onderzoek Dimension Data: bedrijfsleven loopt achter beveiligingsFEITEN AAN 73 procent netwerkapparatuur bevat minimaal één beveiligingskwetsbaarheid
Barneveld, 7 juni 2011 - Ruim 73 procent van de zakelijke netwerkapparatuur die Dimension Data in 2010 onderzocht, bevat minimaal één bekende beveiligingskwetsbaarheid. Dit is bijna het dubbele van de 38 procent in 2009. Dit is een belangrijke conclusie uit het Network Barometer Report 2011 dat Dimension Data, wereldwijd leverancier van ICT-diensten en -oplossingen, onlangs publiceerde. In het rapport staat verder dat maar liefst 66 procent van de apparatuur is besmet met de risicovolle kwetsbaarheid PSIRT 109444*, die in september 2009 is geïdentificeerd door Cisco. Deze kwetsbaarheid is verantwoordelijk voor de explosieve groei van besmettingen.
Het Network Barometer Report 2011 is gebaseerd op 270 Technology Lifecycle Management Assessments (TLM) die Dimension Data in 2010 wereldwijd uitvoerde bij organisaties van verschillende omvang en in verschillende sectoren. Het rapport is een analyse van de netwerken die deze organisaties ondersteunen bij hun bedrijfsprocessen. De analyse gebeurde door een evaluatie van de configuratieafwijkingen ten opzichte van best practices, potentiële beveiligingskwetsbaarheden en de technische levenscyclusstatus van de netwerkcomponenten.
"Organisaties staan onder grote druk van regelgeving, consumenten en het management om klantinformatie en -privacy, en bedrijfsgevoelige gegevens te beschermen tegen cybercriminelen en de concurrentie. Het is moeilijk voor te stellen dat ze zich moedwillig blootstellen aan risico's", zegt Edwin de Brave, Solutions Director bij Dimension Data Nederland. "Veel organisaties hebben echter geen compleet inzicht in de staat van hun technologie. Sterker nog: een ander onderzoek van Dimension Data wijst uit dat klanten geen zicht hebben op 25 procent van hun aanwezige netwerkapparatuur."
Toch is er ook goed nieuws. Als de PSIRT 109444-kwetsbaarheid - die op 66 procent van de netwerkapparatuur is aangetroffen - buiten beschouwing wordt gelaten, blijkt dat bedrijven wel degelijk goed patchen. Dimension Data ontdekte dat de vier kwetsbaarheden na PSIRT 109444 op de lijst op minder dan twintig procent van de apparatuur voorkomt.
Het feit dat PSIRT 109444 voorkomt op zoveel apparaten, onderstreept dat een nieuwe agressieve bedreiging veel impact kan hebben. "Er is slechts één kwetsbaarheid voor nodig om een gehele organisatie bloot te stellen aan een beveiligingsgevaar. Bedrijven moeten dan ook meer doen om zichzelf goed te beschermen", zegt Edwin de Brave. "Zo is het zaak om regelmatig netwerkscans uit te voeren om ervan verzekerd te zijn dat er iets wordt gedaan aan kwetsbaarheden voordat de bedrijfscontinuïteit, de compliancy of de reputatie in gevaar komt."
De vraag is of één beveiligingskwetsbaarheid grote risico's voor een geheel bedrijf met zich mee kan brengen? "Absoluut", zegt Edwin de Brave. "Voor een hacker is één kwetsbaarheid hetzelfde als de voordeur niet op slot doen. Proberen om gebruik te maken van kwetsbaarheden, is het eerste wat hackers doen als ze een aanval voorbereiden. Zo kunnen ze namelijk volledige toegang krijgen tot een apparaat om vervolgens intern nieuwe aanvallen op te zetten. Bedrijven die niet weten hoe ze zichzelf goed moeten beschermen tegen de nieuwste bedreigingen, spelen Russische roulette. Zij lopen risico's als gevolg van bedreigingen als PSIRT 109444, die wordt beschouwd als bedreiging met een gemiddeld tot hoog risico. Het wordt pas echt gevaarlijk als ze zich niet kunnen beschermen tegen bedreigingen met extreme of zelfs kritieke risico's."
Andere belangrijke conclusies uit het rapport:
- het percentage IT-hardware dat de 'last-day-of-support' (LDoS) heeft overschreden, is sterk gedaald: van 31 procent in 2009 naar negen procent in 2010;
- het percentage IT-hardware dat voorbij end-of-sales zit en daarmee tegen het einde van de levenscyclus is, is 47 procent. Er zijn tekenen dat bedrijven zich realiseren dat ze een grens moeten trekken voor wat betreft de inzet van deze apparatuur.
Het volledige Network Barometer Report 2011 is te downloaden via
* Een PSIRT is een softwarekwetsbaarheid die is geïdentificeerd door het Product Security Incident Response Team. Elke PSIRT identificeert een IOS-kwetsbaarheid op basis van uitgebreide labtests en onderzoek van Cisco.
* PSIRT 109444: TCP State Manipulation Denial of Service Vulnerabilities.
Over Dimension Data
Dimension Data plc., opgericht in 1983, is een leverancier van ICT-services en -oplossingen die gebruikmaakt van zijn technologie-expertise, wereldwijde mogelijkheden voor service- en dienstverlening en ondernemingskracht om de bedrijfsambities van zijn klanten waar te maken. Dimension Data is lid van de NTT Group.