Microsoft Security Intelligence Report
Sicherheitsreport: Conficker bedroht Unternehmen nach wie vor
Der Security Intelligence Report deckt in der jetzt vorgestellten Version den Zeitraum Juli bis Dezember 2011 ab. Aus dem aktuellen SIRv12 geht beispielsweise hervor, dass der Computerwurm Conficker (siehe auch Conficker - das größte Botnet aller Zeiten) in den letzten zweieinhalb Jahren annähernd 220 Millionen Mal verzeichnet wurde. Unter anderem sind mangelnde Grundeinstellungen, fehlende Passwörter und nicht gepatchte Systeme, die von Conficker und anderen Schadprogrammen ausgenutzte Schwachstellen. So seien im letzten Quartal 2011 weltweit noch 1,7 Millionen Systeme von Conficker betroffen gewesen. "Conficker ist eines der größten Sicherheitsprobleme, denen wir heute gegenüber stehen und doch können wir uns davor schützen", sagt Tim Rains, Director von Microsoft Trustworthy Computing. "Studien zeigen, dass 92 Prozent der Infizierung in Unternehmen auf unsichere Passwörter zurückzuführen sind und acht Prozent auf Schwachstellen, für die es bereits Sicherheitsupdates gibt. Es ist daher ungemein wichtig, dass Organisationen und Verbraucher grundlegende Sicherheitsregeln beherrschen."
Zum Thema Exploits stellt der SIRv12 fest, dass in der zweiten Jahreshälfte 2011 insbesondere die über HTML oder JavaScript eingeschleusten Exploits zugenommen, namentlich durch das Auftauchen von JS/Blackhole. Darüber hinaus seien im vierten Quartal die erfassten Exploits angestiegen, die Schwachstellen in Dokumentenlesern und Editoren nutzten, diese würde sie zu den dritthäufigsten Exploits im genannten Quartal machen.
Das Thema SPAM behandelt der SIR aufgrund von Daten, die unter anderem über Microsoft Forefront Online Protection for Exchange (FOPE) zusammengestellt werden. Demnach hätte FOPE im Dezember 14,0 Milliarden Nachrichten blockiert. Dies sei ein signifikanter Rückgang im Vergleich zum Beginn des Jahres 2011. Microsoft führt diesen Rückgang auf die Eindämmungsaktionen gegen einige große Botnets (Rustock, Kelihos) zurück. Bei den SPAM-Inhalten haben pharmazeutische Themen offensichtlich die Nase vorn.
- SIRv12
Die Erfassungstrends für eine Reihe an wichtigen Bedrohungsfamilien in 2011. - SIRv12
In den vier Quartalen des Jahres 2011 durch Microsoft Anti-Malware-Produkte entdeckte und blockierte Exploits, nach anvisierter Plattform oder Technologie. - SIRv12
Infektionsraten nach Land/Region im vierten Quartal 2011 in CCM dargestellt. CCM steht für Computers cleaned per thousand und meint die gemeldeten Systeme pro Tausend Überprüfunge mit Microsofts Malicious Software Removal Tool. - SIRv12
Malware verbreitende Sites pro 1000 Internethosts für Standorte weltweit im zweiten Halbjahr 2011. - SIRv12
Infektionsrate (CCM) nach Betriebssystem und Service Pack im im vierten Quartal 2011. - SIRv12
Phishingsites pro 1000 Internethosts für Standorte weltweit im zweiten Halbjahr 2011. - SIRv12
Durch Microsoft Forefront Online Protection for Exchange monatlich blockierte Nachrichten im Jahre 2011. - SIRv12
Durch FOPE-Filter blockierte eingehende Nachrichten im zweiten Halbjahr, nach Kategorie dargestellt.
Beim Vergleich der Infektionsrate nach Windows-Versionen sieht es für das aktuelle Desktop-Betriebssystem Windows 7 relativ gut aus. Der Vorgänger Windows Vista hat weit höhere Infektionsraten zu verzeichnen, diese liegen teilweise auch über denen von Windows XP.
Wie eingangs erwähnt, seien bekannte Schwachstellen nach wie vor eines der größten Sicherheitsrisiken - auch bei neuen Bedrohungstypen. Unsichere Passwörter, nicht gepatchte Systeme und fehlende Sicherheitsgrundlagen seien häufig die Ursache für Infektionen.
Tipps für Unternehmen
Microsoft rät Unternehmen zu einem mehrdimensionalen Ansatz für das Sicherheitsmanagement, und nennt dazu folgende Punkte:
-
Prävention: Führen Sie grundlegende Sicherheitsregeln ein und spielen Sie Updates rechtzeitig in Ihre Systeme ein.
-
Erfassung: Überwachen und analysieren Sie sorgfältig identifizierte Angriffe. Halten Sie sich über aktuelle Sicherheitsereignisse auf dem Laufenden und nutzen Sie glaubwürdige Quellen.
-
Eindämmung: Falls es zu einer Infizierung kommt, stellen Sie sicher, dass sich das Schadprogramm nicht weiter verbreitet. Um Angriffe einzudämmen sollten Verwaltungsmodelle entwickelt werden, die die Zugriffsrechte begrenzen. Greifen Sie zudem auf verfügbare Technologien wie z.B. Internet Protocol Security (IPsec) zurück. Mit IPSec wird die Zugriffskontrolle, Datenintegrität, Verschlüsselung und Authentifizierung gewährleistet.
-
Wiederherstellung: Halten Sie einen durchdachten Wiederherstellungs-Plan bereit. Führen Sie eine "Krisen-Task-Group" ein, die in Desktop- und anderen Bereichen die Reaktionsmöglichkeiten des Unternehmens zur Wiederherstellung in verschiedenen Angriffsszenarien testen. (mje)