Management

Dit is een bijdrage van Ivanti
Security
patch software kwetsbaarheden

Is de cyberwereld echt minder veilig dan een paar jaar geleden?

We blikken kort terug om trends en patronen te identificeren en te achterhalen welke lessen we kunnen leren

12 juli 2019
Door: Ivanti , partner

We blikken kort terug om trends en patronen te identificeren en te achterhalen welke lessen we kunnen leren

Door Mark-Peter Mansveld

Ik ga het hebben over wat we in 2018 hebben gezien, maar ook over trends van het afgelopen decennium. Hieruit kunnen we afleiden waar organisaties naartoe zouden moeten werken om hun cybersecurity succesvol te maken.

Halverwege vorig jaar keken we naar de trends. We zagen een reeks Meltdown en Spectre-kwetsbaarheden die eerder hoofdpijn dan dreiging veroorzaakten. We zagen dat leveranciers die voorheen weinig aanwezig waren in de Common Vulnerabilities & Exposures (CVE)-community, ineens een rol van betekenis gingen spelen. En we zagen dat hardware- en firmware-updates permanent bestaansrecht verworven in de wereld van kwetsbaarheidsmanagement.

Laten we beginnen op het hoogste niveau. In 2018 bereikte het totale aantal ontdekte en opgeloste CVE's een recordhoogte. Volgens CVE Details werden er  16.555 CVE's gemeld en opgelost. Dit is een stijging van bijna 300% ten opzichte van de 6.447 CVE's die in 2016 werden opgelost en ook nog een aanzienlijk verschil met de 14.714 CVE's die in 2017 werden opgelost.

Is de cyberwereld echt minder veilig dan een paar jaar geleden? Het antwoord op die vraag is ja en nee. Ja, er komen meer technologieën en softwareproducten op de markt en elk product introduceert meer kwetsbaarheden. Elke technologie heeft immers inherent gebreken die kunnen worden uitgebuit.

Tegelijkertijd kun je zeggen: nee, de cyberwereld is niet minder veilig geworden. We communiceren effectiever en transparanter over de kwetsbaarheden die er zijn. Wat ik hiermee bedoel is dat er in 1999 894 CVE's werden opgelost. CVE's waren toen nog grotendeels een nieuw concept. De technologie was nog niet zo goed verbonden en alom aanwezig als het nu is. Toen die vroege leveranciers hun processen voor het openbaar maken van beveiligingslekken ontwikkelden, en toen cybercriminelen de lat steeds hoger gingen leggen, begonnen we aan een wapenwedloop. We hebben de afgelopen jaren flinke sprongen voorwaarts gemaakt en we kunnen de komende jaren nog meer sprongen verwachten in het oplossen van CVE’s.

Laten we de diepte in gaan door te kijken welke leveranciers in de top 10-lijst van opgeloste kwetsbaarheden stonden. Deze telling is van CVEDetails.com en laat zien hoeveel kwetsbaarheden iedere leverancier heeft opgelost en openbaar gemaakt voor al zijn producten.

Top 10 kwetsbaarheden security

Ingeburgerde namen als Microsoft, Google en Adobe zijn goed vertegenwoordigd. Er staan ook veel Linux-gebaseerde bedrijven op de lijst en Qualcomm, dat nog nooit in de top 50 was verschenen, debuteerde plotseling in de top 10.

De top 10 inspireerde me om enkele vragen te stellen. Hoe kan een leverancier als Qualcomm, die voorheen niet meer dan 10 CVE’s per jaar had, plotseling in de top 10-lijst verschijnen? Wanneer je bovendien naar de top 50-producten voor 2018 kijkt, dan zie je dat Qualcomm 26 van de 50 producten maakte waarvoor kwetsbaarheden zijn opgelost. Het antwoord op de vraag is dat meer leveranciers zich bezig zijn gaan houden met gestructureerde bugbounty-programma's, actieve kwetsbaarheidstests en openbaarmaking. Bekijk dit Qualcomm-bericht uit januari.

Meer leveranciers laten actieve kwetsbaarheidsbeoordelingen van hun producten uitvoeren en werken samen met securityspecialisten om meer zicht te krijgen op het probleem. Er zijn zelfs leveranciers die een ecosysteem creëren waar andere leveranciers specifieke producten kunnen voorleggen aan beveiligingsspecialisten. Het team van HackerOne bestaat al sinds 2013 en er zijn veel leveranciers die zich voor hun diensten aanmelden. Ze hebben tot dusver in 2019 meer dan tien nieuwe bedrijven mogen verwelkomen. Overigens heeft ook Qualcomm een profiel op HackerOne. Ik vermoed dat Qualcomm in 2018 in de top 10 kwam dankzij de uitbetalingen van sommige van die premies, inclusief $15k voor kritieke kwetsbaarheden op hun mobiele modemtechnologieën.

