Datum: (1199 dagen oud)
Bedrijf:
PR: AddIT Benelux

Venafi luidt de noodklok: Heartbleed bloedt nog steeds

68 procent Nederlandse grote ondernemingen nog steeds blootgesteld aan risico’s Heartbleed bugHoofddorp, 7 april 2015 – Venafi, de toonaangevende onderneming op het gebied van Next-Generation Trust Protection, maakt vandaag nieuwe onderzoeksresultaten bekend waaruit blijkt dat de meerderheid van de ondernemingen uit de Forbes Global 2000 nog steeds kwetsbaar is voor cyberaanvallers die gebruikmaken van de Heartbleed bug.

Heartbleed is een kwetsbaarheid in de programmeerbibliotheek OpenSSL. Een aanvaller kan geheime sleutels en certificaten achterhalen van een kwetsbare server of ander apparaat. Ook andere gevoelige informatie zoals wachtwoorden en klantgegevens kan worden achterhaald.

Venafi TrustNet is een door Venafi ontwikkelde clouddienst die ondernemingen beschermt tegen het groeiend aantal cyberaanvallen waarbij aanvallers misbruik maken van cryptografische sleutels en digitale certificaten. De dienst staat garant voor de betrouwbaarheid van de certificaten. Met behulp van Venafi TrustNet tonen de onderzoekers van Venafi Labs nu aan dat 85 procent van de externe servers bij de Global 2000 ondernemingen nog steeds kwetsbaar is voor cyberaanvallen die gebruikmaken van Heartbleed. Ondernemingen die de Heartbleed bug niet hebben gepatcht, zijn niet beschermd tegen cybercriminelen en lopen levensgrote risico’s, zoals reputatieschade van hun merken en het verlies van intellectuele eigendommen.

Toen de Heartbleed-kwetsbaarheid in april 2014 werd ontdekt, haastten veel ondernemingen zich om de bug te repareren en het lek te dichten. Ondanks deze voortvarendheid verzuimde de overgrote meerderheid van de systeembeheerders om echt alle noodzakelijke maatregelen te nemen om hun totale serverpark en netwerken te vrijwaren van de Heartbleed bug. Uit een tussenrapportage van Venafi Labs in augustus 2014 bleek dat 76 procent van de Global 2000 ondernemingen met openbare systemen en websites voor het grote publiek nog steeds kwetsbaar was. Zij hadden ondanks waarschuwingen en richtlijnen van Gartner en andere experts op het gebied van informatiebeveiliging nog geen afdoende maatregelen getroffen tegen Heartbleed. Inmiddels is het april 2015 en is er slechts sprake van een marginale verbetering: 74 procent van de onderzochte ondernemingen is nog steeds onbeschermd.

“Het is een jaar geleden dat Heartbleed werd ontdekt. Hoewel toen grote kwetsbaarheden massaal aan het licht kwamen en het vertrouwen in het digitale zakendoen een forse deuk opliep, moeten we nu opnieuw de noodklok luiden, omdat blijkt dat de meerderheid van de grote ondernemingen nog steeds aangevallen kan worden door cybercriminelen. De datalek bij Community Health Systems toont dit onder meer aan”, zegt Jeff Hudson, CEO van Venafi. “Gelet op de grote risico’s die ondernemingen lopen, zou het veiligstellen en beschermen van encryptiesleutels en digitale certificaten een topprioriteit moeten zijn, niet alleen voor het IT-team, maar ook voor de CEO, de raad van bestuur en de chief information security officer.”

Ook Nederland nog steeds kwetsbaar
Volgens het recente 2015 Cost of Failed Trust Report van Ponemon research zijn de geschatte kosten waarmee de Global 5000 ondernemingen kunnen worden geconfronteerd als gevolg van aanvallen op gecompromitteerde encryptiesleutels en certificaten binnen twee jaar opgelopen tot 53 miljoen dollar. Dit betekent een stijging van 51 procent ten opzichte van 2013. TrustNet heeft de blootstelling aan Heartbleed en de maatregelen die al dan niet zijn getroffen in verschillende landen onderzocht. Van die onderzochte landen scoort Australië ronduit het slechtst als het gaat om het repareren van de Heartbleed bug, zeker in vergelijking met Frankrijk, Nederland, Engeland, de Verenigde Staten en Duitsland. Van de onderzochte Nederlandse ondernemingen is 68 procent nog steeds kwetsbaar voor de Heartbleed bug. Nederlands scoort hiermee relatief beter dan Australië en Frankrijk, maar slechter dan Engeland, de Verenigde Staten en Duitsland.

