Niet-gepatchde applicaties zijn # 1 Cyber ​​Security Risk

Niet-gecpatchte clientsoftware en kwetsbare internetgerichte websites zijn de meest ernstige cyberbeveiligingsrisico's voor bedrijven. Kleinere bedreigingen zijn onder andere gaten in het besturingssysteem en een toenemend aantal zero-day-kwetsbaarheden, volgens een nieuwe studie.

Een toonaangevende organisatie voor veiligheidseducatie, het SANS Institute, heeft een nieuw rapport uitgebracht met de beschrijving van 'De beste cyberveiligheidsrisico's'. Het kan gratis worden gelezen (geen registratie vereist). Dit zijn de belangrijkste bevindingen, geciteerd uit de samenvatting:

Prioriteit 1: Software aan de client die nog niet is gepatcht

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

"Golven van gerichte e-mailaanvallen, vaak spear phishing genoemd, benut kwetsbaarheden aan de clientzijde in veelgebruikte programma's zoals Adobe PDF Reader, QuickTime, Adobe Flash en Microsoft Office.

"Dit is momenteel de primaire initiële infectievector die wordt gebruikt om computers met internettoegang in gevaar te brengen. Diezelfde client-side kwetsbaarheden worden uitgebuit door aanvallers wanneer gebruikers geïnfecteerde websites bezoeken. (Zie prioriteit twee hieronder voor de manier waarop ze de websites binnendringen).

"Omdat de bezoekers zich veilig voelen bij het downloaden van documenten van de vertrouwde sites, kunnen ze gemakkelijk misleid worden bij het openen van documenten en muziek en video die kwetsbaarheden aan de clientzijde misbruiken.

"Sommige exploits vereisen zelfs niet dat de gebruiker documenten opent. Eenvoudig toegang krijgen tot een geïnfecteerde website is alles wat nodig is om de clientsoftware te compromitteren. De geïnfecteerde computers van de slachtoffers worden vervolgens gebruikt om de infectie te verspreiden en andere interne computers en gevoelige servers die ten onrechte worden beschermd tegen ongeautoriseerde toegang door externe entiteiten, te compromitteren.

"In veel gevallen is het uiteindelijke doel van de aanvaller om gegevens te stelen van de doelorganisaties en ook om achterdeuren te installeren waardoor aanvallers kunnen terugkeren voor verdere exploitatie.

"Gemiddeld nemen grote organisaties het minstens twee keer zo lang om hun client-side kwetsbaarheden te patchen wanneer ze de kwetsbaarheden van het besturingssysteem patchen. Met andere woorden: het risico met de hoogste prioriteit krijgt minder aandacht dan het risico met lagere prioriteit. "

Het rapport is gebaseerd op aanvalsgegevens van TippingPoint-intrusion prevention-systemen die 6.000 organisaties beschermen, kwetsbaarheidsgegevens van 9.000.000 systemen die door Qualys zijn gecompileerd en aanvullende analyse en zelfstudie door het internet Stormcentrum en de belangrijkste SANS-faculteitsleden.

Ook uit de samenvatting:

Prioriteit twee: kwetsbare websites die kwetsbaar zijn

"Aanvallen tegen webtoepassingen vormen meer dan 60% van het totaal aanvalspogingen waargenomen op internet. Deze kwetsbaarheden worden op grote schaal benut om vertrouwde websites om te zetten in kwaadwillende websites die content aanbieden die exploits aan de clientzijde bevat.

"Kwetsbaarheden in de webtoepassing zoals SQL-injectie en Cross-Site Scripting-fouten in open-source en op maat gemaakt toepassingen zijn goed voor meer dan 80% van de gevonden kwetsbaarheden.

"Ondanks het enorme aantal aanvallen en ondanks de wijdverspreide publiciteit over deze kwetsbaarheden, slagen de meeste websiteleden er niet in om effectief te scannen op de meest voorkomende fouten en worden ze onwetende hulpmiddelen die door criminelen worden gebruikt om de bezoekers te infecteren die deze sites vertrouwden om een ​​veilige webervaring te bieden. "

Normaal gesproken citeer ik niet zoveel informatie uit een brondocument, maar de SANS-mensen zijn experts en het advies dat zij bieden is goed onderbouwd. gratis rapport is niet lang, maar bevat veel meer dan ik hier kan citeren. Het is gratis beschikbaar op de website van SANS.

David Coursey tweets als @techinciter en kan contac zijn ted via zijn website.