Een andere opvallende trend onder topleveranciers en -producten betreft Linux. Debian stond bovenaan de lijst van 2018 met in totaal 952 opgeloste CVE's. Debian had het op één na hoogste aantal CVE’s binnen een jaar dat werd opgelost door een enkele leverancier, net achter de maar liefst 1.000 CVE's van Google in 2017. Linux-besturingssystemen staan al lang in de top 50, maar de Linux-gemeenschap heeft zijn voet op het gaspedaal en concurreert nek-aan-nek met leveranciers als Microsoft, Google, Oracle, Apple en Adobe voor het totale aantal opgeloste kwetsbaarheden. Dit benadrukt het feit dat geen enkel besturingssysteem veilig is. Elk besturingssysteem heeft kwetsbaarheden en moet dan ook onderhouden worden.

Andere leveranciers die op de lijst verschenen zijn Foxitsoftware en Imagemagick. Hoewel geen van deze bedrijven bijzonder groot is, hebben ze de afgelopen twee jaar toch de lijst met 50 leveranciers gehaald. Imagemagick bereikte de top 10-lijst in 2017 en Foxit was nummer 12 in 2018. Twee belangrijke zaken om hierbij op te merken:

  • Overstappen naar alternatieve software verbetert de beveiliging niet. Wanneer je Adobe voor Foxit hebt verlaten omdat je overweldigd was door het aantal kwetsbaarheden in Adobe-producten, dan kom je bedrogen uit: Foxit stond er dit jaar niet ver achter. Hun kwetsbaarheidsprogramma is nog maar net volwassen. Ze zullen waarschijnlijk in de toekomst redelijk vergelijkbaar zijn.
  • Dat software beperkte functionaliteit heeft en niet algemeen bekend is, betekent niet dat er geen beveiligingsrisico's zijn. Imagemagick loste 357 kwetsbaarheden in 2017 op in één applicatie, waarmee het de vierde plaats bekleedde in 2017, net achter iPhone OS.

Tot slot: geen jaaroverzicht van patches zou compleet zijn zonder te kijken naar de grote browserrace. Hoewel Google Chrome overheerste qua gebruik, verdubbelde Mozilla Firefox het aantal opgeloste kwetsbaarheden in 2018, volgens Statcounter. Firefox stond op nummer zeven in de top 50 van producten met 333 opgeloste CVE's. Chrome kwam binnen op nummer 48 met 160 opgeloste CVE's. Microsoft Edge kwam binnen op nummer 46 met 161 opgeloste CVE's. Internet Explorer heeft dit jaar de top 50 niet gehaald. Hou wel rekening met het feit dat Qualcomm 26 van de 50 plaatsen in de top 50-lijst bekleedde. De lijst zou er heel anders uitzien als Qualcomm niet voor zoveel verschillende apparaten dezelfde kwetsbaarheden had opgelost.

Global Stats Patchbeheer

Bron afbeelding: Statcounter

Dus wat zijn de patchbeheer-lessen die we hebben geleerd?

  • Als sector worden we steeds meer gedisciplineerd in het ontdekken en oplossen van kwetsbaarheden.
  • Dit werd in de afgelopen jaren ontkracht, maar 2018 dient als een herinnering dat alle besturingssystemen - Windows, Mac, Linux, het maakt niet uit - kwetsbaar zijn, dus begin met patchen.
  • Nieuwere software-alternatieven zijn niet veiliger. Ze zijn vaak minder volwassen in hun processen, dus hoewel je de kwetsbaarheden niet ziet, zijn ze er nog steeds.
  • Alle software op het netwerk, hoe klein ook, vormt een beveiligingsrisico. Houd alle software bijgewerkt of verwijder het.
  • Het maakt niet uit welke browser je gebruikt, ze vormen allemaal een doelwit. Kwaadwillenden richt en zich bewust op browsers en aanvallen op bestandsniveau. Het is veel makkelijker voor hackers om via social engineering een systeem binnen te dringen dan om zich toegang te forceren met aanvallen op afstand. Maar wanneer op afstand exploiteerbare mogelijkheden zich voordoen, zullen ze er snel geld aan kunnen verdienen. Laten we WannaCry niet vergeten.

Over Mark-Peter Mansveld
Mark-Peter is Area Vice President EMEA North bij Ivanti en heeft een gedegen kennis van security. Hij houdt zich voornamelijk bezig met het realiseren van de groei van het bedrijf en het onder de aandacht brengen van de Ivanti producten bij partners en (potentiële)klanten.

Reactie toevoegen