- Anzeigen -


Sie sind hier: Home » Markt » Studien

Fehlen von SSH-Auditierungen


Studie: Schwachstellen in SSH-Schlüsseln werden bei Auditierungen von privilegierten Zugängen übersehen
SSH-Berechtigungen werden von der Hälfte der befragten Unternehmen nicht überprüft

- Anzeigen -





Venafi gab die Ergebnisse ihrer Studie bekannt, in der es darum geht, wie gut die Secure Shell (SSH)-Sicherheit in ihren IT-Umgebungen getestet werden. Mehr als 400 IT-Sicherheitsspezialisten nahmen an der Umfrage teil, die das weit verbreitete Fehlen von SSH-Auditierungen aufzeigt.

Cyberkriminelle, wie Insider mit bösartigen Absichten, nutzen SSH-Schlüssel, um sich aus der Ferne Zugriff auf IT-Systeme zu verschaffen, Sicherheitstools zu umgehen und Privilegien zu eskalieren. Berechtigungen für SSH zu auditieren ist Teil der Privileged Access Management (PM) Richtlinien, die Unternehmen bei dem Verständnis unterstützten, wie sie den Zugang zu sensiblen Daten kontrollieren können.

55 Prozent der Antwortenden gaben zu Protokoll, dass SSH-Berechtigungen nicht in ihren PAM-Richtlinien behandelt und nur spärlich überprüft werden. Ohne eine vernünftige Auditierung und effektive SSH-Sicherheitsrichtlinien können Schwachstellen in SSH-Schlüsseln unentdeckt bleiben und machen Unternehmen für verschiedenste Arten von Cyberangriffen verwundbar.

Die wichtigsten Erkenntnisse der Venafi-Studie enthalten:

Nur ein Drittel (33 Prozent) der Befragten gab an, dass die Auditoren SSH-Schlüssel Rotationen und Ablauf-Richtlinien überprüfen. Obwohl SSH die gleichen privilegierten Zugriffsrechte wie Passwörter ermöglichen, werden sie nur spärlich auditiert.

Weniger als die Hälfte der Sicherheitsexperten (46 Prozent) sagten, dass die Auditoren die Kontrolle von autorisierten Schlüssel-Files prüfen. Wenn der SSH-Zugriff nicht auf zugelassene Systeme limitiert wird, können Angreifer den SSH-Zugang nutzen, um sich unentdeckt und frei im Unternehmensnetzwerk bewegen.

Nur 43 Prozent der Befragten bestätigten, dass Auditoren ihre Portweiterleitungsregeln überprüfen. Wenn die Portweiterleitung nicht limitiert wird, können bösartige Akteure diese Regeln ausnutzen, um verschlüsselte Verbindungen aufzubauen und damit die meisten Sicherheitskontrollen umgehen.

Mehr als ein Viertel (27 Prozent) der Antwortenden sagten aus, dass keine der kritischen SSH Best Practices auditiert werden. Ohne Einblick in die Effektivität von SSH-Sicherheitspraktiken können Unternehmen ihre eigene Sicherheitslage nicht vernünftig einschätzen.

"Eine vernünftige Aufsicht von Auditoren und Richtlinienurhebern würde Unternehmen dabei helfen, eine weite Strecke auf dem Weg zu einem besseren Verständnis für SSH-Sicherheitsrisiken zurückzulegen", sagt Steven Armstrong, Enterprise Information Security und Risk Management Consultant sowie früherer Federal Reserve Bank Examiner. "Unglücklicherweise haben die meisten Unternehmen, ohne detaillierte Einblicke in die Auswirkungen einer laxen SSH-Richtlinienumsetzung, nicht die Informationen oder die Katalysatoren, um ihre SSH-Sicherheit zu verbessern."

