Tredjeparts-programmer er de farligste
9 af 10 sårbarheder i Windows-programmer lå i tredjeparts-programmer.
Derfor er det langt fra nok at nøjes med at holde Microsoft-programmer og operativsystemer opdaterede. Det er alle danske virksomheder dog ikke opmærksomme på. Det fortæller Morten R. Stengaard fra sikkerhedsfirmaet Secunia her.
Generelt oplever vi i Secunia, at størstedelen af danske virksomheder først nu er ved at få styr på at håndtere Microsoft-sårbarheder og endnu ikke har særligt øje for den trussel, tredjepartsprogrammer repræsenterer. Det er et stort problem for deres sikkerhed, fordi det er i tredjepartsprogrammerne, at langt den største andel af sårbarheder findes på såvel private pc’er som i virksomheders it-infrastruktur.
Tallene i Secunias årlige, globale analyse af sårbarheder, The Secunia Vulnerability Review 2013, dokumenterer, at det er vigtigere end nogensinde at opdatere sine programmer med de sikkerhedsopdateringer, som softwareproducenterne løbende udsender.
Flere og flere sårbarheder
Det totale antal af sårbarheder stiger. Analyserne viser, at der er en 15 pct. stigning, når vi ser på alle produkter over de seneste fem år. Men det er en anden tendens, vi har valgt at fokusere på i årets analyse: Hvad sker der med de 50 mest populære programmer – dem, som vi stort set alle har installeret på vores computere?
Vores data viser en opsigtsvækkende 98 pct. stigning i sårbarheder i de 50 mest populære produkter globalt set i løbet af de seneste fem år. I 2012 blev der opdaget 1.137 sårbarheder i de mest populære programmer. De 1.137 sårbarheder er fordelt på 18 sårbare programmer blandt de 50 mest populære. Det er et gennemsnit på 63 sårbarheder per sårbart produkt!
Når vi synes, at de 50 mest populære programmer er særligt interessante, er det netop, fordi de er så udbredte. Når de populære programmer er sårbare, påvirker det sikkerheden på den enkelte computer. Og hvis den enkelte computer er usikker, påvirker det sikkerhedsniveauet på de computersystemer, den er forbundet med. I dag er stadigt mere almindeligt, at medarbejdere tager deres private computere og smartphones med på arbejde – og at de bruger deres arbejdselektronik privat.
Denne tendens, der går under betegnelsen ”Bring-Your-Own-Device” (BYOD), er med til at udfordre it-afdelinger og påvirker sikkerheden i organisationer i alle størrelser – fra det lille 10-mands firma og op til de helt store virksomheder.
For selvom fordelene er mange for både arbejdsgiver og medarbejdere i form af gensidig fleksibilitet og tilgængelighed er BYOD et tveægget sværd: Når medarbejdere medbringer deres egen elektronik, medbringer de også deres egne programmer og digitale vaner, og dermed udsætter de virksomhedens systemer for de sikkerhedsproblemer, der er på deres egne computere og smartphones. Sammensmeltning af den private og den professionelle hverdag kræver altså en del overvejelser omkring it-sikkerhed i virksomhederne.
Mange fronter at forsvare
Overordnet set er det rimeligt at konkludere, at den største trussel findes i tredjepartsprogrammer.
86pct. af de sårbarheder, der blev opdaget i de 50 mest populære programmer, stammer fra andre programmer end Microsofts. Uheldigvis vil det sige, at Microsofts automatiske sikkerhedsopdateringer betyder forsvindende lidt i forhold til at beskytte mod de sårbarheder, der udgør en trussel – faktisk udgjorde sårbarheder, der blev fundet i Microsoft-programmer, kun 8,5 pct. (de sidste 5,5 pct. blev fundet i operativsystemer).
Derfor er it-professionelle nødt til at prioritere at få patchet sårbarheder i tredjepartsprogrammer, hvis de vil beskytte deres organisationer mod den grundlæggende årsag til it-sikkerhedsproblemer: sårbarheder i software.
Problemet med det er, at tredjepartsprogrammer er væsentlig sværere at holde opdateret end Microsoft-programmer, fordi der er væsentlig flere opdateringsmekanismer involveret.
Det gør det meget kompliceret for såvel private brugere som virksomheder at holde deres systemer opdaterede.
Faren er svær at komme uden om
De programmer, som er mest sårbare, og som derfor giver hackere nem adgang til Windows-computere, er blandt andet Java, Flash, Adobe Reader og Apple iTunes. Hvis programmerne ikke bliver holdt opdateret, kan hackere udnytte sårbarhederne til at inficere computeren med malware. Og da disse programmer har mange brugere på verdensplan, er det nemt for hackere at finde ofre.
Også browsere er fulde af sårbarheder og skal opdateres. Antallet af sårbarheder i de fem mest populære browsere (Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera og Apple Safari) steg med 17pct. fra 2011 til 2012. I alt 739 sårbarheder blev fundet i browserne, og Google Chrome og Mozilla Firefox topper faktisk de 50 mest populære programmer med henholdsvis 291 sårbarheder (Google Chrome) og 257 sårbarheder (Firefox).
Til gengæld er browser-producenterne meget hurtige til at udsende sikkerhedsopdateringer, hvilket gør det muligt for brugerne hurtigt at lukke hullet igen.
Opdater, opdater, opdater!
For at beskytte sin pc skal man, hvad end man er privat bruger eller virksomhed, sørge for at opdatere sine programmer: En eneste sårbarhed i et almindeligt anvendt program er alt, hvad der skal til, for at hackere kan angribe en organisations systemer.
At gå ud fra at hackerne kun går efter de fem mest populære programmer er naivt – selvom der ikke er nogen tvivl om, at hackere går efter de mest udbredte programmer, er der også en hel del at hente ved at angribe nummer 48 på listen!
Og mens den endegyldige løsning ligger hos softwareproducenterne, som er nødt til at bruge væsentligt flere ressourcer på at skrive sikre programmer og advare deres kunder om trusler og tilbyde løsninger, så er det en nødvendighed, at virksomheder tager sagen i egen hånd og beskytter sig selv.
Hvordan man gør det? Ved at opdatere de rigtige programmer i den rigtige rækkefølge på det rigtige tidspunkt. Og det er her, vi finder de gode nyheder i Secunias Vulnerability Review 2013: Softwareproducenterne er nemlig blevet væsentligt hurtigere til at udsende sikkerhedsopdateringer: I 2012 var der en patch til rådighed samme dag, som sårbarheden blev kendt, i 84 pct. af tilfældene.
Det er en flot stigning fra 2011, hvor det tilsvarende tal var 72 pct. Det betyder, at det kan lade sig gøre at reparere langt de fleste sårbarheder. Så handler det bare om at vide, hvad der er sårbart, og hvilke programmer man har installeret i sit system, men det er en anden problemstilling.