Het percentage vastgestelde kwetsbaarheden in netwerkapparatuur daalde in 2012 naar 67 procent. In 2011 was dat nog 75 procent. Hoewel het percentage in 2012 daalde, getuigt het nog altijd hoge percentage van een afwachtende houding ten aanzien van security onder netwerkmanagers. Dat stelt ict-dienstverlener Dimension Data in het Network Barometer Report 2013.
Het rapport, dat voor het eerst in 2009 werd gepubliceerd, biedt informatie over de status van it-netwerken van organisaties wereldwijd. Dimension Data verzamelt data van organisaties en van de Technology Lifecycle Management Assessments die het jaarlijks uitvoert. Het rapport biedt onder meer inzicht in de mate waarin netwerken de business goed ondersteunen. Daarbij beoordeelt het rapport zaken als beveiligingskwetsbaarheden, end-of-life status en best practice configuratievarianten van apparatuur. Dimension Data voerde tot nu toe in totaal meer dan twaalfhonderd Technology Lifecycle Management Assessments uit bij organisaties van verschillende omvang en uit diverse regio’s.
Patchmeldingen en upgrades
‘Er zijn bepaalde kwetsbaarheden die al enkele jaren bestaan en nog niet zijn aangepast’, zegt Edwin de Brave, solutions director bij Dimension Data. ‘En dat ondanks de proactieve benadering van leveranciers als Cisco om patchmeldingen te geven en continu software- en systeemupgrades te bieden. Het is lastig en uitdagend om alle kwetsbaarheden in grote en complexe omgevingen te elimineren. De inspanningen op dat gebied moeten echter afgewogen worden tegen de mogelijke impact. Hoewel netwerken ogenschijnlijk minder kwetsbaarheden vertonen, blijft het percentage hoog totdat de betreffende software is gepatcht of opgewaardeerd naar een hogere en veiliger versie.’
De Brave adviseert organisaties om zich te richten op die kwetsbaarheden die de grootste bedreiging vormen. ‘Bedrijven moeten waakzaam zijn en duidelijke richtlijnen invoeren voor wat betreft het evalueren, prioriteren en patchen van netwerkkwetsbaarheden. Ondanks dat veel kwetsbaarheden maar moeilijk volledig te elimineren zijn, is het onverstandig om afwachtend te zijn.’
Ik zie niet echt een koppeling tussen de kop van het artikel en de inhoud, er wordt nergens gesuggereerd dat IT-managers nadrukkelijk securityproblemen negeren, hoogstens dat netwerkapparatuur lang niet altijd gepatcht is tot het laatste level.
Jammer dat wat er van het rapport hier weergegeven wordt geheel niets zeggend en non-informatief is. Dat had makkelijk voorkomen kunnen worden door wat concrete voorbeelden van opgeloste kwetsbaarheden te geven, dat had dan meteen de urgentie van het onderwerp kunnen onderstrepen.
…vast een advertorial van Dimension Data & Cisco 😉
@PENU
Sander kan erg slecht tegen kritiek, dus zijn redactionele stukjes afkraken levert altijd minder sterren op;-)
Jammer natuurlijk want al eerder is gevraagd om achterliggende rapporten in plaats van de samenvatting zodat we zelf onze conclusie kunnen trekken. Want uiteindelijk mis ik namelijk de reden waarom bepaalde dingen al enkele jaren bestaan en nog niet zijn aangepast. Mijn idee (en ervaring) is dat het uitstellen van patches namelijk vaak samenhangt met de gevolgen ervan zoals bijvoorbeeld ‘downtime’ van services.
Als we het over de grootste bedreigingen hebben gaat het namelijk niet zo zeer om het netwerk wat we dus met allerlei maatregelen kunnen mitigeren maar de gebruiker en zijn/haar software. Patchen en afwachten is tenslotte niet meer genoeg met alle verschillende bedreigingen die via het Internet op ons afkomen. Of zoals ik schreef n.a.v. Alt-S:
“De directeur van IOactive, Iftach Ian Amit, begon zijn verhaal met een mooi vergelijk van middeleeuwse oorlogsvoering. Een toepasselijke metafoor als we ons passief blijven verschuilen achter de (vuur)muren en aanvallen afwachten. Actieve bescherming vereist ook niet alleen verkenning maar net zo goed defensieve aanvallen door bijvoorbeeld de hacker te hacken. Maar de vraag hierbij is, net als bij hetbeschermen van je huis, wat allemaal toegestaan is.”
Hetzelfde wordt genoemd in laatste zin maar we moeten nu helaas raden wat er mee bedoeld wordt omdat teneur van stukje toch wat FUD bevat en geen nieuws is. Meer dus een opinie ‘by proxy’ dan een advertorial waarbij resultaat wel hetzelfde is omdat er geen antwoord op vragen komt.
@redactie
‘No offense’ maar misschien kan dhr. de Brave ons vertellen wat nu grootste dreiging is want dat we moeten patchen tegen ‘scriptie kiddies’ weten we al. Maar hoe beschermen we ons tegen de meer geavanceerde aanvallen zoals bijvoorbeeld DDoS, de ‘backdoors’ en *ware?
Oftewel moeten we ons geld inzetten op een nummer, een kleur, een straat of zijn we het zonder geluk altijd kwijt?
Heb het maar even opgezocht in rapport: PSIRT 109444 was the most common PSIRT for the third year in a row. It was present in 66% of all devices in 2010, dropped to 47%in 2011, and rose again to 62% in 2012. Why is PSIRT 109444 still so persistent, even as a known vulnerability over the last four years?
En voor de niet kenners: PSIRT 109444 = Transmission Control Protocol (TCP) State Manipulation
DoS Vulnerability en zo zijn er nog een stuk of 6. Het komt erop neer dat netwerk apparatuur niet wordt gepatched en dat netwerkapparatuur aan het einde van support cycle is.
Kom je natuurlijk op 2 punten uit, als een netwerk moet worden gepatched moet het netwerk meestal down, is niemand blij mee en voor apparatuur aan het einde van de support cycle geldt dat er geen patches meer beschikbaar zijn.
Dit ter aanvulling op het artikel, rapport is overigens nauwelijks leesbaar voor de gemiddelde IT manager en is doorspekt met high level talk en technical nitty gritty.