Cybersecurity Bug-Jagd weckt Vertrauen in Unternehmen

Cyber Security News

Eine Umfrage von Intel zeigt, dass die meisten Unternehmen von Tech-Anbietern proaktive Sicherheit erwarten, aber nur wenige erfüllen die Sicherheitserwartungen.

Fast drei Viertel der befragten IT-Sicherheitsexperten (73 Prozent) geben an, dass sie Technologien und Dienstleistungen von Anbietern bevorzugen, die sich proaktiv um die Sicherheit kümmern, einschließlich des Einsatzes von Ethical Hacking und einer transparenten Kommunikation über Schwachstellen. Aber weniger als die Hälfte der Anbieter liefern.

Die vom Poneman Institute durchgeführte und von Intel in Auftrag gegebene Umfrage sollte helfen, ein besseres Verständnis dafür zu bekommen, was die Entscheidungsfindung bei Sicherheitsinvestitionen antreibt, heißt es in dem Bericht. Das Ponemon Institute befragte 1.875 Personen in Afrika, Europa, dem Nahen Osten, Großbritannien und den USA, die in die IT-Infrastruktur ihrer Unternehmen involviert und auch mit den Einkaufsprozessen für Technologie und Dienstleistungen vertraut sind.

Die Umfrage zeigt eine große Kluft zwischen den Sicherheitserwartungen der Entscheider in Unternehmen und der Fähigkeit ihrer Anbieter, diese Erwartungen zu erfüllen. So gaben 66 Prozent der Befragten an, dass sie es bevorzugen, wenn der Anbieter in der Lage ist, Schwachstellen in seinen eigenen Produkten zu erkennen und zu beseitigen”. Doch nur 46 Prozent der Befragten gaben an, dass ihre Technologieanbieter über diese Fähigkeit verfügen, so der Bericht.

Dreißig Prozent der Befragten gaben an, dass sie eine Schwachstelle in einer Woche oder weniger patchen könnten, aber im Durchschnitt dauert es etwa sechs Wochen, bis ein Bug gepatcht ist, nachdem er entdeckt wurde. 63 Prozent der Befragten gaben an, dass Verzögerungen durch “menschliches Versagen” verursacht werden.

Aber die Zunahme von Zero-Day-Schwachstellen, wie sie kürzlich in Software wie Google Chrome oder Microsoft Exchange gefunden wurden, bedeutet, dass diese Unternehmen je nach Hersteller wochenlang angreifbar bleiben können, bevor ein Fix aufgespielt wird.

“Sicherheit passiert nicht einfach so”, sagte Suzy Greenberg, Vice President, Intel Product Assurance and Security. “Wenn man keine Schwachstellen findet, dann sucht man nicht gründlich genug.”

Sicherheitstransparenz

Transparenz in Bezug auf Sicherheitsupdates und Schwachstellen ist für Unternehmen ebenfalls von großer Bedeutung. 64 Prozent der Befragten gaben an, dass die Möglichkeit, über verfügbare Sicherheitsupdates und Abhilfemaßnahmen transparent zu sein, sehr wichtig” ist. Trotz dieses Bedarfs geben nur 48 Prozent der Befragten an, dass sie diese Art von Kommunikation erhalten, so der Bericht weiter.

“Unternehmen verstehen, dass Sicherheit kritisch ist und suchen nach Anbietern, die transparent sind, Schwachstellen proaktiv abmildern und Hacking-Praktiken anwenden, um Schwachstellen in ihren eigenen Produkten zu identifizieren und zu beheben”, so Greenberg weiter.

Die Umfrageteilnehmer stimmten auch mit überwältigender Mehrheit – 74 Prozent – zu, dass ethisches Hacking/Bug-Hunting, um Schwachstellen in Produkten zu finden, “sehr wichtig” ist, so der Bericht.

“Von allen in dieser Studie vertretenen Fähigkeiten ist die Fähigkeit des Technologieanbieters, ethische Hacking-Praktiken anzuwenden, um proaktiv Schwachstellen in den eigenen Produkten zu identifizieren und zu beheben, sowie die fortlaufende Sicherheit und den Nachweis zu erbringen, dass die Komponenten in einem bekannten und vertrauenswürdigen Zustand arbeiten, am wichtigsten”, so der Bericht.

Andere Ergebnisse der Umfrage zeigen, dass Unternehmen Schwierigkeiten haben, mit der Cybersicherheit Schritt zu halten und sich an Anbieter wenden, um Hilfe zu erhalten. Gleichzeitig werden die Budgets knapper: 45 Prozent der Befragten gaben an, dass ihre Budgets “weniger als ausreichend” seien.

Diese Ergebnisse bieten einen Einblick in den sich entwickelnden IT-Betrieb, bei dem noch immer nicht klar ist, wer das Sicherheitsrisiko des Unternehmens trägt. Einundzwanzig Prozent sind der Meinung, dass es der CISO sein sollte, 19 Prozent glauben, dass der CIO oder CTRO die Sicherheitsbemühungen leiten sollte, und 17 Prozent denken, dass die Leiter der Geschäftseinheiten die Verantwortung übernehmen sollten.

“Die Schlussfolgerung ist, dass es eine Unsicherheit bei der Verantwortung gibt”, so der Bericht.

Diese Ungewissheit könnte eine Chance für Anbieter sein, die bereit sind, angeschlagenen IT-Abteilungen dabei zu helfen, die Last der Cybersicherheit zu schultern.

“Der Schlüssel dazu ist Transparenz”, so Greenberg gegenüber Threatpost per E-Mail. “Organisationen haben einen Appetit auf Sicherheitsgewissheit und den Nachweis, dass die Komponenten in einem bekannten und vertrauenswürdigen Zustand arbeiten. Als Industrie müssen wir nicht nur das Risiko bewerten, sondern auch sicherstellen, dass die Kunden wissen, wann Sicherheitsupdates verfügbar sind, um Vertrauen aufzubauen. Unser Ziel ist es, einen transparenten Sicherheitsansatz zu verfolgen, um Kunden-Workloads zu schützen und die Software-Resilienz zu verbessern, und wir ermutigen unsere Branchenpartner und Wettbewerber, diesem Beispiel zu folgen.”

Einige Teile dieses Artikels stammen aus:
threatpost.com