| Chris McManus, leitender Produktmarketing-Manager, Qualys erklärt die versteckten EoL- und EoS-Cyberrisiken bei veralteter Software. | Chris McManus, Senior Product Marketing Manager, Qualys, explains the hidden EoL and EoS cyber risks of outdated software. |
| In der heutigen Technologieumgebung stellen Hardware, Software und Betriebssysteme, die ihr End-of-Life (EoL) oder End-of-Support (EoS) erreicht haben, erhebliche Risiken dar. Diese veralteten Technologien bieten ein exponentielles Potenzial für Cyber-Risiken, da Sicherheitslücken in ihnen per Definition nicht mehr behoben werden können. IT-Teams können in einigen Fällen für eine Verlängerung des Supports bezahlen, aber in vielen Fällen, wie bei nicht unterstützten Open-Source-Komponenten, sind diese Technologien tickende Zeitbomben für Cyberrisiken.
Prominente Beispiele für Cyber-Attacken Angreifer haben in vielen prominenten Fällen Schwachstellen in EoL/EoS-Technologien ausgenutzt, was zu erheblichen Geschäftsunterbrechungen und -risiken geführt hat. Beispiele hierfür sind – Angriff auf eine US-Bundesbehörde im Jahr 2023: Dieser Angriff erfolgte über nicht unterstützte Versionen von Adobe ColdFusion. – Log4Shell Sicherheitslücke: Am Tag der Entdeckung waren mehr als 50% der Anwendungsinstallationen mit Log4j „End-of-Support“. – WannaCry-Angriff 2017: 98 % der betroffenen Computer liefen mit einer EoL-Version von Windows 7. Verschärfte Vorschriften und Initiativen Die Vorschriften für EoL/EoS werden immer strenger. Regulatorische Anforderungen wie PCI, SOX, HIPAA und FedRAMP legen Compliance-Standards und Strafen für den Fall fest, dass bekannte Malware nicht ersetzt wird. NIST und NCSC haben ebenfalls Richtlinien und Compliance-Frameworks bereitgestellt. Die OASIS Open Group hat die Open EoX Initiative ins Leben gerufen, um Best Practices für die Kommunikation von EoL/EoS zwischen Anbietern und Herstellern zu standardisieren. Diese Schritte sind begrüßenswert, lösen aber nicht das unmittelbare Problem, dass Unternehmen die Risiken von EoL/EoS proaktiv verfolgen, priorisieren und beseitigen müssen. Quantifizierung von Cyber-Risiken Obwohl bekannt ist, dass EoL/EoS-Technologie in vielen Umgebungen vorhanden ist, möchte jeder Chief Information Security Officer (CISO) das Risiko für seine wichtigsten Vermögenswerte verstehen. Laut der Qualys Threat Research Unit weisen 20% der kritischen Assets EoS-Software mit hohem Risiko auf. Diese Schwachstellen werden als „hoch“ oder „kritisch“ eingestuft und betreffen personenbezogene Daten, Produktionsdatenbanken oder andere unternehmenskritische Dienste. Häufigkeit von Angriffen gegen EoL/EoS-Technologie Fast die Hälfte (48%) der bekannten ausnutzbaren Schwachstellen des CISA betreffen EoS-Software, was zeigt, dass Angreifer häufig auf veraltete Technologien abzielen. Die Wahrscheinlichkeit, dass Schwachstellen in EoS-Software ausgenutzt werden, ist viermal höher als bei unterstützter Software. Daher ist es nicht überraschend, dass EoL/EoS-Technologie häufig mit hochkarätigen Angriffen in Verbindung gebracht wird. Herausforderungen beim Umgang mit EoL/EoS-Risiken Viele Unternehmen berücksichtigen Cyber-Risiken bei der Priorisierung von Technologie-Upgrades oft nicht ausreichend, es sei denn, sie reagieren auf bereits eingetretene Sicherheitsvorfälle. Insbesondere größere Unternehmen delegieren die Verwaltung von Budgets und Ressourcen für Technologie-Upgrades häufig vollständig an ihre IT-Teams. Das Hauptaugenmerk liegt dabei meist auf der Vermeidung von Betriebsunterbrechungen, während das Cyber-Risiko durch veraltete Technologien oft vernachlässigt wird. Proaktiver Ansatz zur Risikominderung Ein proaktiver Ansatz ist entscheidend, um das Risiko durch EoL/EoS-Technologie zu minimieren. Cybersicherheitsteams sollten die Kritikalität von Assets und Schwachstellen bewerten und diese Informationen mit der IT-Abteilung austauschen. Upgrades von Software, Hardware und Betriebssystemen sollten 6 bis 12 Monate vor dem EoL/EoS-Datum geplant werden. Kritische Assets und Schwachstellen mit hohem Risiko müssen identifiziert und priorisiert werden. Qualys Tech Debt Report Qualys bietet einen Tech Debt Report an, der eine Momentaufnahme des Bestands an EoL/EoS-Technologien, der damit verbundenen Cyber-Risiken und Empfehlungen für priorisierte Upgrades liefert. Dieser Bericht wird von der Qualys Threat Research Unit unterstützt. Mit dem Tech Debt Report können Kunden eine Momentaufnahme der EoL/EoS-Technologie, des damit verbundenen Cyber-Risikos und maßgeschneiderte Empfehlungen für priorisierte Upgrades herunterladen. Der Bericht wird mit einer 30-tägigen CSAM-Testversion geliefert, um das proaktive Risikomanagement von Tech Debt zu starten. Die Daten umfassen einen fortlaufend aktualisierten Katalog mit über 5.000 Software- und über 1.400 Hardware-Herstellern, der ausstehende Tech Debts CVEs und Intel-Bedrohungen zuordnet und bei der Identifizierung der kritischsten Cyber-Risiken die Kritikalität der Assets berücksichtigt. Handlungsempfehlungen IT-Sicherheitsexperten sollten
