Meer dan de helft van alle cyberaanvallen is namelijk gericht op gaten in clientapplicaties en in webapplicaties, meldt SANS. Het gerenommeerde securityinstituut heeft onderzoek uitgevoerd naar het patchgedrag van organisaties. SANS publiceert de resultaten in het rapport Top Cyber Security Risks.

Applicaties lopen achter

Daarin staat dat 80 procent van de kwetsbaarheden in Windows binnen 60 dagen een patch krijgt, tegenover 40 procent van veelgebruikte applicaties, waaronder Office en Adobe. Hackers hebben het steeds vaker voorzien op veelgebruikte applicaties, vooral aan de clientkant. Word, Powerpoint, Java en Flash zijn daarbij gewilde doelwitten. "Het risico met de hoogste prioriteit krijgt dus minder aandacht dan het risico met lage prioriteit", concludeert het beveiligingsinstituut.

Het rapport is gebaseerd op informatie die SANS begin dit jaar heeft vergaard bij vele duizenden bedrijven. Dat betreft data over aanvallen op 6.000 organisaties die intrusion prevention systemen van TippingPoint gebruiken, en gegevens van 9 miljoen systemen die securityleverancier Qualys monitort. Laatstgenoemde heeft voor dit jaar al 100 miljoen scans opgeleverd. Beide metingen omvatten naast bedrijven ook overheidsinstanties.

Onregelmatig en laat

Malware was vroeger vooral gericht op gaten in besturingssystemen. Daardoor is het relatief snel patchen van Windows, maar ook Linux en Mac OS X, inmiddels gemeengoed. Een patch voor een besturingssysteem wordt gemiddeld 15 dagen na het uitbrengen ervan geïnstalleerd. Dat is mede te danken aan het regelmatig publiceren van patches, waardoor organisaties en beheerders daar tijd voor vrijhouden.

De meeste applicatieleveranciers hanteren echter geen regelmatige patchcyclus voor hun producten. Adobe gaat dit wel doen, maar heeft zijn tweede patchronde meteen al een maand moeten uitstellen. De reden was dat de ontwikkeling van enkele noodpatches nogal wat tijd heeft gekost.

Er valt ook nogal wat aan te merken op de snelheid waarmee patches voor applicaties worden uitgebracht, maar ook de enorme traagheid waarmee die worden geïnstalleerd. SANS merkt op dat er in de praktijk nog vier kwetsbaarheden in Flash zitten die nog stammen uit 2007. Bedrijven hadden die dus allang kunnen patchen. Ook Java scoort slecht op dit vlak. Bovendien werd tot voor kort een oude versie niet verwijderd bij de installatie van een nieuwe versie.

Onwetende eindgebruiker

Kwaadwillenden concentreren zich op twee methodes om gaten in applicaties te misbruiken, concludeert SANS. Ten eerste is er de malafide of imitatiewebsite waar de eindgebruiker een download wordt aangeboden. Al dan niet onder valse voorwendselen zoals een zogenaamde antimalwarescan.

Ten tweede is er het toesturen van e-mails met malafide attachments, zoals Word- of PDF-documenten die dan code bevatten om gaten in de bijbehorende applicaties te benutten. Die mails lijken afkomstig van legitieme verzenders, zoals collega's binnen het bedrijf, wat detectie bemoeilijkt.

'Probleem blijft'

SANS denkt dat succesvolle aanvallen op applicaties voorlopig niet zijn uit te roeien. Voor geen van beide gehanteerde methodes is er een makkelijke, snelle oplossing. Tweederde van alle websites is nog altijd niet afgeschermd voor zogeheten cross-site scripting aanvallen. Daarbij kan kwaadaardige code vanaf een andere site aangeroepen worden om dan uitgevoerd te worden op de pc van de websurfer.

Afgelopen weekend verspreide de Amerikaanse krant The New York Times nog malware via ads van het advertentienetwerk waar het in hangt. Ook het trainen van personeel om malware te herkennen en attachments niet zomaar te openen, is geen sluitende oplossing. De aanvalsvormen zijn te complex en varianten ontstaan simpelweg te snel om gewone werknemers qua kennis bij te laten blijven.

Het is dus belangrijk dat systeembeheerders wel bij blijven wat betreft patches voor applicaties, benadrukt SANS. “Ook al heb je alle applicaties volledig in de hand, dan nog is het geen perfecte oplossing”, zegt directeur Alan Pallar van SANS tegen zakenblad Forbes. “Maar je kunt hiermee wel het risico dat je loopt drastisch verkleinen.”

'Mijd Adobe-software'

Eerder heeft SANS al gewaarschuwd voor Adobe-software. De risico's van securitygaten in de veelgebruikte Flash Player en Adobe Reader zijn dermate groot dat SANS adviseert die software zoveel mogelijk te mijden. Adobe heeft gereageerd met de mededeling dat het gros van zijn producten niet wordt geraakt door gaten in zijn Flash- of PDF-software.