Cybersecurity im Rückblick: Der alarmierende Trend zu nicht unterstützten Systemen
Kurze Frage: Wann ist es in Ordnung, ein vernetztes System ohne Updates zu betreiben?
Wenn die Antwort länger als 1 Sekunde dauert und etwas anderes als "nie" lautet, müssen wir reden.
Stellen Sie sich vor: Ein großes Unternehmen wird über Nacht durch einen Cyberangriff lahmgelegt, und das alles nur wegen eines übersehenen Details - veraltete Systeme. Dies ist kein hypothetisches Szenario, sondern eine Realität, mit der zahlreiche Unternehmen in den letzten Jahren konfrontiert waren. Die Systeme auf dem neuesten Stand zu halten, ist nicht nur eine gute Praxis, sondern eine Überlebensnotwendigkeit. Wir von TuxCare haben uns in unserem Jahresrückblick 2023 eingehend mit diesem Thema beschäftigt.
Eine Angabe stach wie ein wunder Daumen hervor.
Kontext
Rund 40 % der Befragten gaben an, dass sie CentOS verwenden (die am weitesten verbreitete Distribution in Unternehmen), und zwar noch vor Alternativen wie AlmaLinux, Rocky und Co.
Das war nicht der überraschende Teil. CentOS ist eine robuste Distribution mit einer gut etablierten Einsatzbasis (anekdotische Hinweise weisen es als das am häufigsten verwendete Betriebssystem für das World Wide Web vor ein paar Jahren).
Dann haben wir gefragt, welche Version(en), und hier wird es interessant. CentOS 7 (48,38 %) war am weitesten verbreitet, gefolgt von CentOS 8 (27,41 %), und sehr dicht gefolgt von CentOS 6 (mit 24,19 %). Dabei ist zu berücksichtigen, dass CentOS 6 und 8 schon seit Jahren nicht mehr offiziell unterstützt werden, d. h. das Ende ihrer Lebensdauer (EOL) überschritten haben, und CentOS 7 wird im kommenden Sommer den gleichen Weg einschlagen.
Eine Momentaufnahme unserer Ergebnisse:
- CentOS-Nutzung: 40 % der Befragten nutzen CentOS, mehr als Stream, AlmaLinux, Rocky und andere.
- Version Verteilung:
- CentOS 7: 48,38 % (Auslaufdatum: Juni 2024)
- CentOS 8: 27,41 % (bereits EOL - Dezember 2021)
- CentOS 6: 24,19% (bereits EOL - November 2020)
- Post-EOL-Nutzung: 22,22 % der Nutzer von CentOS 6 und 7,69 % der Nutzer von CentOS 8 verwenden diese Versionen ohne jeglichen Support. Über 9 % planen, CentOS 7 nach dem EOL weiterhin ohne Support zu nutzen.
Nun kann man mit Recht sagen, dass es Support-Optionen von Drittanbietern gibt (z. B., TuxCare's), um diese Systeme weiter zu betreiben und weiterhin Sicherheitsupdates zu erhalten, aber wir wollten sichergehen, dass dies auch tatsächlich der Fall ist.
Von denjenigen, die auf CentOS 6 geantwortet haben, geben 22,22 % zu, dass sie es ohne Unterstützung weiter betreiben. Für CentOS 8 liegt diese Zahl bei 7,69 %. Und über 9 % geben zu, dass sie CentOS 7 nach dessen Auslaufen ohne Support betreiben werden.
Wenn das bei Ihnen nicht die Alarmglocken läuten lässt, haben Sie nicht aufgepasst.
Eine tickende Uhr
Damit keine Zweifel aufkommen, worauf ich hinaus will, lassen Sie uns das gleich vorwegnehmen: "Es gibt keine Möglichkeit, ein System ohne Updates zu betreiben und Ihre Umgebung trotzdem als sicher zu betrachten." Das können Sie mir glauben.
Man kann also mit Fug und Recht behaupten, dass die Organisationen, die dieses Risiko in Kauf nehmen, sich mit der sehr gefährlichen Annahme absichern, dass "mir das nicht passieren wird" (Hinweis: Es wird passieren; Ihre Organisation ist in dieser Hinsicht nichts Besonderes) oder "wir nicht wichtig genug sind, um ins Visier genommen zu werden" (das ist völlig egal - es ist ein Zahlenspiel für Bedrohungsakteure).
Darüber hinaus stellen diese Organisationen und speziell diese Systeme nicht nur eine Gefahr für die Infrastruktur dar, zu der sie gehören, sondern auch für alle anderen Online-Nutzer. Zumindest sind Botnets darauf angewiesen, anfällige Systeme zu finden und auszunutzen, um zu wachsen und so auch für andere ein größeres Problem zu schaffen.
Das ist nur Marketing
Seit dem Auslaufen ist CentOS 6 von über 2100 Sicherheitslücken betroffen. Fast 2000 für CentOS 8. Wir haben einen Live-Zähler hier für die von TuxCare gepatchten Schwachstellen. Zu glauben, dass Ihre Systeme in der aktuellen Cybersicherheitslandschaft noch sicher sind, ist wahrscheinlich Wunschdenken.
Es gibt zahllose Gründe, warum Sie in EOL-Betriebssystemen gefangen sind. Von fehlenden Ressourcen zur Durchführung der Migration oder des Upgrades über mangelnde Hardwareunterstützung bei neueren Distributionen bis hin zu nicht gewarteten Codebasen, die die Arbeitslast auf diesen Systemen tragen... die Liste ist lang. Aber irgendwann muss sich die Denkweise ändern - das Risiko wird immer größer, während der vermeintliche Vorteil, den Aufwand für die Migration zu vermeiden (und das ist ein Aufwand!), nicht wirklich ein Vorteil ist.
Erweiterte Support-Angebote helfen nicht nur, das Problem zu entschärfen, sondern sie verschaffen Ihnen Zeit. Es ist eine der wenigen Situationen, in denen Sie nach Belieben mehr Zeit für die Lösung eines bestimmten Problems bekommen können. Und als zusätzlicher Vorteil wird Ihre Umgebung sicherer, und die aller anderen auch.
Freunde lassen ihre Freunde keine ungepatchten Systeme betreiben.
Weitere Informationen finden Sie im vollständigen Bericht, einschließlich einiger interessanter Korrelationen zwischen Schwierigkeiten und Risikobewusstsein - es scheint, als würden wir das Problem erst erkennen, wenn wir mit konkreten Situationen konfrontiert sind.
Der vollständige Bericht wird in den nächsten Tagen auf der TuxCare-Website verfügbar sein