Qualys CTO Wolfgang Kandek presenteert Laws of Vulnerabilities 2.0 op Infosecurity Europe 2009

Nieuw diepteonderzoek aan vulnerability data laat per branche de halfwaardetijd, de verbreiding, de kracht en de mate van exploitatie zien

Infosecurity Europe, Londen, (Stand H70), - 28 April 2009 - Wolfgang Kandek, de CTO van Qualys, de leverancier van Software-as-a-Service-oplossingen voor on-demand IT security risk en compliance management, onthult vandaag op Infosecurity Europe de nieuwe Laws of Vulnerabilities, afgeleid uit de grootste databank met kwetsbaarheden van de industrie. The Laws 2.0 laat de halfwaardetijd zien van vulnerabilities, de mate van voorkomen en persistentie, en de exploitatietrends in vijf grote economische sectoren: financiën, gezondheidszorg, retail, industrie en diensten. Deze trends zijn ontleend aan de statistische analyse van meer dan 680 miljoen kwetsbaarheden, waarvan 72 miljoen ernstig. Deze data zijn in 2008 vergaard uit 80 miljoen vulnerability scans door QualysGuard. Het onderzoek vormt een herhaling en uitbreiding van onderzoek uit 2004 (Laws 1.0).

Laws of Vulnerabilities 2.0
Het onderzoek leidt tot de volgende conclusies:

  • Halfwaardetijd — De halfwaardetijd *) van ernstige kwetsbaarheden bleef in alle sectoren gemiddeld rond de 30 dagen. Wanneer men de individuele sectoren vergelijkt, heeft de dienstensector met 21 dagen de kortste halfwaardetijd. Financiën komt op de tweede plaats met 23 dagen, retail staat met 24 dagen op de derde plaats, en de productieindustrie komt op de laatste plek met een vulnerability half-life van 51 dagen.
  • Mate van voorkomen (prevalence) — Zestig procent van de ernstigste en meest voorkomende kwetsbaarheden wordt jaarlijks vervangen door nieuwe kwetsbaarheden. Dit getal is sinds het onderzoek van 2004, toen de score 50 procent was, alleen maar groter geworden. Volgens Laws 2.0 zijn de grootste achterblijvers MSFT Office, Windows 2003 SP2, Adobe Acrobat en Sun Java Plug-in.
  • Persistentie — The Laws 2.0 stelt dat de levensduur van de meeste, en misschien wel van alle, kwetsbaarheden onbeperkt is. Een groot percentage van de kwetsbaarheden wordt nooit volledig gerepareerd. Deze conclusie wordt ondersteund door gegevens uit MS08-001, MS08-007, MS08-015 and MS08-021.
  • Exploitatie — Tachtig procent van alle manieren om kwetsbaarheden uit te buiten is nu al bekend binnen enkele dagen nadat de kwetsbaarheid openbaar wordt gemaakt. In 2008 logde Qualys Labs 56 kwetsbaarheden in programma’s, waarvan de exploits op de zelfde dag al bekend waren (zero-day exploits), inclusief de RPC vulnerability (Remote Procedure Call) waaruit Conficker voortkwam. In 2009 was er voor de eerste kwetsbaarheid MS09-001, gepubliceerd door Microsoft, binnen zeven dagen al een exploit. Microsoft’s April Patch Tuesday bevatte ook reparaties van exploits voor meer dan 47 procent van de gepubliceerde kwetsbaarheden. Dit getal is het radicaalst veranderd ten opzichte van Laws 1.0 in 2004. Deze Law hield toen als richtlijn nog een comfortabele 60 dagen aan.

*) Halfwaardetijd (Half-life) is de periode die de sector nodig heeft om na de eerste ontdekking 50% van de kwetsbaarheden te patchen (unieke vermelding in CVE - Common Vulnerabilities and Exposures). Halfwaardetijd is de primaire indicator voor patchsnelheid.

“Beveiliging wordt steeds moeilijker, met zeer ver gevorderde aanvallers en met een adempauze van slechts enkele dagen om beveiligingsfouten te verhelpen,” aldus Wolfgang Kandek, CTO van Qualys en auteur van de Laws of Vulnerabilities 2.0. “Ons doel met dit onderzoek is om organisaties in verschillende industrieën inzicht te geven over de veranderende trends, het hoge schadepotentieel en de prioriteit van kwetsbaarheden, zodat ze effectiever en sneller beslissingen kunnen nemen om hun netwerken te beveiligen. Met zulk onderzoek, helder uitgeschreven in de Laws of Vulnerabilities 2.0, kunnen we de industrie een statistisch beeld geven van real-time bedreigingstrends.”

Onderzoeksmethode
The Laws zijn afgeleid uit gegevens in een anonieme databank, die niet herleidbaar zijn tot individuele klanten, IP-adressen of netwerken. De data worden met QualysGuard verzameld. De QualysGuard scanning infrastructuur onderzoekt meer dan 200 miljoen IP-adressen per jaar. Eenvoudige tellers zorgen tijdens het scannen van de netwerken van de klanten voor de metingen, en de zo verzamelde gegevens worden samengevat en dagelijks gelogd voor analysedoeleinden van dit onderzoek.

De volledige resultaten van The Laws staan op: http://laws.qualys.com.

Qualys

Qualys, Inc. is de toonaangevende leverancier van als een service geboden oplossingen voor on-demand IT security risk en compliance management. Het implementeren van de Software-as-a-Service oplossingen van Qualys is een kwestie van een paar uur, waar dat ook ter wereld moet gebeuren. Klanten krijgen onmiddellijk inzicht in de staat van hun security en compliance.

De QualysGuard® service wordt gebruikt door meer dan 3.500 organisaties in 85 landen, waaronder 40 van de Fortune Global100. Meer dan 200 miljoen IP audits worden per jaar door QualysGuard uitgevoerd. Qualys heeft bij een Fortune Global 50 company de grootste vulnerability management toepassing ter wereld gerealiseerd.

Qualys heeft strategische partnerships afgesloten met toonaangevende managed service providers en adviesorganisaties, waaronder BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, SecureWorks, Symantec, Tata Communications, TELUS en VeriSign. Kijk voor meer informatie op www.qualys.com.

###

Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.

For media inquiries or to find the appropriate spokesperson
Contact: Theo Loth
Loth PR Writing
+31 652 322 210
theo@loth.nl

For all other matters
Contact: pr@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com