Die Yankee Group definiert dynamische Best Practices für Schwachstellenmanagement
Ein auf der Qualys-Studie „The Laws of Vulnerabilities“ basierender Report des Consulting-Unternehmens benennt wöchentliche Audits kritischer Ressourcen als vordringliche Sicherheitsmaßnahme
Mücnehn, Germany — March 26, 2004 — Die Yankee Group informierte heute über die Entwicklung dynamischer Best Practices für Schwachstellenmanagement, die Firmen helfen sollen, durch besseres Management ihrer Netzwerkressourcen Sicherheitslücken rechtzeitig zu finden und zu beseitigen. Die Implementierung dynamisch veränderlicher Best Practices für das Schwachstellenmanagement ist die wirksamste Präventivmaßnahme, die Sicherheitsadministratoren ergreifen können, um automatisierte Angriffe abzuwehren und die Sicherheit von Netzwerken zu wahren. Die von der Yankee Group entwickelten Richtlinien und Metriken leiten sich von der Studie „The Laws of Vulnerabilities“ (Die Gesetze der Sicherheitslücken) ab, die Gerhard Eschel¬beck, CTO bei Qualys, verfasst hat.
Unternehmen müssen unbedingt regelmäßige Sicherheitsaudits durchführen, um mit den Veränderungen in der Sicherheitslandschaft Schritt halten zu können“, erklärte Eric Ogren, Senior Analyst bei der Yankee Group. „Jede neu auftretende Form von Angriffen macht einmal mehr deutlich, dass der Schutz kritischer Netzwerkressourcen nur möglich ist, wenn Best Practices für IT-Sicherheit angewendet werden.”
Der Report „The Dynamic Best Practices in Vulnerability Management“ basiert auf zentralen Erkenntnissen der Studie „Laws of Vulnerabilities“. Die aufgeführten Best Practices setzen insbesondere auf Schwachstellenmanagement als die ideale Lösung, wenn die Wirksamkeit von Verteidigungsprogrammen für Netzwerke gemessen und verbessert werden soll. Die Laws of Vulnerabilities sind vom branchenweit größten Datenbestand für Sicherheitslücken abgeleitet und beschreiben Trends zur Halbwertszeit, Verbreitung, Wirkungsdauer und Ausnutzung von Sicherheitslücken. Diese Trends wurden aus der statistischen Analyse von Sicherheitslücken errechnet, die über einen Zeitraum von zwei Jahren bei mehr als drei Millionen Scans gesammelt worden waren.
Auf Basis der Laws of Vulnerabilities definiert die Yankee Group die folgenden vier dynamischen Best Practices für das Schwachstellenmanagement:
1. Klassifizierung: Unternehmen sollten sämtliche Netzwerkressourcen identifizieren und kategorisieren. Dabei sollten den Ressourcen, abhängig von ihrer geschäftlichen Bedeutung, unterschiedliche Prioritätsstufen zugewiesen werden. Kritische Ressourcen sollten alle fünf bis zehn Tage überprüft werden, damit Schwachstellen ermittelt und Schutzmaßnahmen gegen Exploits getroffen werden können. Ressourcen der unteren Kategorien können, entsprechend ihrer hierarchischen Priorität, weniger häufig gescannt werden, da man hier auch Patches in etwas größeren Zeitabständen einspielen wird.
2. Integration: Um die Wirksamkeit verschiedener Sicherheitstechnologien wie Server- und Desktop-Erkennungssysteme, Patch-Management-Systeme und Upgrade Services zu verbessern, muss die Integration mit Schwachstellenmanagement-Technologien gewährleistet werden. Außerdem sollte in einem Best-Practice-Unternehmen über die Fortschritte Bericht erstattet werden, die beim Erreichen von Zielen im Bereich Vulnerability Management gemacht werden, um das Bewusstsein für die Sicherheitsproblematik auf der Geschäftsleitungsebene zu erhöhen.
3. Messung: Unternehmen müssen ihre Netzwerke anhand der Halbwertszeitkurve und Wirkungsdauerkurve von Sicherheitslücken bewerten. Mittels grafischer Darstellungen sollte verfolgt werden, welcher Prozentsatz von Sicherheitslücken jeweils innerhalb eines 30-tägigen Zyklus beseitigt werden kann und wie hoch die Anzahl der Sicherheitslücken ist, die länger als 180 Tage bestehen bleiben. Übersichten über die Leistung des Security Teams sollen sicherstellen, dass seine Arbeit im Ergebnis tatsächlich zu einer Risikominderung führt, insbesondere bei den kritischen Ressourcen.
