Artikel top billede

(Foto: Computerworld)

F-Secure finder tusindvis af sårbarheder i virksomheders netværk

Nye tal fra sikkerhedsvirksomheden F-Secure viser, at der findes tusindvis af sårbarheder i virksomhedernes netværk. Det er sårbarheder, som let kan udnyttes til angreb på virksomhedernes infrastruktur.

Af Rasmus Elm Rasmussen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

F-Secure har brugt værktøjet F-Secure Radar til at scanne virksomhedernes netværk. F-Secure Radar afdækkede titusinder af tilfælde af fejlkonfigurerede systemer, software, der ikke var patchet eller opdateret, og andre svagheder. Det bekræfter, at mange virksomheder ikke har tilstrækkelig indsigt i deres netværk. F-Secure Radar er udviklet i København, og en del af F-Secures opkøb af virksomheden nSense i sommeren 2015.

Undersøgelsen viste, at ud af de 100 mest almindelige sårbarheder blev der fundet næsten 85.000 tilfælde i virksomhedernes netværk, hvoraf cirka syv procent var alvorlige i følge det ratingsystem, der benyttes af National Vulnerability Database. * Næsten halvdelen af disse meget alvorlige svagheder ville kunne udnyttes af hackere til at få kontrol over inficerede maskiner via remote kontrol. Og næsten alle disse svagheder, som kunne udnyttes, er endda svagheder, der burde være lette at afhjælpe med de rigtige softwarepatches eller simple administrative ændringer.

"Det er dårlige nyheder for en virksomhed, hvis en hacker finder en af disse meget alvorlige sårbarheder," siger Jarno Niemelä, Lead Researcher, F-Secure Labs. "Det faktum, at vi har fundet tusindvis af så alvorlige sårbarheder, stiller spørgsmålstegn ved sikkerheden hos mange virksomheder. Enten fungerer deres patchmanagement programmer ikke ordentligt, eller også er hele dele af deres netværk glemt i deres vedligeholdelsespraksis. Uanset hvad den bagvedliggende årsag er, åbner det masser af muligheder for hackere, og masser brister med alvorlige konsekvenser venter på at ske. "

Undersøgelsen styrker tidligere advarsler om vigtigheden af at implementere simple sikkerhedsforanstaltninger. Ifølge USAs Computer Emergency Readiness Team, kan man ved at følge nogle få enkle trin, såsom patchning af sårbar software, forhindre op til 85 procent af de målrettede cyberangreb. **

Hver sårbarhed er som et "Spark mig"-skilt

Mens undersøgelsen afslørede tusindvis af meget alvorlige sårbarheder, lader peger resultaterne på fejlkonfigurerede systemer som langt mere udbredte. De 10 hyppigste sårbarheder, der blev fundet, var af lav eller medium alvorlighed, men tegnede sig for 62 procent af alle svagheder. Mens disse problemer måske ikke har samme trussel-værdi som højrisiko-sårbarhederne, så tilskynder de hackere til yderligere at snage og gå på jagt efter andre svage punkter i systemerne. De sender et klart signal om et dårligt vedligeholdt system.

"Disse sårbarheder er ikke særlig presserende i sig selv, men hackere ser ikke-kritiske sårbarheder som cybersikkerhedens svar på et ”Spark mig”-skilt,” siger Andy Patel, Senior Manager, F-Secure Technology Outreach. "Der er masser af måder, hvorpå man tilfældigt kan falde over disse sårbarheder, simpelthen ved at surfe på nettet. Selv hackere, der ellers ikke er interesserede i at gøre skade, kan fristes til at trække i tråden og se, hvad der trevles op. Virksomheder, der er heldige, får måske en venlig e-mail, som advarer dem om sårbarheden. Men de uheldige vil få besøg af professionelle kriminelle, som er på rekognoscering forud for et målrettet, seriøst og skadeligt angreb.”

Indsigt og overblik over netværk og sårbarheder er afgørende

F-Secure’s løsning til scanning af sårbarheder i netværket, F-Secure Radar, er en certificeret PCI ASV-løsning, der giver virksomheder et komplet overblik over deres netværk og fremhæver svagheder, som angribere kan bruge til at kompromittere systemerne. Det omfatter forskellige scanningsindstillinger, der kan give en samlet analyse af netværket, og rangerer de fundne sårbarheder i henhold til deres alvor og risikograd. Virksomheder kan bruge scanningerne til at kortlægge de forskellige systemer, som er integreret med netværket, kontrollere webapplikationer (selv specialbyggede API'er, skræddersyet til at passe med det unikke netværk og infrastruktur), og finde forældede, upatchede eller fejlkonfigurerede dele af deres netværk.

Ifølge Rune Kristensen, Director, Radar Services, F-Secure, giver det mulighed for at indføre sikkerhedsforanstaltninger, som er en integreret del af en holistisk cyber-sikkerhedsstrategi. "Indsigt og overblik er en vigtig forebyggende foranstaltning, og vi planlægger at styrke Radars evner til at give virksomhederne endnu bedre synlighed i fremtiden. For eksempel ser vi, at mange virksomheder outsourcer uden at gennemtænke sikkerhedsaspekterne, eller endda informere deres eget IT-personale. Vi er i gang med at udvikle metoder til at inkludere scanning af tredjeparts-tjenester, der er integreret i virksomhedens netværk. Det er vigtigt for at give tiltrængt indsigt i, hvordan svagheder i virksomhedens data-supplychain potentielt kan udsætte dem for angreb. "

Radar kan købes som et licensprodukt og administreres direkte af virksomhederne selv, eller som en tjeneste, som F-Secure eller udvalgte partnere administrerer. Hvis man benytter Radar som et servicekoncept, så får man ikke blot scanninger med aftalte intervaller, men også en ekstra support gennem rapportering og faglig vejledning om patching og afværgning af sårbarheder. Radar egner sig primært til mellemstore til store virksomheder og er til rådighed nu.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datadrevet forretning: Skab enestående kundeoplevelser med viden og data i centrum

Data står i centrum, når du skal styrke kundeoplevelsen – eller det burde det i hvert fald gøre. På denne konference vil du møde eksperter indenfor CX og komme i dybden med, hvordan du sætter data, transparens og viden til at arbejde for dig i din Customer Experience-strategi.

07. maj 2024 | Læs mere


Kunstig Intelligens (AI) Masterclass - fra futuristisk idé til uundværlig ressource

Velkommen til en Masterclass om kunstig Intelligens (AI) og den transformative kraft, som kan tage din organisation og karriere til næste niveau. AI er gået fra at være en futuristisk idé til at blive en uundværlig ressource for virksomheder over hele verden og har allerede sat sit præg på den måde, som vi arbejder på, træffer beslutninger og kommunikerer med vores kunder.

07. maj 2024 | Læs mere


Parathed – Hvad gør din virksomhed, når I bliver ramt?

Cyberkriminalitet vokser som bekendt eksplosivt i takt med digitaliseringen i disse år og det kan være voldsomt dyrt at blive hacket. Potentielt kan det lægge jeres forretning helt ned, så I ikke kan rejse jer igen. Har jeres virksomhed styr på cybersikkerheden i en tid, der kalder på oprustning? Bliv inspireret til, hvad du som virksomhed kan gøre for at sikre virksomheden og medarbejdere, så I kan gå sikkert ind i fremtiden.

21. maj 2024 | Læs mere