Thema der Woche

08. September 2004

Patch-Zeiten im LAN zu lang

Gerhard Eschelbeck, CTO von Qualys, hat unlängst ein Update seiner "[externer Link] Laws of Vulnerabilities" vorgestellt. Demnach haben Unternehmen zwar die "Halbwertszeit" von kritischen Sicherheitslücken auf exponierten Systemen mit direkter Internetanbindung von 30 auf 21 Tage gesenkt; die Gefahr von Angriffen auf Systeme innerhalb von Firmennetzen ist jedoch gewachsen. Denn im Schnitt dauert es dort 62 Tage, bis jeweils die Hälfte der internen Systeme durch Patches gesichert wird. Eschelbeck empfiehlt, hier einen Zeitraum von 40 Tagen anzustreben.

Grundlage von Eschelbecks Erkenntnissen ist eine statistische Analyse von mehr als 6,5 Millionen IP-Scans, die [externer Link] Qualys seit 2002 durchgeführt hat. Dabei stieß man auf fast vier Millionen Instanzen von über 1000 verschiedenen kritischen Schwachstellen, die es einem Angreifer ermöglicht hätten, die vollständige Kontrolle über ein System zu erlangen oder zumindest hochsensitive Informationen abzugreifen. Aus den so gewonnenen Daten hat Eschelbeck vier Gesetzmäßigkeiten abgeleitet:

  1. Halbwertszeit (Half-Life): Die Halbwertszeit beschreibt, wie lange Anwender brauchen, um die Hälfte ihrer Systeme zu patchen und das "Gefährdungsfenster" (Window of Exposure) zu verkleinern. Die aktuell ermittelte Halbwertszeit kritischer Sicherheitslücken beträgt bei externen Systemen wie schon erwähnt 21 Tage und bei internen Systemen 62 Tage. Mit abnehmendem Problemschweregrad verdoppelt sich diese Zahl.
  2. Wechselnde Hauptgefahren (Prevalence): Jährlich werden 50 % der meistverbreiteten kritischen Sicherheitslücken durch neue Probleme abgelöst. Es kommen also unablässig neue, kritische Schwachstellen auf, die geschlossen werden müssen.
  3. Dauerhaftigkeit (Persistence): Einige Sicherheitslücken und Würmer haben eine "unbegrenzte" Lebensdauer. Die Untersuchung hat beispielsweise gezeigt, dass die Würmer Blaster und Nachi 2004 mehmals epidemieartig auftraten – auch noch Monate nach ihrem erstmaligen Auftauchen.
  4. Ausnutzung (Exploitation): Der Zeitraum von der Entdeckung einer Sicherheitslücke bis zu ihrer Ausnutzung schrumpft schneller als der Zeitraum zur Schwachstellenbeseitigung. Zudem zielen 80 % aller Würmer und automatisierten Exploits auf die beiden ersten Halbwertszyklen kritischer Sicherheitslücken.

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.