Wolfgang Kandek, de CTO van Qualys, de leverancier van Software-as-a-Service-oplossingen voor on-demand IT security risk en compliance management, onthult op Infosecurity Europe de nieuwe Laws of Vulnerabilities, afgeleid uit de grootste databank met kwetsbaarheden van de industrie.
The Laws 2.0 laat de halfwaardetijd zien van vulnerabilities, de mate van voorkomen en persistentie, en de exploitatietrends in vijf grote economische sectoren: financiën, gezondheidszorg, retail, industrie en diensten. Deze trends zijn ontleend aan de statistische analyse van meer dan 680 miljoen kwetsbaarheden, waarvan 72 miljoen ernstig. Deze data zijn in 2008 vergaard uit 80 miljoen vulnerability scans door QualysGuard. Het onderzoek vormt een herhaling en uitbreiding van onderzoek uit 2004 (Laws 1.0).
Laws of Vulnerabilities 2.0
Het onderzoek leidt tot de volgende conclusies:
Halfwaardetijd – De halfwaardetijd 1) van ernstige kwetsbaarheden bleef in alle sectoren gemiddeld rond de 30 dagen. Wanneer men de individuele sectoren vergelijkt, heeft de dienstensector met 21 dagen de kortste halfwaardetijd. Financiën komt op de tweede plaats met 23 dagen, retail staat met 24 dagen op de derde plaats, en de productieindustrie komt op de laatste plek met een vulnerability half-life van 51 dagen.
Mate van voorkomen (prevalence) – Zestig procent van de ernstigste en meest voorkomende kwetsbaarheden wordt jaarlijks vervangen door nieuwe kwetsbaarheden. Dit getal is sinds het onderzoek van 2004, toen de score 50 procent was, alleen maar groter geworden. Volgens Laws 2.0 zijn de grootste achterblijvers MSFT Office, Windows 2003 SP2, Adobe Acrobat en Sun Java Plug-in.
Persistentie – The Laws 2.0 stelt dat de levensduur van de meeste, en misschien wel van alle, kwetsbaarheden onbeperkt is. Een groot percentage van de kwetsbaarheden wordt nooit volledig gerepareerd. Deze conclusie wordt ondersteund door gegevens uit MS08-001, MS08-007, MS08-015 and MS08-021.
Exploitatie – Tachtig procent van alle manieren om kwetsbaarheden uit te buiten is nu al bekend binnen enkele dagen nadat de kwetsbaarheid openbaar wordt gemaakt. In 2008 logde Qualys Labs 56 kwetsbaarheden in programma’s, waarvan de exploits op de zelfde dag al bekend waren (zero-day exploits), inclusief de RPC vulnerability (Remote Procedure Call) waaruit Conficker voortkwam. In 2009 was er voor de eerste kwetsbaarheid MS09-001, gepubliceerd door Microsoft, binnen zeven dagen al een exploit. Microsoft’s April Patch Tuesday bevatte ook reparaties van exploits voor meer dan 47 procent van de gepubliceerde kwetsbaarheden. Dit getal is het radicaalst veranderd ten opzichte van Laws 1.0 in 2004. Deze Law hield toen als richtlijn nog een comfortabele 60 dagen aan.
1) Halfwaardetijd (Half-life) is de periode die de sector nodig heeft om na de eerste ontdekking 50% van de kwetsbaarheden te patchen (unieke vermelding in CVE – Common Vulnerabilities and Exposures). Halfwaardetijd is de primaire indicator voor patchsnelheid.
"Beveiliging wordt steeds moeilijker, met zeer ver gevorderde aanvallers en met een adempauze van slechts enkele dagen om beveiligingsfouten te verhelpen," aldus Wolfgang Kandek, CTO van Qualys en auteur van de Laws of Vulnerabilities 2.0. "Ons doel met dit onderzoek is om organisaties in verschillende industrieën inzicht te geven over de veranderende trends, het hoge schadepotentieel en de prioriteit van kwetsbaarheden, zodat ze effectiever en sneller beslissingen kunnen nemen om hun netwerken te beveiligen. Met zulk onderzoek, helder uitgeschreven in de Laws of Vulnerabilities 2.0, kunnen we de industrie een statistisch beeld geven van real-time bedreigingstrends."
Onderzoeksmethode
The Laws zijn afgeleid uit gegevens in een anonieme databank, die niet herleidbaar zijn tot individuele klanten, IP-adressen of netwerken. De data worden met QualysGuard verzameld. De QualysGuard scanning infrastructuur onderzoekt meer dan 200 miljoen IP-adressen per jaar. Eenvoudige tellers zorgen tijdens het scannen van de netwerken van de klanten voor de metingen, en de zo verzamelde gegevens worden samengevat en dagelijks gelogd voor analysedoeleinden van dit onderzoek.
De volledige resultaten van The Laws staan op: http://laws.qualys.com.