Die Studie wurde von Dimensional Research im Juli 2017 durchgeführt. Sie analysiert die Antworten von 411 IT- und IT-Sicherheitsexperten mit entsprechendem Wissen aus den USA, Großbritannien und Deutschland.
(Venafi: ra)

eingetragen: 08.01.18
Home & Newsletterlauf: 12.02.18


Venafi: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Studien

  • Zugang auf das Unternehmensnetzwerk

    Wenn der Preis stimmt, würden ein Drittel aller Mitarbeiter vertrauliche Unternehmemsinformationen ihres Arbeitgebers verkaufen. 25 Prozent wären für umgerechnet etwa 6.900 Euro hierzu bereit, andere würden sich bereits für kaum mehr als 130 Euro bestechen lassen - dies geht aus einer internationalen Befragung von Clearswift RUAG Cyber Security hervor. Sie basiert auf den Ergebnissen einer von Loudhouse unabhängig durchgeführten Umfrage zu Sicherheitspraktiken in Unternehmen bekannt. Bei Loudhouse handelt es sich um ein Technologie - und B2B - Forschungsunternehmen. Die Studie unter 4.000 Angestellten in Deutschland, Großbritannien, den USA und Australien ergab, dass 25 Prozent der Befragten bereit wären, solche Daten zu verkaufen und dadurch sowohl ihre Stelle als auch eine Verurteilung riskieren würden. Der Preis: umgerechnet etwa 6.900 Euro - so viel wie ein Familienurlaub in der Karibik oder nicht einmal drei durchschnittliche Monatsgehälter.

  • Großes Potenzial für Smart-Home-Anwendungen

    Licht und Heizung via Smartphone steuern, Haushaltsgeräte per Stimme bedienen oder die eigenen vier Wände mit intelligenten Überwachungssensoren sicherer machen: Jeder vierte Bundesbürger (26 Prozent) besitzt mindestens eine Smart-Home-Anwendung. Verbreitet sind vor allem intelligente Beleuchtung (17 Prozent), Video-Überwachung (14 Prozent) und Sprachassistenten (13 Prozent). Parallel nimmt die Bekanntheit von vernetzter Haustechnik in der Breite der Bevölkerung zu: 7 von 10 Bundesbürgern (70 Prozent) haben bereits vom Begriff Smart Home gehört (2016: 61 Prozent). Davon können 7 von 10 (71 Prozent) beschreiben, was gemeint ist, 2016 waren es erst 53 Prozent.

  • Analysten geben Einblicke zur Cyber-Security

    Obwohl 95 Prozent der CIOs in den kommenden drei Jahren einen Anstieg an Cyber-Bedrohungen erwarten, haben derzeit nur 65 Prozent ihrer Unternehmen einen Cyber-Security Experten - zu diesem Ergebnis kommt eine aktuelle Umfrage des Research- und Beratungsunternehmens Gartner. Die Umfrage zeigt auch, dass Unternehmen, die sich digitalisieren, nach wie vor mit der Suche nach qualifiziertem Personal zu kämpfen haben und dass der Mangel an geeigneten Fachkräften im Bereich der digitalen Security als einer der größten Innovationshemmer gilt.

  • Sicherheitsbudgets mit deutlicher Steigerung

    Malwarebytes veröffentlichte die Studie "White Hat, Black Hat und das Aufkommen von Gray Hat; Die tatsächlichen Kosten von Cyber-Kriminalität", die von Osterman Research durchgeführt wurde. Innerhalb der Studie wurden 900 führende IT-Entscheidungsträger und IT-Sicherheitsexperten in Australien, Deutschland, den USA, Großbritannien und Singapur zu den Auswirkungen der Cyberkriminalität auf ihre Geschäftsergebnisse befragt. Darüber hinaus wurden alle Aspekte der IT-Sicherheitskosten, von generellem Budget, Kosten zur Behebung von IT-Angriffen bis hin zu Aufwendungen von Mitarbeiter-Einstellung, -Rekrutierung und -Bindung untersucht.

  • Mehr als jeder Dritte nutzt Gruppenchat-Funktion

    Messenger sind nicht nur zum Nachrichten schreiben da, besonders beliebt ist auch die Telefon-Funktion der Apps. Jeder zweite Messenger-Nutzer (51 Prozent) nutzt die Anruffunktion der Apps auf seinem Smartphone. Das ist das Ergebnis einer repräsentativen Studie im Auftrag des Digitalverbands Bitkom, bei der 1.212 Internetnutzer ab 14 Jahren befragt wurden, darunter 1.074 Nutzer von Messenger-Apps. "Immer mehr Apps rüsten die Telefonfunktion nach. Telefonate via Messenger sind für die Nutzer äußerst komfortabel - auch über Ländergrenzen hinweg und ohne Extrakosten, selbst wenn es um den halben Globus geht", sagt Linda van Rennings, Social-Media-Expertin beim Bitkom. "Insbesondere für Jüngere ist die App-Telefonie zur Standard-Funktion eines jeden Messengers geworden."