4. Audit: Die Sicherheitsverantwortlichen sollten die Resultate der Schwachstellen-Scans nutzen, um festzustellen, wie ihr Unternehmen in puncto Sicherheit insgesamt abschneidet. Mithilfe der Metriken sollte der Erfolg bzw. Misserfolg unterschiedlicher Security Policies bewertet werden, damit die Leistung im Bereich Sicherheit verbessert werden kann. Auch sollten die Audit-Metriken genutzt werden, um die Unternehmensleitung über den Sicherheitsstatus zu informieren.
„Vorschriften wie HIPAA und Sarbanes-Oxley sowie die jüngst von Viren wie MyDoom ausgehenden Gefahren haben es unumgänglich gemacht, dass Unternehmen Best Practices der Branche anwenden, die die Einhaltung gesetzlicher und aufsichtsrechtlicher Vorgaben und proaktiven Netzwerkschutz gewährleisten“, so Dr. Gerhard Eschelbeck von Qualys „Die Best Practices der Yankee Group unterstreichen die Bedeutung, die kontinuierliche Schwachstellen-Scans in der heutigen veränderlichen Sicherheitslandschaft haben.”
Den gesamten Forschungsbericht finden Sie auf der Website von Qualys unter:https://www.qualys.com/yankee.
Über die Laws of Vulnerabilities
Die Laws of Vulnerabilities lauten:
1. Halbwertszeit: Die Halbwertszeit kritischer Sicherheitslücken beträgt 30 Tage und verdoppelt sich mit abnehmendem Schweregrad. Mit anderen Worten: Selbst bei den kritischsten Sicherheitslücken brauchen Unternehmen 30 Tage, um die Hälfte ihrer anfälligen Systeme zu patchen. Die restlichen Systeme bleiben somit über einen beträchtlichen Zeitraum hinweg ungeschützt.
2. Verbreitung: Jährlich werden 50% der am weitesten verbreiteten und kritischsten Sicherheitslücken von neuen Sicherheitslücken abgelöst. Da laufend hoch gefährliche und sehr weit verbreitete Sicherheitslücken entdeckt werden, verändert sich unablässig das Spektrum der Anfälligkeiten, denen Computer und Netzwerke aktuell ausgesetzt sind.
3. Wirkungsdauer: Einige Sicherheitslücken haben eine unbegrenzte Lebenszeit. Frühere Risiken treten wieder auf, teilweise deswegen, weil neue PCs und Server mit fehlerhafter, nicht gepatchter Software eingesetzt werden.
4. Ausnützung: 80% aller Exploits werden innerhalb von 60 Tagen nach Bekanntmachung der entsprechenden Sicherheitslücke entwickelt. Da Exploits so rasch verfügbar sind, sind Unternehmen einem erheblichen Risiko ausgesetzt, solange sie nicht alle anfälligen Systeme durch Patches geschützt haben.
Die Yankee Group
Die Yankee Group ist das weltweit führende Marktforschungs- und Consulting-Unternehmen im Bereich Kommunikations- und Netzwerktechnologie. Die Gruppe hilft Firmen, die Chancen, Risiken und Wettbewerbszwänge zu verstehen, die mit der Entwicklung, dem Deployment und der Nutzung von Produkten und Dienstleistungen zur Förderung von Kommunikation oder Informationsaustausch verbunden sind. Die Yankee Group besteht seit über 30 Jahren. Sie hat ihren Hauptsitz in Boston und unterhält Niederlassungen in ganz Amerika und Europa.http://www.yankeegoup.com’
Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.
For any further German press information please contact
Contact: Jörg Vollmer
Qualys GmbH
+49 211 52391 545
+49 211 52391 546
Prinzenallee. 7
D – 40549 Düsseldorf
jv@qualys.com
Contact: Ursula Kafka
Kafka Kommunikation
+49 (0) 8152/999 840
+49 (0) 8152/999 842
Breitbrunner Straße 40
D – 82229 Seefeld
pr-de@qualys.com
For all other matters
Contact: pr@qualys.com
Media Contact:
Tami Casey
Qualys
media@qualys.com