ferguson bestätigt gegenüber CSO: „Die Ergebnisse von Palo Alto Networks stimmen in etwa mit unseren Beobachtungen in der Praxis überein, insbesondere bei Embedded-Linux-Systemen in Routern und Geräten, bei denen die Kernel-Versionen um Jahre hinterherhinken“. „Das Ergebnis ist eine große Angriffsfläche von über das Internet erreichbaren Geräten mit ungepatchten Schwachstellen und schwachen Standardeinstellungen.“
Laut dem aktuellen jährlichen Bericht von Forescout über die risikoreichsten Geräte machen Router und andere Netzwerkgeräte mehr als die Hälfte der Geräte mit den gefährlichsten Schwachstellen aus, wobei auch andere Kategorien wie Video-/Sprachsysteme eine wichtige Rolle spielen.
Die Studie von Forescout, die auf Telemetriedaten von Unternehmensgeräten unter Verwendung der Device Cloud von Forescout und einer Multi-Faktor-Risikobewertungsmethode basiert, hebt auch hervor, dass das Risiko durch OT-Geräte rapide zunimmt.
Zu den risikoreichsten Gerätetypen nach Domäne gehören laut ForeScout auf der IT-Seite Application Delivery Controller und Firewalls, im IoT-Bereich NVRs, NAS, VoIP und IP-Kameras und im OT-Bereich Universal Gateways und Gebäudemanagementsysteme.
Herausforderungen bei der Behebung
Matt Middleton-Leal, Managing Director für EMEA bei Qualys, ist der Meinung, dass Transparenz, die Behebung von Schwachstellen und die Netzwerksegmentierung intern als wichtiger behandelt werden müssen, wenn CISOs Unterstützung für Sicherheitsprojekte erhalten wollen.
Die Herausforderung für Sicherheitsverantwortliche bestehe darin, dass Projekte zum Austausch unsicherer Geräte als weniger wichtig angesehen würden. Zudem würden ihnen Argumente fehlen, die beispielsweise für KI-bezogene Projekte gelten, die als „Spitzenreiter“ der Innovation angesehen werden.
„Der Austausch von Altgeräten kann Zeit und Ressourcen für das Change Management kosten, ohne sichtbaren Nutzen für das Unternehmen zu bringen“, führt Middleton-Leal aus.
Adam Seamons, Head of Information Security bei der GRC International Group, stimmt zu, dass der Austausch von Altsystemen selten eine Priorität für IT-Projekte in Unternehmen darstellt. „Der Austausch von Altsystemen ist teuer, riskant und steht selten ganz oben auf der Prioritätenliste, bis etwas kaputt geht.“
Seamons fügt hinzu: „Das Problem ist, dass jedes nicht gepatchte Gerät im Grunde genommen eine Einladung für Angreifer ist.“
Die Maßnahmen zur Behebung solcher Risiken können über den reinen Austausch der Hardware oder Migrationen hinausgehen. So können Upgrades zusätzliche Arbeiten an der Software erfordern, um mit neueren, sichereren Komponenten kompatibel zu sein.
„Das ist oft der Grund, warum ältere Software-Assets nicht aktualisiert werden, denn die Nacharbeit und Änderungskontrolle ist eine erhebliche Investition, die sich wirtschaftlich kaum rechtfertigen lässt“, bemerkt Middleton-Leal von Qualys.
„CISOs und Sicherheitsverantwortliche müssen ihre Teams durch diese Kostenabwägung führen. Dort, wo Software am Ende ihrer Lebensdauer nicht ersetzt werden kann, müssen kompensierende Kontrollen und Risikominderungsmaßnahmen entwickeln werden, um die Sicherheit der Software oder Assets dennoch zu gewährleisten“, fordert Middleton-Leal. (jm)