Ein proaktiver Ansatz bei der Verwaltung von EoL/EoS-Technologie ist entscheidend, um das Risiko schwerwiegender Cyberangriffe zu minimieren und die Sicherheit der IT-Umgebung zu gewährleisten. |
In today’s technology environment, hardware, software, and operating systems that have reached end-of-life (EoL) or end-of-support (EoS) pose significant risks. These outdated technologies offer exponential potential for cyber risk because the vulnerabilities in them are, by definition, beyond remediation. In some cases, IT teams can pay to extend support, but in many cases, such as unsupported open source components, these technologies are ticking cyber risk time bombs.
Prominent Examples of Cyber Attacks Attackers have exploited vulnerabilities in EoL/EoS technologies in many high-profile cases, resulting in significant business disruption and risk. Examples include – Attack on a U.S. federal agency in 2023: This attack used unsupported versions of Adobe ColdFusion. – Log4Shell vulnerability: On the day it was discovered, more than 50% of application installations using Log4j were „end-of-support“. – 2017 WannaCry attack: 98% of affected computers were running an EoL version of Windows 7. Tighter regulations and initiatives EoL/EoS regulations are becoming more stringent. Regulations such as PCI, SOX, HIPAA, and FedRAMP set compliance standards and penalties for failing to replace known malware. NIST and NCSC have also provided guidelines and compliance frameworks. The OASIS Open Group has launched the Open EoX initiative to standardize best practices for EoL/EoS communication between vendors and manufacturers. While these steps are welcome, they do not solve the immediate problem of how organizations can proactively track, prioritize, and remediate EoL/EoS risks. Quantifying Cyber Risks While it is known that EoL/EoS technology is present in many environments, every Chief Information Security Officer (CISO) wants to understand the risk to their most critical assets. According to the Qualys Threat Research Unit, 20% of critical assets have high-risk EoS software. These vulnerabilities are categorized as „high“ or „critical“ and affect personally identifiable information, production databases, or other mission-critical services. Frequency of EoL/EoS technology attacks Nearly half (48%) of the exploitable vulnerabilities known to CISA are in EoS software, demonstrating that attackers are often targeting outdated technology. Vulnerabilities in EoS software are four times more likely to be exploited than those in supported software. Not surprisingly, EoL/EoS technology is often associated with high-profile attacks. Challenges in Managing EoL/EoS Risks Many organizations do not adequately consider cyber risks when prioritizing technology upgrades, unless they are responding to security incidents that have already occurred. Larger organizations, in particular, often delegate the management of budgets and resources for technology upgrades entirely to their IT teams. The focus tends to be on avoiding business disruption, while the cyber risk posed by outdated technology is often neglected. A proactive approach to risk mitigation A proactive approach is critical to minimizing the risk of EoL/EoS technology. Cybersecurity teams should assess the criticality of assets and vulnerabilities and share this information with IT. Upgrades to software, hardware, and operating systems should be planned 6 to 12 months in advance of the EoL/EoS date. Critical assets and high-risk vulnerabilities must be identified and prioritized. Qualys Tech Debt Report Qualys offers a Tech Debt Report that provides a snapshot of the EoL/EoS technology inventory, associated cyber risks, and recommendations for prioritized upgrades. This report is powered by the Qualys Threat Research Unit. The Tech Debt Report allows customers to download a snapshot of their EoL/EoS technology inventory, associated cyber risks, and tailored recommendations for prioritized upgrades. The report comes with a 30-day CSAM trial to get started with Tech Debt proactive risk management. The data includes a continuously updated catalog of over 5,000 software vendors and over 1,400 hardware vendors, mapping open Tech Debt CVEs and Intel threats, and taking asset criticality into account when identifying the most critical cyber risks. Recommendations for Action IT security professionals should
A proactive approach to managing EoL/EoS technology is critical to minimizing the risk of serious cyber-attacks and ensuring the security of the IT environment. |
| Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. | Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de