We analyseerden 2,5 miljoen kwetsbaarheden die we ontdekten in de activa van onze klanten. Dit is wat we hebben gevonden.
Graven in de gegevens
De dataset die we hier analyseren is representatief voor een subset van klanten die zich abonneren op onze diensten voor het scannen op kwetsbaarheden. Tot de gescande activa behoren de activa die via internet bereikbaar zijn, maar ook de activa die aanwezig zijn op interne netwerken. De gegevens omvatten bevindingen voor netwerkapparatuur, desktops, webservers, databaseservers en zelfs een enkele documentprinter of scanapparaat.
Het aantal organisaties in deze dataset is kleiner (3 minder) dan de vorige dataset die vorig jaar in de Security Navigator 2023 werd gebruikt en sommige organisaties zijn vervangen door nieuwe toevoegingen. Met de verandering van organisaties komt een andere mix van middelen met zich mee, waardoor het vergelijken van de eerdere resultaten vergelijkbaar is met het vergelijken van appels met peren (we zijn misschien bevooroordeeld), maar het is nog steeds de moeite waard om waar mogelijk vergelijkbare patronen op te merken.
Dit jaar kijken we opnieuw naar het dreigende kwetsbaarheidsthema, met het oog op de altijd aanwezige en slepende staart van onopgeloste systeemzwakheden. De golven van nieuw ontdekte serieuze problemen zijn alleen maar voor onze aandacht, samen met bestaande onopgeloste problemen, en lijken op een hydra die steeds nieuwe kronkelende hoofden blijft laten groeien zodra je anderen erop afstuurt.
Het beoordelen of een systeem voldoende beschermd is, is een uitdaging die vaardigheid en expertise vereist en veel tijd kan kosten. Maar we willen vooraf op de hoogte zijn van eventuele zwakke punten, in plaats van te maken te krijgen met de gevolgen van een ongeplande ‘gratis pentest’ door een willekeurige Cy-X-groep.
Security Navigator 2024 is er – nu downloaden#
De onlangs uitgebrachte Security Navigator 2024 biedt kritische inzichten in de huidige digitale dreigingen en documenteert 129.395 incidenten en 25.076 bevestigde inbreuken. Het is meer dan alleen een rapport, het dient als leidraad voor het navigeren door een veiliger digitaal landschap.
Wat zit erin?#
- 📈 Diepgaande analyse: Ontdek trends, aanvalspatronen en voorspellingen. Leer van casestudies in CyberSOC en Pentesting.
- 🔮 Klaar voor de toekomst: Rust uzelf uit met onze veiligheidsvoorspellingen en onderzoekssamenvatting.
- 👁️ Realtime gegevens: Van Dark Net-surveillance tot branchespecifieke statistieken.
Blijf een stap voor op het gebied van cybersecurity. Uw essentiële gids wacht op u!
🔗 Ontvang nu uw exemplaar
Bevindingen van kwetsbaarheidsscans op ernst
Als we het ernstpercentage per unieke Bevinding onderzoeken, zien we dat het grootste deel van de unieke Bevindingen, 79%, geclassificeerd is als ‘Hoog’ of ‘Gemiddeld’. Het is echter ook vermeldenswaard dat de helft, 50,4%, van de unieke bevindingen als ‘kritisch’ of ‘hoog’ wordt beschouwd.
Het gemiddelde aantal ‘kritieke’ of ‘hoge’ bevindingen is met respectievelijk 52,17% en 43,83% afgenomen vergeleken met onze eerder gepubliceerde resultaten. Er kan ook een verbetering worden waargenomen voor de bevindingen, waarbij de ernstclassificaties ‘Gemiddeld’ en ‘Laag’ zijn gedaald met 29,92% en 28,76%. Omdat dit rapport een iets andere steekproef van klanten gebruikt dan vorig jaar, heeft een vergelijking op jaarbasis beperkte waarde, maar we zien wel aanwijzingen dat klanten goed reageren op de bevindingen die we rapporteren, wat resulteert in een algemene verbetering.
De meerderheid van de bevindingen (78%) die als ‘kritisch’ of ‘hoog’ zijn beoordeeld, zijn 30 dagen of jonger (wanneer wordt gekeken naar een periode van 120 dagen). Omgekeerd is 18% van alle bevindingen met de classificatie ‘Kritisch’ of ‘Hoog’ 150 dagen of ouder. Vanuit een prioriteringsperspectief lijken ‘kritieke’ of ‘hoge’ reële bevindingen snel te worden afgehandeld, maar er blijft in de loop van de tijd nog steeds een restant achter. We zien daarom dat onopgeloste bevindingen steeds ouder worden. ~35% van alle unieke CVE’s zijn afkomstig van bevindingen van 120 dagen of ouder.
De grafiek hierboven toont de lange staart van onopgeloste echte bevindingen. Let op de eerste opmerkelijke lange staartpiek rond 660 dagen en de tweede op 1380 dagen (3 jaar en 10 maanden).
Een venster van kansen
De hoge gemiddelde aantallen ‘Kritieke’ en ‘Hoge’ bevindingen worden grotendeels beïnvloed door assets met Microsoft Windows- of Microsoft Windows Server-besturingssystemen. Activa waarop andere besturingssystemen dan Microsoft draaien, zoals op Linux gebaseerde besturingssystemen, zijn aanwezig, maar deze worden verhoudingsgewijs veel minder gerapporteerd.
We moeten echter opmerken dat de ‘kritieke’ of ‘hoge’ bevindingen die verband houden met assets waarop Windows draait, niet noodzakelijkerwijs kwetsbaarheden in het besturingssysteem zijn, maar ook verband kunnen houden met applicaties die op de asset draaien.
