Computerworld News Service: Mere end 3.000 sårbarheder, der blev fundet sidste år, er stadig ikke patchet, viser en ny undersøgelse.
IBM Internet Security Systems (ISS) X-Force-rapport for 2007 (pdf) konkluderer, at 20 procent af de 6.437 fundne sårbarheder i software fra Microsoft, Apple, Oracle, IBM og Cisco stadig står piv-åbne op til 12 måneder senere.
Mere end 50 procent af de resterende 6.200 fejl fra andre software-selskaber er fortsat heller ikke patchede.
Apple næsten på siden af Microsoft
IBM Internet Security Systems globale efterretningsdirektør, Peter Allor, siger, at Apple har næsten lige så mange sårbarheder som Microsoft.
"Microsoft havde flere sårbarheder end Apple, men ikke lige så mange fejl i styresystemet," siger Allor.
"Brugere bør være forsigtige med ikke at komme til at ligge på en sovepude af falsk tryghed, for Apple er et stort mål," siger han.
Han siger, at open source-platforme ikke har vedvarende sårbarheder, fordi de som regel bliver fundet og rettet gennem community-kodeudvikling.
"Sårbarheder, der berører OpenBSD, bliver ordnet indenfor 24 timer, fordi Theo (grundlæggeren, red.) ikke spilder tiden, men det er op til community'et at teste."
Testfase kan forhale
Ifølge Allor kan testfasen forhale lanceringen af en patch fra 24 timer til helt op til seks måneder.
Det skyldes, at softwareudviklere udfører langvarig revision af koden og krydstjekker opdateringen for at minimere risikoen for at udgive en "dødens blå skærm" til masserne.
Sårbarhedernes alvor, baseret på resultater fra X-Forces scorecard, er steget 28 procent fra 2006 på trods af et overordnet fald på 5,4 procent.
Op mod 90 procent af alle sårbarheder kan...fortsættes
.. fjern-udnyttes, viser undersøgelsen, hvilket er en stigning på to procent siden 2006.
Masser af botnet-klienter
Undersøgelsen konkluderer, at fem til 11 procent af alle enheder koblet på nettet, eller mellem 32 millioner og 71 millioner, er botnet-nodes.
Storm besidder den største hær på 230.000 zombie-maskiner, Rbot indtager andenpladsen med 40.000 nodes efterfulgt af Bobax med 24.000.
Peter Allor siger , at brugere kan købe licenser fra hackere fra såkaldte "black hats", til at få adgang til et botnet, eller de kan købe en gør-det-selv-værktøjskasse til phishing for omkring 5.000 kroner.
Spam falder markant
Antallet af spammails er ifølge undersøgelsen faldet til niveauer fra før 2005, hvilket er det største fald, der nogensinde er registreret.
Malware er steget med mere end en tredjedel siden 2006 til 410.000. Det skyldes hovedsagligt trojanske heste, som står for 26 procent af al malware.
Peter Allor siger, at antallet af sikkerhedshuller fremover vil stige, idet sociale netværk bliver en del af arbejdsgangen i erhvervslivet.
Hackere kan lancere målrettede phishing-angreb eller få direkte adgang til netværket ved at udnytte personlig information eller erhvervsinformation, der utilsigtet er blevet lagt online af ansatte.
Bør fokusere
Senior chefkonsulent for globale teknologisystemer hos IBM, Andrew Gontarczyk, udtaler, at erhvervslivet primært burde fokusere deres sikkerhedsindsats på håndhævelse af politikker og en god forretningskultur.
"Risikoforvaltning og politikoverholdelse er de største faktorer for god sikkerhed. Det er nødvendigt for virksomheder at vurdere, hvem de ansætter, og så opbygge sikkerheden derefter," siger han.
"Det er en balance mellem at indsnævre adgangsrettigheder og at udføre ting som passende baggrundstjek, mens man stadig lader virksomheden fungere flydende."
"Man kan sætte flueben i alle kasserne på tjeklisten for politikoverholdelse og stadig være åben og udsat, fordi tjeklister altid er bagud i forhold til truslerne – målet er helhedsorienteret sikkerhed."
Ifølge Gontarczyk er svage forretningspolitikker og -kulturer de største årsager til datalækager - lige fra utilsigtede datatab til ansatte, der forsøger at stjæle information.
Han mener, at kryptering og en solid adgangsforvaltning er andenprioritet for erhvervslivet, da det kan forhindre utilfredse medarbejdere i at stjæle data, minimere konsekvensen af tabt information på flytbare drev og hjælpe til at lokalisere årsagen til sikkerhedsbruddet.
Ifølge Peter Allor er virksomheder typisk 80 procent sikre, fordi det resterende er svært og dyrt at beskytte og kræver konstant tilpasning på grund af skiftende erhvervskrav.
Oversat af Thomas Bøndergaard
