Voorsprong hackers op talmende patchers steeds groter
Achtergrond
8 mei 2009
De meeste exploits van lekken verschijnen binnen tien dagen nadat er patches voor de lekken zijn gepubliceerd. Daarbij wordt gebruikgemaakt van reverse engineering-methoden, waardoor heel snel exploits ontwikkeld kunnen worden. Gebruikers daarentegen nemen 29,5 dag de tijd voordat ze de patches installeren. Dat is een halve dag sneller dan in 2004. Qualys baseert deze cijfers op tachtig miljoen scans op zwakke plekken in software die het voor zijn klanten in 2008 heeft uitgevoerd.
Waarom gebruikers niet sneller patches uitbrengen, is niet helemaal duidelijk. Wolfgang Kadek, CTO van Qualys, vermoedt dat het te maken heeft met ervaringen uit het verleden. “In het verleden veroorzaakten patches nog weleens storingen. Maar dat is vijf tot tien jaar geleden. Beheerders moeten daar overheen stappen en er in elk geval voor zorgen dat ze lekken in browsers heel snel patchen. Het is ook niet nodig om patches daarvoor uitgebreid te testen. Naar mijn weten heeft een browserpatch zelden voor ernstige problemen gezorgd. Doe je dat, dan gaat dat gemiddelde van 29,5 dag al heel snel omlaag.”
Daarnaast concentreren beheerders zich vooral op patches voor besturingssystemen. Updates die lekken in applicaties als Office en Adobe dichten, worden over het hoofd gezien, constateert Kadek. “Waarom ze dat doen, is me niet duidelijk, maar het staat gewoon niet op hun radar. Maar het is niet meer genoeg om alleen het besturingssysteem te patchen. Het komt ook doordat ze domweg te veel werk hebben.”
Als remedie ziet hij voorlopig alleen nog maar agressievere promotie van beveiliging. Nare ervaringen met aanvallen zouden ook kunnen helpen, maar “vaak weet men niet eens dat men is aangevallen of dat er data zijn gestolen. Hackers werken liefst zo ongemerkt mogelijk zodat ze lang hun gang kunnen gaan. Neem het botnet GhostNet dat achttien maanden ongemerkt zijn gang heeft kunnen gaan.”
Aandacht in de media helpt ook. “Door alle commotie rond de vermeende aanval van Conficker op 1 april daalde het aantal systemen dat het lek in Windows waar Conficker gebruik van maakt niet had gepatcht, van 35 naar 25 procent.”
Het zal ook heel erg helpen als de beheerder precies weet hoe zijn infrastructuur ervoor staat. “De meeste beheerders denken dat ze het weten, maar dat is echt niet zo. Wij verhuren onze diensten op basis van het aantal IP-adressen van een klant. Maar wij maken zelden mee dat ze dat precies weten. Foutmarges van 20 tot 40 procent zijn heel gebruikelijk.”
Daarnaast heeft hij goede hoop dat meer gebruik van cloud computing de beveiliging verbetert. “Als je bepaalde functies in de cloud plaatst bij een competente serviceprovider, dan zorgt die wel voor goede spamfiltering en dergelijke. Een goede serviceprovider zorgt ook voor snelle invoering van patches. Hij kan dat ook goedkoper dan een bedrijf zelf omdat hij de kosten over meer klanten kan spreiden. Daarbij is overigens wel de kwaliteit van de serviceprovider bepalend.”
Waarom gebruikers niet sneller patches uitbrengen, is niet helemaal duidelijk. Wolfgang Kadek, CTO van Qualys, vermoedt dat het te maken heeft met ervaringen uit het verleden. “In het verleden veroorzaakten patches nog weleens storingen. Maar dat is vijf tot tien jaar geleden. Beheerders moeten daar overheen stappen en er in elk geval voor zorgen dat ze lekken in browsers heel snel patchen. Het is ook niet nodig om patches daarvoor uitgebreid te testen. Naar mijn weten heeft een browserpatch zelden voor ernstige problemen gezorgd. Doe je dat, dan gaat dat gemiddelde van 29,5 dag al heel snel omlaag.”
Daarnaast concentreren beheerders zich vooral op patches voor besturingssystemen. Updates die lekken in applicaties als Office en Adobe dichten, worden over het hoofd gezien, constateert Kadek. “Waarom ze dat doen, is me niet duidelijk, maar het staat gewoon niet op hun radar. Maar het is niet meer genoeg om alleen het besturingssysteem te patchen. Het komt ook doordat ze domweg te veel werk hebben.”
Als remedie ziet hij voorlopig alleen nog maar agressievere promotie van beveiliging. Nare ervaringen met aanvallen zouden ook kunnen helpen, maar “vaak weet men niet eens dat men is aangevallen of dat er data zijn gestolen. Hackers werken liefst zo ongemerkt mogelijk zodat ze lang hun gang kunnen gaan. Neem het botnet GhostNet dat achttien maanden ongemerkt zijn gang heeft kunnen gaan.”
Aandacht in de media helpt ook. “Door alle commotie rond de vermeende aanval van Conficker op 1 april daalde het aantal systemen dat het lek in Windows waar Conficker gebruik van maakt niet had gepatcht, van 35 naar 25 procent.”
Het zal ook heel erg helpen als de beheerder precies weet hoe zijn infrastructuur ervoor staat. “De meeste beheerders denken dat ze het weten, maar dat is echt niet zo. Wij verhuren onze diensten op basis van het aantal IP-adressen van een klant. Maar wij maken zelden mee dat ze dat precies weten. Foutmarges van 20 tot 40 procent zijn heel gebruikelijk.”
Daarnaast heeft hij goede hoop dat meer gebruik van cloud computing de beveiliging verbetert. “Als je bepaalde functies in de cloud plaatst bij een competente serviceprovider, dan zorgt die wel voor goede spamfiltering en dergelijke. Een goede serviceprovider zorgt ook voor snelle invoering van patches. Hij kan dat ook goedkoper dan een bedrijf zelf omdat hij de kosten over meer klanten kan spreiden. Daarbij is overigens wel de kwaliteit van de serviceprovider bepalend.”
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd.
Ben je nieuw bij AG Connect, registreer je dan gratis!
Registreren
- Direct toegang tot AGConnect.nl
- Dagelijks een AGConnect nieuwsbrief
- 30 dagen onbeperkte toegang tot AGConnect.nl
Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!