Het is misschien begrijpelijk dat niet-ondersteunde Microsoft Windows- en Windows Server-versies hier prominent aanwezig zijn, maar het is verrassend om recentere versies van deze besturingssystemen te vinden met een ernst die als ‘Kritisch’ of ‘Hoog’ wordt beoordeeld.
Perspectief van de industrie
We gebruiken NAICS voor onze brancheclassificatie. De resultaten hier houden alleen rekening met bevindingen die zijn gebaseerd op scans van hosts en niet op services zoals webapplicaties. De gemiddelde unieke reële vondst per unieke asset is 31,74 voor alle organisaties, aangegeven door de horizontale stippellijn in de onderstaande grafiek.
Onze klanten in de bouwsector lijken uitzonderlijk goed te presteren in vergelijking met klanten in andere sectoren, met een gemiddelde van 12,12 bevindingen per asset. Aan de andere kant van het spectrum hebben we de mijnbouw-, steengroeve- en olie- en gasindustrie, waar we gemiddeld 76,25 unieke bevindingen per asset rapporteren. Klanten in het openbaar bestuur hebben ons verrast door beter te presteren dan de financiële en verzekeringssector met een gemiddelde van 35,3 bevindingen per asset, vergeleken met 43,27, ondanks het grotere aantal assets. Deze waarden zijn uiteraard afgeleid van de groep klanten die in onze steekproef aanwezig zijn en vertegenwoordigen mogelijk niet de universele realiteit.
Wanneer we de gemiddelde ernst per unieke asset per sector vergelijken, zien we een gemengd beeld. We kunnen de gezondheidszorg, de sociale bijstand en de informatievoorziening negeren, met een relatief klein aantal unieke activa, wat resulteert in gemiddelden die niet in verhouding staan tot andere bedrijfstakken.
Ons algemene sectorgemiddelde voor de ernstgraad Hoog is 21,93 en de mijnbouw, delfstoffenwinning en de olie- en gaswinning hebben meer dan het dubbele van dat gemiddelde.
Op vergelijkbare wijze overschreden ook de financiële en verzekeringssector met accommodatie- en voedseldiensten het algemene gemiddelde met respectievelijk 10,2 en 3,4 bevindingen per unieke asset. Dezelfde drie bedrijfstakken overschreden het algehele gemiddelde voor bevindingen die als kritiek werden beoordeeld, waarbij accommodatie- en voedselservers dit met bijna een factor 3 deden.
Kwetsbaarheid wordt oud
Terwijl we dit jaar opnieuw naar het dreigende kwetsbaarheidsthema kijken, kijken we opnieuw met wantrouwen naar het altijd aanwezige en slepende verhaal van onopgeloste systeemzwakheden die alleen maar ouder worden. We hebben meer dan 2,5 miljoen bevindingen over kwetsbaarheden beoordeeld die we aan onze klanten hebben gerapporteerd, en meer dan 1.500 rapporten van onze professionele ethische hackers om inzicht te krijgen in de huidige staat van de beveiligingskwetsbaarheden en hun rol en effectiviteit als hulpmiddel voor het stellen van prioriteiten in overweging te nemen.
Het merendeel van de unieke bevindingen die door onze scanteams worden gerapporteerd (79%) wordt geclassificeerd als ‘Hoog’ of ‘Gemiddeld’, en 18% van alle ernstige bevindingen is 150 dagen of ouder. Hoewel deze over het algemeen sneller worden aangepakt dan andere, stapelen sommige residuen zich in de loop van de tijd nog steeds op. Hoewel de meeste bevindingen die we identificeren na 90 dagen zijn opgelost, blijft 35% van alle bevindingen die we rapporteren 120 dagen of langer bestaan. En veel te veel worden helemaal nooit aangepakt.
Onze scanresultaten belichten het aanhoudende probleem van niet-gepatchte kwetsbaarheden. Ondertussen komen onze Ethical Hacking-teams vaker nieuwere applicaties en systemen tegen die zijn gebouwd op hedendaagse platforms, raamwerken en talen.
De rol van de ethische hacker is het uitvoeren van penetratietests – het emuleren van een kwaadwillende aanvaller en het beoordelen van een systeem, applicatie, apparaat of zelfs mensen op kwetsbaarheden die kunnen worden gebruikt om toegang te krijgen of de toegang tot IT-bronnen te weigeren.
Penetratietesten worden over het algemeen beschouwd als een onderdeel van Vulnerability Management, maar kunnen ook worden gezien als een vorm van Threat Intelligence die bedrijven zouden moeten gebruiken als onderdeel van hun proactieve verdedigingsstrategie.
17,67% van de bevindingen die onze ethische hackers rapporteerden, werd beoordeeld als ‘serieus’, maar wat beter gezegd: hackers moeten tegenwoordig harder werken om ze te ontdekken dan in het verleden.
Dit is slechts een fragment uit de analyse. Meer details over onze analyse van kwetsbaarheden en Pentesting (evenals een heleboel andere interessante onderzoeksonderwerpen zoals VERIS-categorisering van de incidenten die in onze CyberSOC’s worden afgehandeld, Cyber Extortion-statistieken en een analyse van Hacktivisme) zijn te vinden in de Beveiligingsnavigator. Vul gewoon het formulier in en ontvang uw download. Het is het waard!
Opmerking: Dit informatieve stuk is vakkundig samengesteld en genereus gedeeld door Charl van der Walt, hoofd van het Security Research Center, Orange Cyberdefense.