Johan Straten, Regional Sales Director en verantwoordelijk voor Venafi Northern Europe, verwacht dat de discussie over de Heartbleed bug nog lange tijd zal naijlen: “Nadat vorig jaar bekend werd dat Heartbleed een groot risico vormt voor de beveiliging van het netwerkverkeer zijn veel grote ondernemingen direct aan de slag gegaan. Ze begonnen met het inventariseren welke servers en andere apparaten een kwetsbare versie van OpenSSL bevatten en welke geheime sleutels van certificaten werden gebruikt. De impact bleek groot. Na dit schrikeffect was het bij veel ondernemingen weer snel business as usual: andere prioriteiten kregen voorrang. Bovendien is er fors bezuinigd op IT-afdelingen. Dit verklaart waarom veel ondernemingen nooit meer aan de noodzakelijke vervolgstappen, zoals het upgraden van systemen, het aanvragen van nieuwe certificaten en het intrekken van oude certificaten, zijn toegekomen. Het is echter cruciaal dat ondernemingen niet langer vertrouwen op geheime sleutels en certificaten die mogelijk gecompromitteerd zijn. Venafi helpt ondernemingen bij die verdere sanering.”

Het meest spraakmakende voorbeeld van een datalek door gebruik te maken van de Heartbleed bug komt uit Amerika. Zo slaagden cybercriminelen erin de encryptiesleutels en certificaten van de Community Health Systems te bemachtigen. In totaal stal APT 18, een bekende groep van Chinese cyberspionnen, in totaal 4,5 miljoen medische dossiers met patiëntengegevens.

Opmerkelijk tot slot is dat alle 2.300 ondervraagde informatiebeveiligings-professionals in het 2015 Cost of Failed Trust onderzoek unaniem aangeven dat ze de afgelopen twee jaar zijn geconfronteerd met minimaal één aanval op hun encryptiesleutels en certificaten waarop ze moesten reageren. 60 procent van de respondenten geeft volmondig toe dat hun organisatie meer zou moeten doen om kwetsbaarheden, zoals de Heartbleed bug, te verhelpen en te voorkomen.

Download de Venafi Heartbleed +1 Year Analyse (PDF) via https://www.venafi.com/HeartsBleed/

Over Venafi
Venafi is marktleider in cybersecurity en houdt zich bezig met Next Generation Trust Protection (NGTP). Venafi is door Gartner aangemerkt als Cool Vendor en levert het eerste Trust Protection Platform™ dat ontwikkeld is om cryptografische sleutels en digitale certificaten veilig te stellen. Deze certificaten zijn onmisbaar voor ondernemingen en overheidsdiensten die veilig willen communiceren met de buitenwereld, digitaal zakendoen en gebruikmaken van computers en mobiele toepassingen. De gemiddelde onderneming heeft vaak geen of nauwelijks inzicht in de tienduizenden sleutels en certificaten die in omloop zijn en hoe ze worden gebruikt. Ze missen een formeel beleid om zaken af te dwingen en zijn niet in staat om onregelmatigheden en afwijkend internetgedrag op te sporen en hierop te anticiperen. Ondernemingen die echter blind vertrouwen op encryptiesleutels en digitale certificaten lopen een groter risico dat ze worden aangevallen. Andere potentiële risico’s zijn: kostbare datalekken, audits die niet worden gehaald en ongeplande uitval van de bedrijfsprocessen.

Venafi TrustAuthority™ en Venafi TrustForce™ maken onderdeel uit van Venafi’s strategie om grote ondernemingen te helpen bij het beschermen van hun infrastructuur. Onder het motto Any Key. Any Certificate. Anywhere™ krijgen organisaties weer de regie en controle over hun sleutels en certificaten en kunnen ze hun klanten betrouwbare diensten leveren vanuit de cloud, via mobiele apparaten, virtuele machines en met het netwerk verbonden apparaten. Venafi voorkomt aanvallen op de vertrouwensrelatie en integriteit dankzij geautomatiseerde opsporing van onregelmatigheden en afwijkend gedrag. De intelligente software herstelt fouten en neutraliseert cyberaanvallen door verkeerd geconfigureerde en gecompromitteerde sleutels en certificaten automatisch te vervangen.

Het Venafi Threat Center levert waardevolle inzichten over mogelijke internetbedreigingen en aanvallen die er op gericht zijn om het vertrouwen in de digitale wereld te ondermijnen.

Venafi is in 2013 uitgeroepen tot FiReStarter en Red Herring Top 100 onderneming. De klanten van Venafi zijn veeleisend als het gaat om informatiebeveiliging en bevinden zich voornamelijk in de Forbes Global 2000. Het gaat om ondernemingen die werkzaam zijn in de financiële dienstverlening, het verzekeringswezen, hightech, telecommunicatie, aerospace, productie, gezondheidszorg en detailhandel. Venafi wordt gefinancierd door venture capital-fondsen, zoals Foundation CapitalPelion Venture Partners, en Origin Partners. Voor meer informatie: www.venafi.com.

###

Voor meer persinformatie en beeldmateriaal
Yellow Communications, Majoy Juriaans, telefoon 023 555 34 24, e-mail venafi@yellow-communications.com